If applicable, dedicate a single working directory for processes of web server to create/manage working files during execution. Ensure to have the working files removed after the processes finished.
• The web server administration tools should only be accessed by authorised administrators through authentication systems with log records. Vital configuration files should only be updated by the administrators.
• The integrity and availability of the websites should be closely monitored daily. IDS/IPS should be used to notify administrators for unauthorised modifications or access.
• Disable all unused accounts, including user, service and default accounts.
• Remove all default or sample files from the web server.
・ウェブサーバ管理ツールはログ記録を持った認証システムにより権限を与えられた管理者によってのみアクセスされること。重要な構成ファイルは管理者によってのみアップデートされること。
・ウェブサイトの統合性と有用性は日々十分にモニタされること。 IDS/IPS は許可されていない修正やアクセスの発生を管理者に知らせるために使用されること。
・ユーザ、サービスおよびデフォルトのアカウントを含めたすべての使用されていないアカウントを不許可にすること。
・ウェブサーバからのすべてのデフォルトあるいはサンプルファイルを削除すること。
・ウェブサーバーの管理ツールは、ログ記録認証システムを通した正規の管理者によってのみアクセスされるべきである。重要な設定ファイルは管理者だけが更新するべきである。
・ウェブサイトの完全性と可用性を毎日厳密に絶えず監視するべきである。IDS/IPSは、無許可の変更やアクセスについて管理者へ通知するのによく慣れていなければならない。
・ユーザー、サーバー及び規定のアカウントを含め、未使用のアカウントを無効にすること。
・全ての規定またはサンプルのファイルをウェブサーバーから削除すること。
• Restrict web crawling for the contents which are not supposed to be searched or archived by public search engines.
• The passwords of administrative tools should be changed periodically and should not be repeated.Never use the default passwords for these administration tools.
ACCESS CONTROL
• To avoid IP spoofing attacks, a combination of IP address restriction and user authentication should be used.
• No directories or data files should be accessed or updated by anonymous or unauthorised users.
• Access should be granted only to registered users. Limit the numbers of login accounts available in the server machine. Review and delete inactive users periodically.
・管理ツールのパスワードは定期的に変更されるべきであり、繰り返されるべきではありません。絶対に、管理ツールのデフォルトのパスワードを使用してはいけません。
アクセス制御
・IPスプーフィング攻撃を回避するために、IPアドレス制限とユーザ認証を組み合わせて使用すべきです。
・ディレクトリやデータファイルは、匿名または権限のないユーザーによってアクセスや更新されるべきではありません。
・アクセスは登録ユーザーのみに許可されるべきです。サーバマシンで利用可能なログインアカウントの数を制限してください。定期的に非アクティブなユーザーを確認して、削除してください。
•管理ツールのパスワードは定期的に変更されるべきであり、繰り返し使うべきではありません。
これらの管理ツールにデフォルトのパスワードを使用しないでください。
アクセス制御
•IPなりすまし攻撃を回避するために、IPアドレス制限とユーザ認証を組み合わせて使用すべきです。
•どのディレクトリやデータファイルも匿名または権限のないユーザーによってアクセスされたり更新されるべきではありません。
•アクセスは登録ユーザーのみに付与されるべきです。
サーバマシン上で利用可能なログイン·アカウントの数を制限します。
定期的に非アクティブなユーザーを確認し削除します。
• All unnecessary accounts should be disabled, especially those guest accounts.
• Only appropriate administration processes / accounts should be allowed to access the logs.
• Sensitive information stored on an external web server should be protected with strong encryption and should require authentication for access.
WEB CONTENT MANAGEMENT
• All websites and pages should be thoroughly tested and checked before production or after major changes.
• Control should be made such that only delegated and authorised persons could have rights for posting and updating web pages to the production environment.
・適切な管理プロセス/アカウントのみがログにアクセスを許可されるべきである。
・外部のウエブサーバーに保存された慎重に扱うべき情報は、強力な暗号化で防御され、アクセスするには認証が必要とすべきである。
ウエブコンテンツ管理
・全てのウエブサイトとページは、実稼働の前や大幅な変更の後には十分にテスト及びチェックされるべきである。
・実稼働環境のウエブページへの掲載やアップデートは、委任された人と権限を持つ人のみが権利を持つように管理されるべきである。
•適切な管理プロセス/アカウントにだけログにアクセスを許可する必要があります。
•外部Webサーバに格納されている•機密情報は強力な暗号化で保護されるべきであり、アクセスのための認証を要求する必要があります。
Webコンテンツ管理
•すべてのウェブサイトやページは徹底的にテストを課し、生産の前または重要な変更後にチェックする必要があります。
•コントロールは、委任され権限を持つ、更新するための権限とWebページを本番環境へアップデートする権利を持つ人のみに改変されるべきです。
Thank you!