Безопасность

  1. Использование в CMS PHP фреймворка RChe Framework самой последней версии.
  2. Использование только актуальных плагинов.
  3. Рекомендовано использование SSL Сертификата, работа по протоколу HTTPS. При инсталляции, система проверяет протокол соединения, с целью предотвращения атак типа MITM.
  4. Единая точка входа(index.php), запрет прямого вызова других скриптов.
  5. Запрет доступа из вне к каталогам CMS, где могут размещаться важные данные, в том числе кешированные запросы к БД, по средствами .htaccess
  6. Встроенная защита от атак типа DDOS на уровне скрипта.
  7. Проверка всех входящих данных GET, POST, в том числе на предмет передаваемых HTML тегов, для защиты от атак типа XSS.
  8. Передаваемые пользователями данные для работы с БД, экранируются, приводятся к нужному типу, для избежания атак типа SQL-инъекций.
  9. Все параметры маршрутизации передаваемые в URL методами GET, POST, замкнуты на единый обработчик.
  10. Хранение паролей пользователей только в виде хешей (md5 + salt), с целью противостояния парольным атакам.
  11. Настройки минимальной длины пароля для всех пользователей сайта.
  12. Автоблокировка аккаунта в случае нескольких неудачных попыток ввода пароля, защита от BruteForce.
  13. Логирования важных(основных, но не всех, в пределах разумного) действий пользователей (добавление, изменение, удаление данных, платежи, и т.д.), с доступом в журнал событий их админпанели.
  14. При отправки данных пользователями, в HTML формах применение защиты от ботов, Google reCaptcha.
  15. Автоматическое добавление в HTML формы CSRF токена, с последующей его проверкой. Защита от атак вида CSRF, XSRF.
  16. Функционал резервного копирования базы данных средствами админпанели.
  17. Встроенные функции шифрование и дешифрования данных по ключу как с использованием mCrypt так и OpenSSL.
  18. Управление доступом, к разделам сайта, на основе ролей, RBAC.
  19. Тщательная проверка сторонних библиотек используемых в CMS, проверка источника и их автора, приоритет своим библиотекам, для избежания вероятности наличия в них уязвимостей(в том числе умышленных, типа BackDoor).
  20. Функция массового удалением всех комментариев на сайте которые похожи на СПАМ.
  21. Для предотвращения множественного голосования одним и тем же пользователем(функционал Опросы) предусмотрена система запоминания пользователя по IP и Cookie.
  22. Рекомендуется своевременно обновлять CMS при наличии новых версий, для избежания атак типа “Нулевого дня”. Встроенная функция проверки и обновления CMS.
  23. Подтверждение значимых действий по емаил (заявка на вывод средств, регистрация)