लाइव जाने से पहले वेबसाइट सुरक्षा चेकलिस्ट

सुरक्षा को अक्सर बाद में सोचने वाली चीज़ माना जाता है। आप डिज़ाइन पूरा करते हैं और फीचर्स का परीक्षण करते हैं। आप साइट लॉन्च करते हैं। फिर, एक हमला होता है।

छोटी वेबसाइटें निशाना होती हैं। हमलावर कमज़ोर पासवर्ड और पुराने सॉफ़्टवेयर की तलाश करते हैं। एक भी गलती डेटा ब्रीच और भरोसे के टूटने का कारण बन सकती है।

अपनी अगली साइट लॉन्च करने से पहले इस चेकलिस्ट का उपयोग करें।

• SSL सेटअप करें सुनिश्चित करें कि हर पेज पर HTTPS काम कर रहा हो। सभी HTTP ट्रैफ़िक को HTTPS पर रीडायरेक्ट करें।

• अपनी फ़ाइलों को साफ़ करें टेस्ट पेज, स्टेजिंग URLs और बैकअप फ़ाइलों को हटा दें। डेवलपर टूल्स को सार्वजनिक न छोड़ें।

• क्रेडेंशियल्स अपडेट करें सभी डिफॉल्ट यूजरनेम और पासवर्ड बदल दें। नंबरों और प्रतीकों के साथ लंबे और यूनिक पासवर्ड का उपयोग करें।

• MFA सक्षम करें सभी एडमिन, डेवलपर्स और होस्टिंग अकाउंट्स के लिए मल्टी-फैक्टर ऑथेंटिकेशन (Multi-Factor Authentication) चालू करें।

• अपने सॉफ़्टवेयर को पैच करें अपने CMS, प्लगइन्स और थीम्स के नवीनतम वर्ज़न इंस्टॉल करें। किसी भी अप्रयुक्त प्लगइन्स को हटा दें।

• एडमिन एक्सेस सुरक्षित करें कस्टम एडमिन URLs का उपयोग करें और लॉगिन प्रयासों को सीमित करें। अपने लॉगिन पेज पर CAPTCHA जोड़ें।

• यूजर रोल्स को सीमित करें लोगों को केवल वही एक्सेस दें जिसकी उन्हें आवश्यकता है। एडिटर्स के पास एडमिन अधिकार नहीं होने चाहिए।

• सभी इनपुट्स को वैलिडेट करें SQL इंजेक्शन को रोकने के लिए पैरामीटराइज्ड क्वेरीज़ (parameterized queries) का उपयोग करें। XSS हमलों को रोकने के लिए सभी यूजर डेटा को सैनिटाइज करें।

• सिक्योरिटी हेडर्स सेट करें ब्राउज़र सुरक्षा को मजबूत करने के लिए CSP और HSTS जैसे हेडर्स का उपयोग करें।

• डायरेक्टरी ब्राउज़िंग अक्षम करें सुनिश्चित करें कि विज़िटर आपके सर्वर फोल्डर्स को ब्राउज़ न कर सकें।

• फ़ाइल अपलोड सुरक्षित करें फ़ाइल के प्रकार और आकार को सीमित करें। मैलवेयर के लिए सभी अपलोड की गई फ़ाइलों को स्कैन करें।

• अपने बैकअप का परीक्षण करें अपनी फ़ाइलों और डेटाबेस का बैकअप लें। यह सुनिश्चित करने के लिए कि बहाली (restoration) प्रक्रिया काम करती है, उसका परीक्षण करें।

• एरर मैसेज छिपाएं डिबग मोड बंद कर दें। तकनीकी सिस्टम डेटा के बजाय उपयोगकर्ताओं को यूजर-फ्रेंडली एरर पेज दिखाएं।

• अपनी साइट की निगरानी करें विफल लॉगिन, डाउनटाइम और असामान्य ट्रैफ़िक पैटर्न पर नज़र रखें।

सुरक्षा विकास का एक हिस्सा है। यह बाद के लिए कोई काम नहीं है। तैयारी आपदा को रोकती है।

स्रोत: https://dev.to/wingsdesignstudio/website-security-checklist-before-going-live-312n