Interneto svetainių apsauga

Pažeidžiamos kompiuterinės sistemos ir programos:

Interneto svetainės

Aprašymas

Rekomendacijos skirtos valstybės ir savivaldybių institucijoms, tačiau jas gali naudoti ir įmonės bei fiziniai asmenys. Įmonių ir fizinių asmenų atveju ne visi punktai gali būti įgyvendinami (pvz.: 1, 3, 4).

Rekomendacijos dėl interneto svetainių ir jų įrangos kibernetinio saugumo gerinimo:

1) patikrinti ugniasienių, per kurias kontroliuojamas naudotojų prisijungimas iš viešųjų eletroninių ryšių tinklų, sąrankų (konfigūracijų) atitiktį gamintojų siūlomoms praktikoms;
2) sukonfigūruoti ugniasienes taip, kad prie tinklalapių turinio valdymo sistemų (TVS) būtų galima jungtis tik iš vidinio įmonės tinklo arba nustatytų IP adresų (tai daroma naudojant .htaccess failą);
3) uždaryti nenaudojamus prievadus ir nuolat kontroliuoti prisijungimus per naudojamus prievadus;
4) uždrausti prisijungimą prie serverių visais prievadais ir protokolais, išskyrus tuos, kurie būtini tinklalapiui funkcionuoti;
5) vykdyti pažeidžiamumų paiešką nuolat tikrinant interneto svetainių, duomenų bazių saugumą su skenavimo programine įranga;
6) naudoti tinklo taikomųjų programų ugniasienę (angl. Web Application Firewall);
7) jei naudojamos atviro kodo TVS (pvz., Wordpress, Joomla), nuolat atnaujinti jas;
8) nenaudoti nereikalingų TVS įskiepių (angl. plugins), nuolat atnaujinti naudojamus įskiepius;
9) nuolat keisti administratoriaus ir kitų naudotojų, turinčių prieigą prie TVS, slaptažodžius;
10) likviduoti interneto svetaines, kurių valdytojai negali užtikrinti, kad būtų laikomasi nustatytų saugos reikalavimų ir rekomendacijų.

Visos rekomendacijos