ich bin mit meiner Neos Webseite endlich Live gegangen, dabei hab ich mir die Frage gestellt, nach was muss ich denn alles noch schauen damit das alles sicher ist. Also nur auf Neos bezogen.
Ich hab die Routes auf Neos.Setup deaktiviert, damit niemand mehr darauf zugreifen kann (gibt es auch eine andere Alternative dazu?)
Aber ist da sonst noch was? Hab ich was vergessen? Oder gibt es da einen “Leitfaden” was man alles noch beachten sollte, was auch Sicherheitsrelevant wäre?
das klingt doch schon alles ganz gut.
Ein wichtiger Punkt, der mir gerade noch einflällt ist der Production context. Du solltest in deinem Webserver die Environment-Variable FLOW_CONTEXT=Production gesetzt haben. Dann werden auch im Zweifel nur noch allgemeine Fehlermeldungen ohne interne Infos im Browser angezeigt.
(Vielleicht hast du den Context auch schon richtig gesetzt. Schau einfach mal in deine nginx/apache config)