Web sayfası güvenliği

WEB güvenliği hakkında bir bilgim yok. NodeJS ile bir site yayınlamayı düşünüyorum. Üyelik sistemi yok. Sitemde sadece ürünleri kontrol edebilmek için admin paneli var. Admin paneline girerken şifre doğruysa bir session oluşturuyorum. Bu session çıkış yapana kadar veritabanında tutuluyor, çıkış yapınca siliniyor. Login olmayan kişiler için bir middleware oluşturup Route Protection yapıyorum. Sadece admin'in yapabildiği işlemleri daha güvenli hale nasıl getirebilirim? Admin paneli şifremi birisi kırabilir mi?

Bu konuda yapılabilecek pek çok şey var. Ben kendi kullandığım yöntemleri söyleyeceğim. Bu yöntemler tecrübe kazandıkça yani aldığım saldırılar sonrasında edinilen bilgiler.

- SQL Injection açıklarına karşı dikkatli olmak (MySQL)
- XSS açıklarına karşı dikkatli olmak (JS)
- Tırnak işareti gibi açık oluşturabilecek karakterleri HTML koduna dönüştürme
- Kendi IP adresin ile giriş yapma (Eğer IP adresin dinamik ise bunu makine üzerinden veya panelden güncelleyeceksin. Bu ultra koruma sağlar.)
- Cihazını tanıtıp kendi cihazın ile yönetim paneline erişme