If applicable, dedicate a single working directory for processes of web server to create/manage working files during execution. Ensure to have the working files removed after the processes finished.
• The web server administration tools should only be accessed by authorised administrators through authentication systems with log records. Vital configuration files should only be updated by the administrators.
• The integrity and availability of the websites should be closely monitored daily. IDS/IPS should be used to notify administrators for unauthorised modifications or access.
• Disable all unused accounts, including user, service and default accounts.
• Remove all default or sample files from the web server.
もし適応可能であれば単独の機能しているディレクトリを実行中の機能しているファイルを作成もしくは管理するためのウェブサーバのプロセス専用とすること。プロセス終了後、機能しているファイルが削除されたことを確認すること。
・ウェブサーバ管理ツールはログ記録を持った認証システムにより権限を与えられた管理者によってのみアクセスされること。重要な構成ファイルは管理者によってのみアップデートされること。
・ウェブサイトの統合性と有用性は日々十分にモニタされること。 IDS/IPS は許可されていない修正やアクセスの発生を管理者に知らせるために使用されること。
・ユーザ、サービスおよびデフォルトのアカウントを含めたすべての使用されていないアカウントを不許可にすること。
・ウェブサーバからのすべてのデフォルトあるいはサンプルファイルを削除すること。
• Restrict web crawling for the contents which are not supposed to be searched or archived by public search engines.
• The passwords of administrative tools should be changed periodically and should not be repeated.Never use the default passwords for these administration tools.
ACCESS CONTROL
• To avoid IP spoofing attacks, a combination of IP address restriction and user authentication should be used.
• No directories or data files should be accessed or updated by anonymous or unauthorised users.
• Access should be granted only to registered users. Limit the numbers of login accounts available in the server machine. Review and delete inactive users periodically.
・一般の検索エンジンによって検索やアーカイブしてはいけないことになっているコンテンツのWebクローリングを制限します。
・管理ツールのパスワードは定期的に変更されるべきであり、繰り返されるべきではありません。絶対に、管理ツールのデフォルトのパスワードを使用してはいけません。
アクセス制御
・IPスプーフィング攻撃を回避するために、IPアドレス制限とユーザ認証を組み合わせて使用すべきです。
・ディレクトリやデータファイルは、匿名または権限のないユーザーによってアクセスや更新されるべきではありません。
・アクセスは登録ユーザーのみに許可されるべきです。サーバマシンで利用可能なログインアカウントの数を制限してください。定期的に非アクティブなユーザーを確認して、削除してください。
• All unnecessary accounts should be disabled, especially those guest accounts.
• Only appropriate administration processes / accounts should be allowed to access the logs.
• Sensitive information stored on an external web server should be protected with strong encryption and should require authentication for access.
WEB CONTENT MANAGEMENT
• All websites and pages should be thoroughly tested and checked before production or after major changes.
• Control should be made such that only delegated and authorised persons could have rights for posting and updating web pages to the production environment.
・不要なったアカウント、特にこれらのゲストアカウントは全て使用不能とすべきである。
・適切な管理プロセス/アカウントのみがログにアクセスを許可されるべきである。
・外部のウエブサーバーに保存された慎重に扱うべき情報は、強力な暗号化で防御され、アクセスするには認証が必要とすべきである。
ウエブコンテンツ管理
・全てのウエブサイトとページは、実稼働の前や大幅な変更の後には十分にテスト及びチェックされるべきである。
・実稼働環境のウエブページへの掲載やアップデートは、委任された人と権限を持つ人のみが権利を持つように管理されるべきである。