• Beranda
  • Artikel
  • Memandu
  • Menghindari Bencana CMS: Meningkatkan Keamanan WordPress Anda ke Tingkat Selanjutnya

Menghindari Bencana CMS: Meningkatkan Keamanan WordPress Anda ke Tingkat Selanjutnya

Diterbitkan: 2022-11-02

Tidak ada yang ingin menjadi berita utama berikutnya karena mengalami pelanggaran data pelanggan atau kehancuran situs yang dahsyat.

Ancaman online saat ini ada dalam berbagai bentuk—dari bot yang memindai kerentanan yang diketahui hingga script kiddies, geng cyber, dan bahkan aktor negara bangsa.

Untuk tim TI yang terkepung, memastikan kehadiran online tidak terganggu dapat terasa seperti lebih dari pekerjaan penuh waktu, "berlari hanya untuk berdiri diam." Sayangnya, itu sering menyisakan sedikit bandwidth yang berharga untuk tugas nyata mempersiapkan situs, infrastrukturnya, dan bisnisnya untuk keadaan masa depannya.

Dalam seri Menghindari Bencana CMS keempat kami, kami mengeksplorasi lima cara organisasi dan wali TI mereka dapat memerangi situs dan aplikasi mereka dari serangan berbahaya, melindungi data pelanggan yang sensitif, dan menjaga bisnis mereka selalu terbuka untuk bisnis.

  • Manajemen kerentanan
  • Keamanan jaringan
  • Perlindungan data
  • Akses dan otentikasi
  • Pemulihan pelanggaran

1. Manajemen kerentanan

Mengidentifikasi dan mengurangi kerentanan perangkat lunak dapat menjadi tugas yang berat, bahkan untuk tim TI terbesar.

Manajemen kerentanan memerlukan identifikasi, klasifikasi, prioritas, pengelolaan, dan perbaikan kerentanan yang berkelanjutan dalam infrastruktur organisasi Anda. Menurut Pusat Keamanan Siber Nasional Inggris, “Eksploitasi kerentanan yang diketahui dalam perangkat lunak tetap menjadi penyebab terbesar insiden keamanan.”

Pemindaian kerentanan

Pemindaian berkala jaringan Anda untuk memantau setiap kerentanan baru atau akses terbuka yang tidak diinginkan ke mesin adalah suatu keharusan bagi setiap organisasi yang ingin meminimalkan permukaan serangan mereka. Sayangnya, memelihara perangkat lunak pemindaian, meninjau hasil pemindaian, dan menindaklanjutinya sering kali masuk dalam daftar prioritas di departemen TI yang sibuk.

Jawaban VIP WordPress:

Platform kami memberikan keamanan di seluruh jaringan Anda—mulai dari keamanan edge hingga perlindungan data saat transit antar komponen. Misalnya, perlindungan DDoS terus memantau lalu lintas web dan mengambil langkah mitigasi aktif saat aktivitas mencurigakan terdeteksi. Firewall berbasis jaringan dan host dengan proses pemberitahuan waktu nyata tersedia untuk mencegah upaya akses yang tidak sah.

Remediasi kerentanan

Menjaga agar lapisan aplikasi tetap diperbarui hanyalah satu langkah dalam prosesnya. Semua lapisan dan infrastruktur pendukung juga perlu terus diperbarui. Terkadang kerentanan terekspos yang tidak memiliki tambalan langsung atau memerlukan mitigasi dalam basis kode Anda.

Agar infrastruktur aplikasi Anda tetap mutakhir, diperlukan beberapa langkah, termasuk:

  • Memeriksa pembaruan untuk setiap perangkat lunak
  • Membangun rilis baru
  • Menguji arsitektur non-produksi Anda
  • Memastikan tidak ada masalah baru yang muncul dan selanjutnya memperbaiki masalah yang
  • Menempatkan aplikasi produksi Anda ke mode pemeliharaan dan meluncurkan pembaruan Anda

Catatan: Semua langkah ini harus dilakukan dengan setiap patch yang tersedia di setiap lapisan aplikasi Anda.

