Всем привет! Кто сейчас занимается защитой своих проектов, подскажите, с чего обычно начинаете базовую проверку сайта? У меня есть своя мини-рутина, которую пробую прогонять на каждом обновлении — на всякий случай. Смотрю, закрыты ли данные директории, не валится ли сайт на старых версиях CMS и плагинов, проверяю права на папки (чтобы 777 не светились). Ещё обязательно гляжу заголовки ответа сервера — чтобы не отдавал лишнюю информацию о системе. Пару раз ловил баги благодаря простым скриптам для проверки на XSS и инъекции, без запуска всяких «тяжёлых» сканеров — просто руками и с curl.
Ещё крутится в голове идея сделать чек-лист с самыми нужными элементами вроде CSRF-токенов, безопасности форм, Content Security Policy и отключения ненужных скриптов. Кто что добавляет в свою проверку? Много всяких сервисов сейчас есть, часть запускаю, часть тормозит, поэтому хочется держать голову над простым списком. Может, поделитесь своими must-have пунктами для быстрого аудита перед выкатыванием?