قائمة CISA للممارسات السيئة التي تضر بأمن WordPress
نشرت: 2022-08-24CISA ، التي تمثل وكالة الأمن السيبراني وأمن البنية التحتية ، هي وكالة فيدرالية أمريكية تعمل تحت إشراف وزارة الأمن الداخلي. تأسس في عام 2018 ، وهو يحل محل NPPD - مديرية الحماية والبرامج الوطنية ومكلف بتحسين الأمن السيبراني ضد الهجمات التي تنشأ من كل من المتسللين الخاصين والمدعومين من الدولة.
تقوم CISA بالكثير من العمل للمساعدة في ضمان سلامة وأمن البنى التحتية والأنظمة الحيوية. ولهذه الغاية ، تنشر العديد من الأدلة والقوائم لمساعدة الهيئات الحكومية والشركات الخاصة في الحفاظ على ممارسات أمنية جيدة والبقاء آمنين على الإنترنت. يمكنك بسهولة تطبيق أدلة CISA على موقع WordPress الشخصي أو التجاري الخاص بك للأمان المتوافق مع معايير CISA.
أحد هذه الموارد التي يتيحها CISA للجمهور هو كتالوج الممارسات السيئة. في حين أن هذا الكتالوج هو عمل قيد التقدم - وسيكون دائمًا بسبب الطبيعة الديناميكية والمتطورة للتهديدات - فإنه يعطينا نظرة ثاقبة حول ما تعتبره CISA ممارسات سيئة حقًا.
أمان CISA و WordPress
غالبًا ما تنتشر ممارسات CISA السيئة في بيئات WordPress ، مما يجعل القائمة أكثر صلة بمسؤولي WordPress وأصحاب مواقع الويب. لحسن الحظ ، فإن القضاء على هذه الممارسات السيئة سهل ويمكن القيام به في أي وقت من الأوقات على الإطلاق.
إذا كنت تتطلع إلى الارتقاء بأمانك إلى المستوى التالي ، فراجع دليل أمان WordPress للحصول على قائمة كاملة ومفصلة بكل ما يمكنك القيام به لضمان أمان موقع الويب الخاص بك.
كما فتحت الوكالة أيضًا صفحة GitHub حيث يمكن للمسؤولين ومحترفي تكنولوجيا المعلومات الآخرين إبداء رأيهم حول الممارسات السيئة للتضمين في الكتالوج.
الخطر 1: استخدام برامج غير مدعومة
بشكل دائم ، تأتي البرامج مصحوبة بأخطاء - وهو أحد أسباب إصدار المطورين للتحديثات. لا تعالج التحديثات الأخطاء والثغرات الأمنية فحسب ، بل تضيف أيضًا ميزات وتحسينات جديدة. يعد تثبيت هذه التحديثات في أسرع وقت ممكن أمرًا مهمًا للغاية للحفاظ على أمان البنية التحتية الخاصة بك.
لا تتلقى البرامج غير المدعومة ، مثل الإصدارات القديمة والبرامج التي وصلت إلى نهاية عمرها الافتراضي والمكونات الإضافية الملغاة ، تحديثات ، مما يجعلها خطيرة بشكل خاص لأنها يمكن أن تقدم نقاط ضعف معروفة لبيئتك.
يمكن للمهاجمين استغلال نقاط الضعف هذه للحصول على وصول غير مصرح به إلى نظامك. وهذا بدوره يسمح لهم بسرقة بياناتك ، وإزالة موقع الويب الخاص بك ، والقيام بمجموعة من الأنشطة الضارة الأخرى.
المحلول
يمكن أن يؤدي تثبيت التحديثات في أسرع وقت ممكن إلى تقليل المخاطر المرتبطة بالثغرات الأمنية والأخطاء بشكل كبير. بالمثل ، تريد التأكد من أن الموردين والمطورين الذين تختارهم يستجيبون ويصدرون التحديثات بشكل متكرر (وليس مرة واحدة في السنة).
عند اختيار المكونات الإضافية ، انظر إلى محفوظات الإصدار لمعرفة عدد مرات إصدار التحديثات. التحديثات اليومية ليست علامة جيدة. ومع ذلك ، قد تشير التحديثات السنوية أيضًا إلى وجود خطأ ما. قد ترغب أيضًا في التحقق من تعليقات المستخدم لمعرفة مدى استجابة المطور لأسئلة المستخدم.
