Проверьте DNS, TLS, редирект HTTP на HTTPS, security headers, robots.txt, sitemap.xml и отсутствие публичных .env, dump.sql, backup.zip и .git/config.
Убедитесь, что административные панели не индексируются и не светятся в публичных ссылках. Если панель должна быть доступна извне, включите отдельную авторизацию и rate limit.
Перед запуском платежей проверьте webhook signature, callback URLs, хранение секретов только на backend и отсутствие платежных ключей во frontend bundle.