Webサイトの保護に関する一般的なガイドラインは、次のとおりです。
ISPとWebサーバーの間に市販のファイアウォールを使用します。
切替式のイーサネットを使用して、セキュリティを破られたサーバーにより検出される可能性のある通信量を制限します。Webサーバー・マシンと、データベースやエンタープライズ・アプリケーションを実行中の機密性の高い内部サーバーの間に、追加のファイアウォールを使用します。
RPC、Finger、telnetなど、不要なネットワーク・サービスをサーバーから削除します。
Webフォームからの入力と、アプリケーションからの出力を常にすべて検証します。エンコーディング、長い入力文字列、印刷不能文字やHTMLタグ、またはJavaScriptタグを含む入力は必ず検証してください。
重要情報を含むCookieの内容は、暗号化します。
すべてのシステムとアプリケーション・ソフトウェアのセキュリティ・パッチを頻繁にチェックし、入手後すぐにインストールします。パッチは、OracleまたはOracleサポート担当者からのもののみ受け入れます。
該当する場合は、侵入検出パッケージを使用して、改変されたWebページ、ウィルスおよびrootkitの有無を監視します。可能な場合は、システムの実行可能ファイルとWebのコンテンツを読取り専用ファイル・システムにマウントしてください。
アプリケーションに対して侵入テストやその他の適切なセキュリティ・テストを使用することを検討してください。アプリケーションを保護するために適切なカスタムmod_securityルールを使用してWebセキュリティを構成することを検討してください。mod_securityの詳細は、mod_securityモジュールの構成およびmod_securityの使用を参照してください。
httpd.confファイルから不要なコンテンツを削除します。「不要コンテンツへのアクセスの削除」を参照してください。
Webページをクリックジャック攻撃から保護するための予防措置を講じます。インターネットには多くの使用可能な参考情報があります。クリックジャックの詳細は、Oracle DatabaseおよびFusion Middlewareのセキュリティ脆弱性に関するFAQ (Doc ID 1074055.1)のセキュリティのベスト・プラクティスに関する項を参照してください。