Ваш сайт разработан и испытан. Настало время для развертывания его на рабочем сервере и его запуска. Перед тем, как вы сделаете это, пожалуйста, прочтите следующие 5 подсказок, которые помогут вам управлять сайтом и избежать проблем, связанных с безопасностью.
Отключите / удалите все учетные записи тестовых пользователей
Каждый типовой сайт Kentico CMS после импорта содержит несколько типовых пользователей. Они могут войти на сайт без какого-либо пароля. Цель этого заключается в том, чтобы легко продемонстрировать функциональность Kentico CMS, но они не предназначены для использования в производственной среде. Учетная запись администратора, по умолчанию, не имеет никакого пароля... Я также убежден в том, что во время разработки большинство из вас создает своих собственныхе тестовых пользователей с пустыми паролями. Все эти учетные записи должны быть либо отключены / удалены, либо для них должен быть создан пароль. Все пользователи без пароля перечислены в CMSDesk/SiteManager с предупреждающим знаком в области Actions.
Убедитесь, что каталоги не доступны
Kentico CMS содержит определенные каталоги, такие как ~/CMSSiteUtils/Export, содержимое которых не должны видеть рядовые пользователи. Эти каталоги могут содержать конфиденциальную информацию. В данном конкретном случае, ~/CMSSiteUtils/Export является каталогом по умолчанию для экспорта сайта. Экспорт сайта может содержать имена пользователей и пароли, и вы точно не хотите открывать эту информацию всему остальному миру, не так ли?
В целом, следует скрыть список всех каталогов и открывать доступ только для тех, кому это необходимо.
Отключите отладку, трассировку и настройку пользовательских страниц ошибок
Отладка и трассировка ASP.NET или отладка Kentico CMS являются важным источником информации для разработчиков. Но после того как вы переместите ваши веб-приложения в производственную среду, вам необходимо скрыть это. Почему? Эти данные могут сильно помочь хакерам при атаке на ваш сайт. Можно, конечно, отладочную информацию из журнала поместить в файл или показать ошибки клиенту связанному с localhost, но не делать это доступным для рядовых пользователей.
Отладку и трассировку ASP.NET можно отключить в файле web.config, а также в разделе <CustomErrors>, где можно указать страницы для обработки различных статусов ошибок HTTP.
Настройте шифрованное соединение (HTTPS)
Для того чтобы настроить HTTPS (SSL) для веб-приложений, вы должны сначала настроить IIS (или пусть это сделает провайдер). Более подробную информацию о конфигурации IIS можно найти в официальной документации IIS . Имейте в виду, что самостоятельно подписанные сертификаты не очень безопасны, поскольку они допускают нападение "Среднего человека". Если вы серьезно беретесь за безопасность, вы всегда должны использовать сертификат, сгенерированный центром сертификации. Подробные сведения о настройке протокола HTTPS в Kentico CMS можно найти в руководстве разработчика.
Зашифруйте разделы с конфиденциальными данными в файле web.config
Возможно, вы помните об уязвимости дополнения oracle в ASP.NET, обнаруженной в прошлом году. Ваш web.config может быть поставлен под угрозу, и вы должны, по крайней мере, зашифровать разделы со строками подключения. Эта функция встроена в ASP.NET. Я нашел очень хороший блог-пост, который описывает, как это сделать.
Я не говорю, что эти пять подсказок являются тем, о чем только вы должны позаботиться, но с моей точки зрения, это является наиболее критичным. Знаете ли вы что-нибудь важнее? Пожалуйста, дайте мне знать в комментариях.