
Deklaracja bezpieczeństwa strony internetowej
Data publikacji deklaracji: 30 czerwca 2025
Adres strony internetowej: https://literackisopot.pl/
Właściciel strony: Goyki 3 Art Inkubator
Numer certyfikatu: WPSC-2025-000323
Data uzyskania certyfikatu: 28 czerwca 2025
Ważność certyfikatu: do 28 czerwca 2026
Podmiot certyfikujący: certyfikat-bezpieczenstwa.pl
Cel deklaracji
Deklaracja bezpieczeństwa stanowi potwierdzenie, że strona internetowa https://literackisopot.pl/ została poddana szczegółowemu audytowi technicznemu pod kątem bezpieczeństwa cyfrowego i w dniu uzyskania certyfikatu spełniała wszystkie wymogi 16-warstwowego standardu WP Secure Score.
Dokument ten został sporządzony w celu przejrzystego poinformowania użytkowników oraz partnerów, że podjęto wszelkie niezbędne kroki w celu zapewnienia wysokiego poziomu bezpieczeństwa danych, integralności systemu oraz ochrony przed zagrożeniami cybernetycznymi.
Zakres przeprowadzonych testów
Strona internetowa została zweryfikowana w zakresie następujących elementów:
-
Aktualność środowiska WordPress
– wersja WordPressa, motywu i wszystkich aktywnych wtyczek była aktualna i zgodna z repozytoriami bezpieczeństwa. -
Bezpieczeństwo logowania
– aktywne ograniczenie prób logowania, ukryty panel logowania, wymuszone silne hasła, aktywne dwuetapowe uwierzytelnienie (2FA). -
Bezpieczeństwo REST API i XML-RPC
– blokada zbędnych punktów końcowych, ograniczony dostęp do REST API, całkowita dezaktywacja XML-RPC. -
Ochrona przed skryptami i atakami XSS/CSRF
– brak możliwości wstrzyknięcia nieautoryzowanych skryptów w formularzach i metapolach. -
Nagłówki bezpieczeństwa (Security Headers)
– obecność i prawidłowa konfiguracja takich nagłówków jakContent-Security-Policy
,X-Frame-Options
,X-XSS-Protection
,Referrer-Policy
,Strict-Transport-Security
. -
Zabezpieczenie katalogów i plików systemowych
– brak dostępu do katalogów systemowych przez przeglądarkę, blokada dostępu do plików takich jakreadme.html
,xmlrpc.php
,wp-config.php
. -
Uprawnienia plików i folderów
– poprawne uprawnienia (CHMOD) zgodne z dobrymi praktykami WordPressa (644 dla plików, 755 dla katalogów). -
Bezpieczeństwo formularzy i walidacja danych wejściowych
– weryfikacja formularzy kontaktowych i loginowych pod kątem odporności na spam i nadużycia. -
Weryfikacja linków wychodzących i zewnętrznych skryptów
– brak potencjalnie niebezpiecznych skryptów z niezweryfikowanych źródeł. -
Certyfikat SSL/TLS
– poprawna konfiguracja certyfikatu SSL, wymuszenie połączenia HTTPS, brak mieszanej zawartości. -
Ustawienia prywatności i RODO
– obecność polityki prywatności, poprawna konfiguracja zgód na pliki cookies. -
Ochrona przed botami i automatycznymi skanami
– aktywna reCAPTCHA, zabezpieczeniarobots.txt
, blokada adresów IP po wykryciu podejrzanych działań. -
Firewall aplikacyjny (WAF)
– obecność i aktywność Web Application Firewall (np. Wordfence, Sucuri lub inny). -
Skanowanie malware i luk bezpieczeństwa
– brak wykrytych złośliwych plików, backdoorów ani nieznanych modyfikacji rdzenia WordPressa. -
Weryfikacja bezpieczeństwa plików .htaccess i wp-config
– aktywne blokady dostępu do poufnych plików, zabezpieczenia plików konfiguracyjnych. -
Monitorowanie i alerty bezpieczeństwa
– skonfigurowany system alertów e-mail i logowania działań administracyjnych.
Oświadczenie właściciela strony
Oświadczamy, że w momencie uzyskania certyfikatu strona spełniała wszystkie wymogi bezpieczeństwa, a jej środowisko było wolne od znanych podatności. Zobowiązujemy się do utrzymania tego poziomu poprzez bieżące aktualizacje, okresowe testy i wdrażanie najlepszych praktyk w zakresie ochrony danych i systemów.
Dokument odnosi się do
- Wytycznych OWASP Top 10
- Rekomendacji CERT Polska
- Dobrych praktyk WordPress Foundation
- Wewnętrznych standardów WP Secure Score