Khusus untuk WordPress, tidak hanya menjaga inti dan infrastruktur dasar tetap up to date. Tema dan plugin pihak ketiga harus diperbarui dan ditambal secara teratur. Penting juga untuk mengenali kualitas plugin pihak ketiga yang ditambahkan ke situs WordPress Anda. Beberapa mungkin memiliki kode yang buruk atau memperkenalkan kerentanan keamanan—dengan lalai atau jahat. Alat seperti WPScan, SonarQube, atau PHP_CodeSniffer dapat membantu mengotomatiskan tinjauan kode Anda untuk menangkap eksploitasi yang tidak diinginkan yang diperkenalkan.

Jawaban VIP WordPress :

Platform kami dikelola oleh anggota aktif komunitas WordPress. Ketika masalah muncul, kami segera menambalnya, seringkali sebelum perbaikan didorong ke kode inti WordPress. Sementara itu, kami secara proaktif memperingatkan semua pelanggan tentang: 1) pembaruan WordPress otomatis yang akan datang, memeriksa untuk memastikan mereka menggunakan versi terbaru dari platform kami, dan 2) eksploitasi plugin di alam liar dan upaya untuk menambal masalah ini di tingkat platform .

Lebih dalam, kami menggunakan pemindaian kode otomatis untuk permintaan tarik yang dibuat di repositori GitHub aplikasi. Ini dapat mengidentifikasi potensi masalah keamanan sebelum kode masuk ke produksi (dan berguna untuk mengevaluasi plugin dari ekosistem WordPress yang lebih luas.) Dengan memanfaatkan orkestrasi Kubernetes kami, WordPress VIP menyediakan penerapan tanpa downtime untuk aplikasi pelanggan.

Terakhir, berdasarkan pengalaman bertahun-tahun menjalankan WordPress dalam skala besar, kami dapat mengurangi vektor serangan umum—berkat pengujian kerentanan infrastruktur kami secara terus-menerus dan melibatkan pihak ketiga independen untuk menjalankan uji penetrasi terhadapnya.

2. Keamanan jaringan

Keamanan jaringan adalah bagian penting dari keberadaan online organisasi.

Keamanan terbaik di kelasnya berarti mengelola keamanan berbasis perimeter dan keamanan jaringan internal. Di sini banyak faktor yang harus dipertimbangkan dan dikelola untuk melindungi pengguna dan data mereka secara efektif.

Sistem deteksi intrusi

Memantau dan mencatat semua lalu lintas jaringan sangat penting dalam mengidentifikasi aktivitas berbahaya atau mencurigakan. Untuk mencegah akses yang tidak sah, tim keamanan memerlukan aturan otomatis atau administrator sistem yang memperingatkan untuk meninjau lalu lintas yang mencurigakan dan mengambil tindakan yang sesuai.

Firewall

Memahami lalu lintas apa yang diizinkan untuk melintasi jaringan Anda dan bagaimana aplikasi berkomunikasi di dalam dan di luar jaringan adalah suatu keharusan untuk meminimalkan risiko keamanan. Ini berarti menyetel dan meninjau aturan masuk/keluar menggunakan firewall perangkat lunak atau perangkat keras, yang hanya mengizinkan lalu lintas jaringan penting untuk menjalankan aplikasi Anda.

Memblokir atau mengizinkan lalu lintas yang salah dapat mencegah kinerja sistem vital atau, lebih buruk lagi, mengekspos database Anda ke dunia.

Keamanan jaringan fisik

Sebuah jaringan hanya seaman keamanan fisiknya. Firewall terbaik, sistem deteksi intrusi, dan perangkat lunak manajemen ancaman semuanya dapat dielakkan oleh aktor jahat yang mendapatkan akses fisik ke server Anda.

