Dopĺňam zopár ďalších odporúčaní, skôr pre inšpiráciu. Nezabudnúť na to, že aby aplikácia ostala bezpečná, treba sa o ňu pravidelne starať.
- inšpirovať sa odporúčaniami OWASP pri vývoji
- správne použité SSL
- zabezpečené admin rozhranie (viacfaktorová autorizácia, VPN)
- používať IPS, WAF
- pripravená DDoS ochrana
- sledovať logy, alarmy, anomálie
- pravidelne patchovať
- nastaviť rate limity - na počty prihlásení, requestov, objem dát, ... a logovať a reportovať prekročenia
- kryptovať backupy a pravidelne ich testovať
- vyhnúť sa zdieľanému webhostingu
- nezabudnúť paranoidne chrániť admin prístupy k správe domény a certifikačnej autorite
- dávať pozor aby produkčné heslá, privátne kľúče a zákaznícke dáta neunikli cez developerské nástroje - ideálne držať developerov čo najďalej od produkcie :-)
- mať všade zverejnenú a funkčnú abuse mail adresu