Security-Hardening: 12 Checks vor jedem Release (Template)

Ein Release-Gate, das die häufigsten Lücken stoppt. Schlank, CI-fähig, sofort einsetzbar.

Die 12 Checks

1. Least-Privilege für User/Keys
2. DB-Creds rotiert, keine Default-Prefixe
3. HTTPS erzwungen, HSTS aktiv
4. WAF-Regeln aktiv, Bot-/Rate-Limits
5. 2FA/SSO für Admin
6. Backups + Restore-Test erfolgreich
7. Plugin/Theme-Audit, keine veralteten Abhängigkeiten
8. File Permissions gehärtet (kein 777)
9. CSP + Referrer-Policy gesetzt
10. Admin-URL geschützt (Rate Limit/Geo)
11. Logs & Alerts aktiv (Login, 4xx/5xx Spikes)
12. Secrets nicht im Repo/Front-End

Template für CI-Gate (Pseudo)

run: security-check
steps:
  - npm run lint:security
  - npm run test:security
  - verify-backup-restore
  - check-waf-rules
  - check-csp-referrer-policy

Betriebsroutine

• Vor jedem Release: Gate durchlaufen, Blocker fixen.
• Wöchentlich: Log-Review, WAF-Events, Credential-Rotation prüfen.
• Quartalsweise: Pen-Test/Scan, Plugins reduzieren.

CTA

Button: „CI-Checklist übernehmen“ – mit YAML-Snippet und Tool-Empfehlungen.