Deklaracja bezpieczeństwa strony internetowej

Data publikacji deklaracji: 30 czerwca 2025
Adres strony internetowej: https://literackisopot.pl/
Właściciel strony: Goyki 3 Art Inkubator
Numer certyfikatu: WPSC-2025-000323
Data uzyskania certyfikatu: 28 czerwca 2025
Ważność certyfikatu: do 28 czerwca 2026
Podmiot certyfikujący: certyfikat-bezpieczenstwa.pl

Cel deklaracji

Deklaracja bezpieczeństwa stanowi potwierdzenie, że strona internetowa https://literackisopot.pl/ została poddana szczegółowemu audytowi technicznemu pod kątem bezpieczeństwa cyfrowego i w dniu uzyskania certyfikatu spełniała wszystkie wymogi 16-warstwowego standardu WP Secure Score.

Dokument ten został sporządzony w celu przejrzystego poinformowania użytkowników oraz partnerów, że podjęto wszelkie niezbędne kroki w celu zapewnienia wysokiego poziomu bezpieczeństwa danych, integralności systemu oraz ochrony przed zagrożeniami cybernetycznymi.

Zakres przeprowadzonych testów

Strona internetowa została zweryfikowana w zakresie następujących elementów:

  1. Aktualność środowiska WordPress
    – wersja WordPressa, motywu i wszystkich aktywnych wtyczek była aktualna i zgodna z repozytoriami bezpieczeństwa.

  2. Bezpieczeństwo logowania
    – aktywne ograniczenie prób logowania, ukryty panel logowania, wymuszone silne hasła, aktywne dwuetapowe uwierzytelnienie (2FA).

  3. Bezpieczeństwo REST API i XML-RPC
    – blokada zbędnych punktów końcowych, ograniczony dostęp do REST API, całkowita dezaktywacja XML-RPC.

  4. Ochrona przed skryptami i atakami XSS/CSRF
    – brak możliwości wstrzyknięcia nieautoryzowanych skryptów w formularzach i metapolach.

  5. Nagłówki bezpieczeństwa (Security Headers)
    – obecność i prawidłowa konfiguracja takich nagłówków jak Content-Security-Policy, X-Frame-Options, X-XSS-Protection, Referrer-Policy, Strict-Transport-Security.

  6. Zabezpieczenie katalogów i plików systemowych
    – brak dostępu do katalogów systemowych przez przeglądarkę, blokada dostępu do plików takich jak readme.html, xmlrpc.php, wp-config.php.

  7. Uprawnienia plików i folderów
    – poprawne uprawnienia (CHMOD) zgodne z dobrymi praktykami WordPressa (644 dla plików, 755 dla katalogów).

  8. Bezpieczeństwo formularzy i walidacja danych wejściowych
    – weryfikacja formularzy kontaktowych i loginowych pod kątem odporności na spam i nadużycia.

  9. Weryfikacja linków wychodzących i zewnętrznych skryptów
    – brak potencjalnie niebezpiecznych skryptów z niezweryfikowanych źródeł.

  10. Certyfikat SSL/TLS
    – poprawna konfiguracja certyfikatu SSL, wymuszenie połączenia HTTPS, brak mieszanej zawartości.

  11. Ustawienia prywatności i RODO
    – obecność polityki prywatności, poprawna konfiguracja zgód na pliki cookies.

  12. Ochrona przed botami i automatycznymi skanami
    – aktywna reCAPTCHA, zabezpieczenia robots.txt, blokada adresów IP po wykryciu podejrzanych działań.

  13. Firewall aplikacyjny (WAF)
    – obecność i aktywność Web Application Firewall (np. Wordfence, Sucuri lub inny).

  14. Skanowanie malware i luk bezpieczeństwa
    – brak wykrytych złośliwych plików, backdoorów ani nieznanych modyfikacji rdzenia WordPressa.

  15. Weryfikacja bezpieczeństwa plików .htaccess i wp-config
    – aktywne blokady dostępu do poufnych plików, zabezpieczenia plików konfiguracyjnych.

  16. Monitorowanie i alerty bezpieczeństwa
    – skonfigurowany system alertów e-mail i logowania działań administracyjnych.

Oświadczenie właściciela strony

Oświadczamy, że w momencie uzyskania certyfikatu strona spełniała wszystkie wymogi bezpieczeństwa, a jej środowisko było wolne od znanych podatności. Zobowiązujemy się do utrzymania tego poziomu poprzez bieżące aktualizacje, okresowe testy i wdrażanie najlepszych praktyk w zakresie ochrony danych i systemów.

Dokument odnosi się do

  • Wytycznych OWASP Top 10
  • Rekomendacji CERT Polska
  • Dobrych praktyk WordPress Foundation
  • Wewnętrznych standardów WP Secure Score