L'elenco di CISA delle pratiche scorrette che danneggiano la sicurezza di WordPress
Pubblicato: 2022-08-24CISA, acronimo di Cybersecurity & Infrastructure Security Agency, è un'agenzia federale statunitense che opera nell'ambito del Department of Homeland Security. Istituito nel 2018, sostituisce l'NPPD – Direzione dei programmi e della protezione nazionale e ha il compito di migliorare la sicurezza informatica contro gli attacchi provenienti da hacker sia privati che statali.
CISA svolge molto lavoro per contribuire a garantire la sicurezza delle infrastrutture e dei sistemi critici. A tal fine, pubblica diverse guide ed elenchi per aiutare gli enti governativi e le aziende private a mantenere buone pratiche di sicurezza e rimanere al sicuro online. Puoi altrettanto facilmente applicare le guide CISA al tuo sito Web WordPress personale o aziendale per una sicurezza conforme agli standard CISA.
Una di queste risorse che la CISA sta mettendo a disposizione del pubblico è il suo catalogo di cattive pratiche. Sebbene questo catalogo sia un work in progress – e sarà sempre dovuto alla natura dinamica e in evoluzione delle minacce – ci fornisce informazioni preziose su ciò che la CISA considera pratiche veramente cattive.
Sicurezza CISA e WordPress
Le cattive pratiche di CISA sono spesso prevalenti negli ambienti WordPress, rendendo l'elenco ancora più rilevante per gli amministratori di WordPress e i proprietari di siti Web. Fortunatamente, eliminare queste cattive pratiche è facile e può essere fatto in pochissimo tempo.
Se stai cercando di portare la tua sicurezza al livello successivo, consulta la guida alla sicurezza di WordPress per un elenco completo e dettagliato di tutto ciò che puoi fare per garantire la sicurezza del tuo sito web.
L'agenzia ha anche aperto una pagina GitHub in cui gli amministratori e altri professionisti IT possono esprimere la propria opinione sulle cattive pratiche da inserire nel catalogo.
Rischio 1: utilizzo di software non supportato
Invariabilmente, il software viene fornito con dei bug, che è uno dei motivi per cui gli sviluppatori rilasciano gli aggiornamenti. Gli aggiornamenti non solo risolvono bug e falle di sicurezza, ma aggiungono anche nuove funzionalità e miglioramenti. L'installazione di questi aggiornamenti il prima possibile è molto importante per proteggere la tua infrastruttura.
Il software non supportato, come le vecchie versioni, il software che ha raggiunto la fine del suo ciclo di vita e i plug-in annullati, non ricevono aggiornamenti, il che li rende particolarmente pericolosi poiché possono introdurre vulnerabilità note nell'ambiente.
Gli aggressori possono sfruttare queste vulnerabilità per ottenere l'accesso non autorizzato al tuo sistema. A sua volta, ciò consente loro di rubare i tuoi dati, eliminare il tuo sito Web e svolgere una serie di altre attività dannose.
Soluzione
L'installazione degli aggiornamenti il prima possibile può ridurre notevolmente il rischio associato a bug e falle di sicurezza. Allo stesso modo, vuoi assicurarti che i fornitori e gli sviluppatori che scegli siano reattivi ed emettano aggiornamenti frequentemente (e non una volta all'anno).
Quando scegli i plug-in, guarda la cronologia delle versioni per vedere la frequenza con cui vengono rilasciati gli aggiornamenti. Gli aggiornamenti quotidiani non sono un buon segno; tuttavia, quindi gli aggiornamenti annuali potrebbero anche indicare che qualcosa non va. Potresti anche voler controllare i commenti degli utenti per vedere quanto è reattivo lo sviluppatore alle domande degli utenti.
Rischio 2: password errate
Le password errate includono password predefinite, password riciclate, password trapelate in precedenza e password deboli. Le password errate possono essere molto facili da decifrare, fornendo agli aggressori un percorso facile verso i tuoi sistemi. La condivisione delle password è un'altra cattiva pratica che si verifica spesso negli ambienti WordPress e oltre. Le password condivise aumentano notevolmente il rischio che le password vengano divulgate e rendono difficile tracciare i problemi e ritenere il team responsabile.
Soluzione
Una solida politica per le password di WordPress fa molto per aiutarti a eliminare le password errate. WPassword è un plug-in di WordPress che offre agli amministratori un controllo granulare su come gli utenti impostano le proprie politiche sulle password, garantendo l'utilizzo di password sicure ed efficaci.
Rischio 3: autenticazione a fattore singolo
L'autenticazione a fattore singolo è il terzo e ultimo rischio che fa parte del catalogo di cattive pratiche della CISA. Nelle configurazioni di autenticazione a fattore singolo, gli utenti possono accedere solo con il proprio nome utente e password. Negli ambienti con autenticazione a due fattori (2FA) o MFA, gli utenti devono autenticarsi tramite un secondo (o più) metodo.
L'autenticazione a fattore singolo può essere particolarmente problematica se le password vengono trapelate e, sebbene una buona politica delle password faccia molto per ridurre al minimo i rischi, un fattore di autenticazione secondario aumenta notevolmente la sicurezza generale del tuo sito Web WordPress.
2FA sta rapidamente diventando lo standard d'oro per l'autenticazione. Sebbene la sua premessa sia abbastanza semplice, può fermare la maggior parte degli attacchi più comuni nelle loro tracce. Questo lo rende uno dei preferiti dai giganti del settore, dagli hobbisti e da tutti gli altri.
Soluzione
WordPress non offre 2FA immediatamente. Tuttavia, implementare 2FA sul tuo sito Web WordPress è facile, grazie a WP 2FA. Questo plug-in 2FA di WordPress include più opzioni di quelle a cui puoi agitare un bastone, assicurando che tutti i tuoi utenti possano sfruttare 2FA per un WordPress più sicuro.
Un piano d'azione per la sicurezza di WordPress per mettere a tacere le cattive pratiche
Le cattive pratiche sono come le cattive abitudini. Devono essere tenuti sotto controllo nel tempo per garantire che nulla cada attraverso le fessure. Questo è il motivo per cui la sicurezza di WordPress è un processo iterativo; uno a cui dobbiamo prestare attenzione ogni tanto per assicurarci di seguire sempre le migliori pratiche.
Sebbene ci siano indubbiamente altre cattive pratiche che non sono incluse nell'elenco della CISA, ciò che offrono è un buon punto di partenza. Per ricapitolare,
- Installa gli aggiornamenti non appena diventano disponibili. Se sei preoccupato che gli aggiornamenti interrompano il tuo sito, installa un ambiente di staging per testare gli aggiornamenti prima di distribuirli nell'ambiente live.
- Implementa una solida politica per le password di WordPress utilizzando WPassword per eliminare le password deboli dal tuo ambiente. Incoraggiare gli utenti a utilizzare un gestore di password per mitigare le richieste di supporto per password dimenticate troppo complesse.
- Abilita e utilizza i criteri per richiedere l'autenticazione a due fattori di WordPress su tutti gli utenti. Usa WP 2FA per sfruttare le sue numerose funzionalità, tra cui l'integrazione Authy, i periodi di grazia e l'etichettatura bianca, tra molte altre.
Sebbene l'elenco di CISA rappresenti un buon punto di partenza, la protezione del tuo sito Web WordPress richiede un approccio più completo. Dalla garanzia di password complesse al rafforzamento di WordPress, c'è molto che puoi fare da solo seguendo le guide di WP White Security per un'eccellente sicurezza di WordPress.
PS Ti consigliamo di configurare un ambiente di test WordPress se hai un'esperienza limitata nella protezione dei siti Web WordPress.