الخطر 2: كلمات مرور سيئة
تتضمن كلمات المرور السيئة كلمات المرور الافتراضية وكلمات المرور المعاد تدويرها وكلمات المرور التي تم تسريبها مسبقًا وكلمات المرور الضعيفة. يمكن أن يكون اختراق كلمات المرور السيئة أمرًا سهلاً للغاية ، مما يوفر للمهاجمين طريقًا سهلًا لأنظمتك. تعد مشاركة كلمة المرور ممارسة سيئة أخرى تحدث غالبًا في بيئات WordPress وخارجها. تزيد كلمات المرور المشتركة بشكل كبير من خطر تسريب كلمات المرور وتجعل من الصعب تتبع المشكلات ومساءلة الفريق.
المحلول
تقطع سياسة كلمات المرور القوية في WordPress شوطًا طويلاً في مساعدتك على التخلص من كلمات المرور السيئة. WPassword هو مكون إضافي لبرنامج WordPress يوفر للمسؤولين تحكمًا دقيقًا في كيفية إعداد المستخدمين لسياسات كلمات المرور الخاصة بهم ، مما يضمن استخدام كلمات مرور آمنة وفعالة.
الخطر 3: المصادقة أحادية العامل
المصادقة أحادية العامل هي الخطر الثالث والأخير الذي يجعله في كتالوج CISA للممارسات السيئة. في إعدادات المصادقة أحادية العامل ، يمكن للمستخدمين تسجيل الدخول باستخدام اسم المستخدم وكلمة المرور فقط. في بيئات المصادقة الثنائية (2FA) أو MFA ، يجب على المستخدمين المصادقة عبر طريقة ثانية (أو أكثر).
يمكن أن تكون المصادقة أحادية العامل مشكلة بشكل خاص إذا تم تسريب كلمات المرور ، وبينما تقطع سياسة كلمة المرور الجيدة شوطًا طويلاً في تقليل المخاطر ، فإن عامل المصادقة الثانوي يزيد بشكل كبير من الأمان العام لموقع WordPress الخاص بك.
أصبح المصادقة الثنائية (2FA) بسرعة المعيار الذهبي للمصادقة. في حين أن فرضيته بسيطة للغاية ، إلا أنه يمكنه إيقاف معظم الهجمات الأكثر شيوعًا في مساراتهم. هذا يجعلها مفضلة لدى عمالقة الصناعة ، والهواة ، وكل من بينهم.
المحلول
لا يقدم WordPress المصادقة الثنائية (2FA) فور إخراجها من الصندوق. ومع ذلك ، فإن تطبيق 2FA على موقع WordPress الخاص بك أمر سهل ، وذلك بفضل WP 2FA. يأتي المكون الإضافي WordPress 2FA هذا مع خيارات أكثر مما يمكنك التخلص منها ، مما يضمن أن جميع المستخدمين يمكنهم الاستفادة من 2FA للحصول على WordPress أكثر أمانًا.
خطة عمل أمان WordPress لوضع الممارسات السيئة في الفراش
الممارسات السيئة مثل العادات السيئة. يجب أن يتم فحصها بمرور الوقت لضمان عدم سقوط أي شيء من خلال الشقوق. هذا هو السبب في أن أمان WordPress هو عملية تكرارية. يجب أن نحضره في كثير من الأحيان للتأكد من أننا نتبع أفضل الممارسات في جميع الأوقات.
في حين أن هناك بلا شك ممارسات سيئة أخرى لم تصنع قائمة CISA ، فإن ما تقدمه هو نقطة انطلاق جيدة. إلى خلاصة،
- قم بتثبيت التحديثات بمجرد توفرها. إذا كنت قلقًا بشأن تعطل التحديثات لموقعك ، فقم بتثبيت بيئة مرحلية لاختبار التحديثات قبل طرحها في البيئة الحية.
- قم بتطبيق سياسة كلمة مرور WordPress قوية باستخدام WPassword للتخلص من كلمات المرور الضعيفة من بيئتك. شجع المستخدمين على استخدام مدير كلمات المرور للتخفيف من مكالمات الدعم لكلمات المرور المنسية المعقدة للغاية.
- تمكين واستخدام السياسات لطلب مصادقة WordPress ذات العاملين على جميع المستخدمين. استخدم WP 2FA للاستفادة من ميزاته العديدة ، والتي تشمل تكامل Authy ، وفترات السماح ، ووضع العلامات البيضاء ، من بين العديد من الميزات الأخرى.
بينما تشكل قائمة CISA نقطة انطلاق جيدة ، فإن تأمين موقع WordPress الخاص بك يتطلب نهجًا أكثر شمولاً. من ضمان كلمات مرور قوية إلى تقوية WordPress ، هناك الكثير الذي يمكنك القيام به بنفسك باتباع أدلة WP White Security للحصول على أمان WordPress ممتاز.
ملاحظة: نوصي بإعداد بيئة اختبار WordPress إذا كانت لديك خبرة محدودة في تأمين مواقع WordPress على الويب.