Troque a senha do usuário wcmadmin regularmente. Se possível, incentive seus usuários a trocarem a senha com regularidade e implemente a utilização de senhas fortes.

Para um gerenciamento mais completo e seguro dos acessos, permissões e identidades, recomendamos implementar o TOTVS Identity integrado com o Fluig. Você também pode utilizar os eventos beforeCreateUser e beforeUpdateUser para criar regras de senhas fortes. Mais informações em Desenvolvimento de eventos.

Não crie usuários com matrícula e login iguais. Não utilize dados pessoais, como o CPF, pois esses campos não podem ser anonimizados, alterados ou excluídos.

Você pode configurar permissões de acesso em APIs, Datasets e Webservices, conforme explica a documentação: Recursos de permissão em APIs, datasets e webservices.

A inicialização dos serviços da plataforma em Servidor Linux não pode ser realizada com o usuário root, para isso deve configurar seu ambiente conforme é orientado na documentação: Configurar ambiente Linux para não utilizar o usuário root.

O TOTVS Fluig Plataforma possui suporte a implementação de DMZ e sugerimos a implementação conforme explica a documentação: Topologia DMZ.

A senha do banco de dados deve ser criptografada no arquivo domain.xml. Consulte o procedimento em: Encriptação de senha do banco de dados.
O mesmo se aplica a senha do LDAP, quando configurado este tipo de autenticação. Consulte o procedimento em: Configuração de autenticação utilizando LDAP.

Configure a plataforma para utilizar o protocolo HTTPS e a opção Flags "HttpOnly" e "Secure" nos cookies será automaticamente habilitada. É importante mantê-la habilitada. Para mais detalhes consulte Configuração HTTPS da plataforma e Configurações do sistema.

Mantenha as configurações do Apache e Nginx atualizadas: Título link.

Não deixe exposto credenciais de acesso (chaves de autenticação, usuário e senha, etc) em páginas públicas. Veja como consultar serviços autenticados em página pública de forma segura: Como expor dados em ambientes públicos.

Sempre utilize o IP da rede interna no arquivo domain.xml. Isso evita chegar ao servidor, caso haja algum vazamento.

Configurar o arquivo robots.txt. A partir da atualização 1.7.1-211207 a plataforma cria automaticamente o arquivo impedindo o rastreamento de arquivos do site. Para mais detalhes, consulte a documentação: Como configurar o arquivo robots.txt.

Remova as informações dos resultados da pesquisa, para saber mais acesse: Remover informações do Google.
* O Google é o mais comum, mas esse procedimento pode ser feito para outros buscadores.

Libere o acesso para https://version.fluig.com. O serviço de versionamento do Fluig notifica sobre novas versões disponíveis e atualizações de segurança.

Mantenha habilitado o bloqueio de Clickjacking conforme orientado na documentação: Configurações da plataforma.

Avalie a configuração dos balanceadores de carga para que não enviem informações desnecessárias no cabeçalho conforme instruído nessa documentação.

Utilize as versões de software homologadas na Matriz de portabilidade.

Para ambientes que necessitam utilizar antivírus, adicione a pasta de instalação do Fluig e o diretório de volume como exceções para que não interfiram nas funções de leitura/escrita.

Mantenha o Sistema Operacional atualizado, principalmente em relação aos patches de segurança. Desinstale softwares não essenciais e, na presença deles, mantenha-os atualizados.

Altere as portas e as configurações padrão da plataforma.

Recomendamos a configuração do CORS (Cross-origin Resource Sharing ou Compartilhamento de Recursos de Origem Cruzada) que é um mecanismo utilizado pelos navegadores para compartilhar recursos entre diferentes origens. Obtenha informações detalhadas em Cross-origin Resource Sharing.

Recomendamos .... conforme a documentação Título link. Para que o item seja apresentado, editar o Painel e remover o título "oculto"