Pusat data memerlukan beberapa tingkat keamanan fisik, seperti:

  • Kontrol akses fisik
  • Pemantauan lingkungan
  • Alarm dan sensor
  • Pengawasan
  • Daya cadangan

Semua ini juga memerlukan audit berkala untuk memastikan mereka memenuhi praktik terbaik keamanan.

3. Perlindungan data

Tidak ada perusahaan yang ingin kebocoran data mereka muncul di haveibeenpwned.com untuk dilihat seluruh dunia.

Pengguna kehilangan kepercayaan dengan cepat dengan perusahaan yang tidak melindungi data mereka ke tingkat yang mereka harapkan. Memastikan hanya pengguna yang berwenang dan ditentukan peran yang dapat mengakses data pelanggan yang sensitif memerlukan perlindungan berlapis.

Enkripsi data

Komunikasi antara aplikasi Anda dan pengguna Anda perlu dienkripsi saat transit untuk mencegah data dicegat atau dirusak oleh pihak ketiga. Transport Layer Security (TLS) umumnya digunakan untuk mengenkripsi data. Ini memerlukan pembuatan sertifikat TLS dan memastikannya diperbarui.

Karena data juga dapat dienkripsi saat diam, ini memerlukan perlindungan data yang disimpan di media penyimpanan seperti cadangan. Jika aktor jahat mendapatkan akses, mereka masih memerlukan kunci enkripsi data untuk benar-benar menggunakan data tersebut.

Manajemen kunci adalah bagian penting dari enkripsi data. Kunci memiliki beberapa tahapan dalam siklus hidupnya: pembangkitan, distribusi, penggunaan, pencadangan, rotasi, dan penghancuran. Pada setiap tahap, ada praktik terbaik yang harus diikuti untuk menjaga keamanan data Anda.

Jalur audit

Menyimpan catatan kronologis dari semua aktivitas yang terjadi dalam aplikasi Anda di setiap tingkat tumpukan sangat penting untuk perusahaan mana pun. Log audit diperlukan untuk investigasi forensik, mendeteksi pelanggaran keamanan dan dampaknya, dan memahami kesalahan sistem.

Jejak audit perlu menyusun log untuk beberapa lapisan dan aplikasi, cukup aman sehingga tidak dapat diubah oleh pengguna. Dan mereka harus memastikan akurasi kronologis. Ini memerlukan mengetahui tindakan apa yang perlu dicatat, menghubungkan beberapa sistem ke alat ELK seperti Kibana, menyinkronkan sistem menggunakan protokol waktu jaringan (NTP) sehingga stempel waktu bermakna, dan mengelola akses ke log.

Peringatan otomatis

Mengetahui apa yang mendefinisikan insiden keamanan, apa yang memerlukan penilaian manual, dan bagaimana mereka harus dikelola adalah seni tersendiri.

Analisis log otomatis dapat menandai perilaku mencurigakan pada tahap awal (jika Anda tahu apa yang harus dicari). Alat dengan aturan standar atau khusus dapat dibuat khusus untuk aplikasi Anda. Ini memerlukan pengaturan parameter dalam analisis log Anda untuk mengetahui kapan:

  • Tindakan otomatis harus dijalankan untuk melindungi dari serangan dan lalu lintas berbahaya.
  • Tim Sistem harus turun tangan secara manual untuk memeriksa pola dan mencoba menentukan apakah perilaku atau tindakan jinak yang ditandai secara keliru diperlukan.

Semua ini bergantung pada alat yang dikonfigurasi dengan baik dan tim keamanan berpengalaman yang memahami pola penggunaan aplikasi Anda. Tidak ada perusahaan yang menginginkan konten menjadi viral, hanya sistem mereka yang menandainya sebagai serangan DDoS dan memblokir lalu lintas.

Jawaban VIP WordPress :

Kami memelihara infrastruktur database kemas terpisah untuk setiap klien dan aplikasi, masing-masing dengan otentikasi unik mereka sendiri. Ini mengurangi risiko akses tidak sah antar aplikasi dan melindungi data setiap pelanggan dan mengurangi risiko serangan. Kami menyediakan database, sistem file, aplikasi, dan keamanan pusat data, serta cadangan terenkripsi setiap jam. Dan pusat data asal kami memenuhi sertifikasi International Organization of Standardization (ISO), International Electrotechnical Commission (IEC) 27001, Standards for Attestation Engagements (SSAE) No. 18 (SOC1) dan SOC2 Type 2.

“Keamanan dan privasi adalah hal-hal yang perlu menjadi perhatian utama — kami memiliki sasaran besar pada kami, yang memaksa kami untuk sangat waspada.”

—David “Hos” Hostetter, CTO Digital, Jaringan Media Al Jazeera

Studi kasus: Untuk outlet media dengan jangkauan global dan pengaruh Al Jazeera, penting untuk memigrasikan propertinya ke platform CMS yang dikeraskan untuk melawan aktor jahat. Baca mengapa mereka memilih WordPress VIP.

4. Akses dan otentikasi

Menurut Telesign, lebih dari setengah konsumen menggunakan lima atau lebih sedikit kata sandi di seluruh kehidupan online mereka dan hampir setengah dari konsumen mengandalkan kata sandi yang belum diubah selama lima tahun.

Mendapatkan akses ke akun pengguna mungkin merupakan salah satu cara termudah untuk mengakses sistem yang aman. Itulah mengapa kontrol akses granular, autentikasi multifaktor, dan/atau sistem masuk tunggal sangat penting bagi organisasi yang sadar akan keamanan.

Kontrol akses

Kontrol akses terperinci dan penerapan kebijakan "hak istimewa terkecil" sangat penting untuk menjaga keamanan data Anda dan mengurangi permukaan serangan untuk aplikasi Anda. Kebijakan hak istimewa paling rendah menyatakan bahwa pengguna harus diberikan hanya izin yang diperlukan untuk menyelesaikan tugas mereka. Memastikan setiap pengguna tidak memiliki hak administrator, misalnya, berarti bahwa jika aktor jahat mendapatkan kredensial pengguna, kemungkinan mereka dapat melakukan kerusakan signifikan terbatas.

Sistem masuk tunggal (SSO)

Dengan SSO, pengguna login ke beberapa layanan melalui satu set kredensial login. Jika pengguna tidak ada dalam layanan tertentu, mereka terkadang dapat disediakan dengan cepat dengan memanfaatkan pemetaan pengguna dari Penyedia Identitas layanan. Layanan seperti Azure AD, Google Apps, AuthO, atau OneLogin menyediakan fungsionalitas SSO.

SSO membantu departemen TI menetapkan aturan terpusat untuk pengguna, mengurangi waktu memulihkan kata sandi yang hilang, dan menghilangkan kebutuhan untuk menyediakan dan mencabut akses pengguna secara manual selama orientasi/offboarding.

Otentikasi multifaktor

Menggunakan MFA memberikan lapisan perlindungan lebih lanjut terhadap pengguna organisasi Anda yang disusupi.

MFA memerlukan kombinasi setidaknya dua metode otentikasi untuk login. Umumnya akan dikonfigurasi dengan nama pengguna dan kata sandi sebagai lapisan pertama otentikasi diikuti oleh token otentikasi berbasis waktu yang dihasilkan melalui perangkat keras atau perangkat lunak seperti Google Authenticator. Manfaat dari proses ini adalah bahwa meskipun nama pengguna dan kata sandi dikompromikan, pengguna tidak dapat masuk tanpa token otentikasi dan sebaliknya.

Jawaban VIP WordPress :

WordPress VIP dibangun di atas dasar kontrol dan izin akses granular, termasuk otentikasi multifaktor, perlindungan brute force, jalur audit akses data, dan keamanan fisik. Ini memberikan lapisan perlindungan ekstra terhadap kata sandi yang disusupi, mencegah karyawan atau kontraktor yang tidak berwenang mengakses data pelanggan, dan secara dinamis menerapkan pembatasan pada tingkat jaringan ketika perilaku yang tidak wajar terdeteksi.

5. Pemulihan pelanggaran

Pencadangan otomatis dan redundansi perangkat keras sangat penting untuk kelancaran operasi bisnis online Anda sehari-hari.

Cadangan

Cadangan sangat penting untuk pencegahan kehilangan data, mencegah serangan ransomware, dan pemulihan cepat dari pemadaman. Ada sejumlah praktik terbaik pencadangan yang harus diikuti setiap organisasi untuk memastikan mereka memiliki kontrol penuh dan redundansi data mereka.

  1. Backup reguler . Semakin sering semakin baik dalam hal mengurangi Recovery Point Objective (RPO) dan meminimalkan kehilangan data.
  2. Redundansi cadangan . Menyimpan cadangan di beberapa lokasi (misalnya, di luar kantor) memastikan Anda tetap dapat mengaksesnya, bahkan jika Anda kehilangan akses ke server utama Anda.
  3. Cadangan terenkripsi . Bahkan jika penyimpanan cadangan Anda terganggu, data tidak akan berguna tanpa kunci enkripsi.
  4. Pengujian reguler . Ekstrak cadangan Anda secara teratur dan uji di lingkungan non-produksi untuk memastikan tim Anda benar-benar dapat memulihkan situs Anda dengan cadangan tersebut.

Redundansi perangkat keras

Memiliki cadangan yang tersedia tidak ada gunanya tanpa perangkat keras cadangan untuk memulihkan.

Ini membutuhkan perangkat keras yang berlebihan di dalam dan di luar pusat data utama Anda. Tidak masalah jika masalahnya ada pada satu server atau seluruh pusat data, tim Anda akan dapat mengakses perangkat keras ini untuk kembali online dengan cepat.

Jawaban VIP WordPress :

Jika terjadi pelanggaran, kami membantu pelanggan dengan cepat memulihkan dan kembali ke bisnis, berkat beberapa tingkat cadangan (pusat data asal dan lokasi di luar kantor), ditambah pemulihan bencana dan prosedur pelanggaran keamanan. Kami juga menyediakan kemampuan untuk mengirimkan cadangan Anda secara otomatis ke penyimpanan S3 Anda sendiri untuk memastikan Anda dapat menetapkan kebijakan penyimpanan data Anda sendiri atau bahkan menjalankan pengujian pemulihan otomatis. Memanfaatkan beberapa tingkat penyimpanan berlebihan, kita dapat merekonstruksi data dalam keadaan aslinya atau terakhir direplikasi sebelum hilang. WordPress VIP juga memiliki beberapa pusat data asal tempat situs dapat dimigrasikan jika terjadi kegagalan pusat data tunggal.

Kesimpulannya

Dari manajemen kerentanan hingga pemulihan pelanggaran, WordPress VIP yang berfungsi memberi peluang bagi organisasi untuk memanfaatkan pengalaman bertahun-tahun dalam menjaga situs-situs berbasis WordPress yang terkenal dan berskala tinggi secara online dan aman dalam menghadapi ancaman.

Dibangun dengan berbagai tingkat kontrol dan perlindungan keamanan—termasuk perlindungan tepi, jaringan aman, kontrol akses yang kuat, pemantauan keamanan berkelanjutan, dan pemindaian kode—WordPress VIP memenuhi persyaratan keamanan yang paling ketat. Itu sebabnya dipercaya oleh pelanggan di industri berisiko tinggi seperti perbankan, farmasi, utilitas publik, dan pemerintah. Kami juga satu-satunya platform WordPress yang mencapai FedRAMP Authority to Operate (ATO).

Ingin meningkatkan ke CMS yang teruji pertempuran dan lebih aman? Pelajari lebih lanjut tentang WordPress VIP, termasuk akar mendalam kami dalam perangkat lunak sumber terbuka. Dan sebagai catatan, Anda dapat melanjutkan dan memeriksa status platform VIP WordPress kami sekarang.