Utilizzo di OWASP Top 10 per migliorare la sicurezza di WordPress
Pubblicato: 2018-08-23La sicurezza di WordPress può essere un argomento intimidatorio per coloro che non conoscono WordPress e per avere un sito web. Tuttavia, con conformità e standard come l'elenco OWASP Top 10, le aziende possono facilmente iniziare con la sicurezza di WordPress.
Questo articolo spiega qual è l'elenco OWASP Top 10. Spiega anche come gli amministratori del sito WordPress possono avere un sito Web WordPress conforme alla Top 10 di Owasp.
Qual è la Top 10 di OWASP?
La OWASP Top 10 è un elenco dei 10 rischi più critici per la sicurezza delle applicazioni Web. In quanto tale, non è uno standard di conformità di per sé, ma molte organizzazioni lo utilizzano come linea guida. L'organizzazione Open Web Application Security Project (OWASP) ha pubblicato il primo elenco nel 2003. Ora pubblica un elenco aggiornato ogni tre anni.
Quali sono le 10 principali vulnerabilità e rischi per la sicurezza di OWASP?
OWASP ha pubblicato l'elenco OWASP Top 10 più recente nel 2017. Di seguito è riportato l'elenco dei rischi per la sicurezza:
A1: Iniezione
A2: Autenticazione interrotta
A3: Esposizione ai dati sensibili
A4: Entità esterne XML
A5: Controllo accessi interrotto
A6: Configurazione errata della sicurezza
A7: Scripting tra siti (XSS)
A8: Deserializzazione non sicura
R9: Utilizzo di componenti con vulnerabilità note
A10: Registrazione e monitoraggio insufficienti
Applicare OWASP Top 10 Security sul tuo WordPress
Questa sezione spiega cosa devi fare per assicurarti che il tuo sito Web WordPress non sia vulnerabile a nessuna delle 10 principali vulnerabilità e falle di sicurezza di OWASP.
Indirizzamento A1: Iniezione in WordPress
SQL Injection è una vulnerabilità tecnica dell'applicazione che è in genere causata dalla mancanza di sanificazione dell'input dell'utente. Sfruttandolo, gli hacker malintenzionati possono accedere ai dati nel database di WordPress.
Il core team di WordPress in genere risolve le vulnerabilità di injection in pochi giorni. Lo stesso vale per la maggior parte degli sviluppatori di plugin per WordPress. Ecco perché è importante utilizzare sempre plugin ben mantenuti sviluppati da sviluppatori reattivi.
L'unico modo per garantire che il core, i plug-in e i temi di WordPress non siano vulnerabili a questo tipo di vulnerabilità è mantenere aggiornato tutto il software. Installa sempre tutte le patch di sicurezza rilasciate dagli sviluppatori.
Indirizzamento A2: Autenticazione interrotta in WordPress
Questo tipo di falle di sicurezza sono anche vulnerabilità tecniche. Queste vulnerabilità sono il risultato di una progettazione non riuscita dell'applicazione Web, della mancanza di pianificazione. Gli aggressori possono sfruttare problemi di autenticazione non riusciti per accedere a dati sensibili.
Solo gli sviluppatori possono affrontare questi problemi. Finché utilizzi l'ultima versione del core e dei plug-in di WordPress, il tuo sito Web non sarà soggetto a tali vulnerabilità. Ovviamente, supponendo che utilizzi sempre plugin ben mantenuti.
Tuttavia, poiché stiamo parlando di autenticazione, vale la pena ricordarti di implementare l'autenticazione a due fattori sul tuo sito Web WordPress . Se non sei sicuro di quale plugin utilizzare, ecco un elenco di alcuni dei migliori plugin WordPress per l'autenticazione a due fattori .
Indirizzamento A3: Esposizione di dati sensibili in WordPress
L'esposizione ai dati sensibili è diventata un problema. Le violazioni dei dati sono presenti quasi quotidianamente nelle notizie sulla sicurezza web. In effetti, il GDPR e altri requisiti di conformità normativa stanno ponendo grande enfasi sulla necessità di gestire e archiviare correttamente i dati sensibili e personali.
Secondo il GDPR, i dati sensibili e personali sono tutti i dati relativi a un utente identificabile. Potrebbe essere il nome dei tuoi clienti, i loro dettagli di fatturazione e i dati del titolare della carta nel caso di un sito di e-commerce. Nel caso dei servizi finanziari potrebbero essere anche i dettagli del conto bancario, o nel settore sanitario potrebbe essere la loro storia medica. Tieni presente che anche se un indirizzo IP può essere classificato come dati sensibili, puoi comunque tenere un registro delle attività di WordPress , che ti consente di tenere traccia di tutto ciò che sta accadendo sui tuoi siti web.
Per garantire che il tuo sito Web WordPress sia conforme , se memorizzi dati sensibili sul tuo sito Web WordPress assicurati che solo gli utenti che devono utilizzare i dati abbiano accesso ad esso e, naturalmente, i dati dovrebbero essere crittografati. Utilizza sempre gli utenti e i ruoli di WordPress per gestire al meglio i privilegi degli utenti e l'accesso ai dati sensibili.
Dovresti memorizzare dati sensibili sul tuo sito Web WordPress?
Non esiste una risposta definitiva. Tutto dipende dalla configurazione e dalle risorse. Anche se le piccole imprese in genere farebbero meglio a archiviare i dati su provider di terze parti.
Ad esempio nel caso di un negozio di e-commerce, è molto più semplice utilizzare sistemi di pagamento come Stripe o PayPal per gestire e archiviare i dati dei titolari di carta. Hanno già l'infrastruttura in atto. Fare riferimento alla nostra guida sulla sicurezza dell'e-commerce per gli amministratori di WordPress per ulteriori informazioni su come mantenere ed eseguire un sito di e-commerce sicuro.
Lo stesso vale per gli indirizzi e-mail dei clienti e gli elenchi di newsletter. Idealmente non dovresti memorizzare tali dati sul tuo sito web. Utilizza un servizio di terze parti, come Mailchimp, per archiviare i dati su un'infrastruttura più sicura e affidabile, anziché sul tuo sito Web WordPress.
Indirizzamento A4: Entità esterne XML (XXE) in WordPress
Questa è una vulnerabilità del software tecnico. Ciò accade quando l'applicazione gestisce in modo errato file e dati XML. Un'installazione di WordPress pronta all'uso non si occupa molto di file XML remoti, anche se potresti utilizzare plug-in che lo fanno.
Per garantire che il tuo sito Web WordPress non sia vulnerabile a questo tipo di vulnerabilità, utilizza l'ultima versione di WordPress core, plugin e altri software. Usa sempre i plugin che vengono mantenuti. Prendi in considerazione la possibilità di modificare qualsiasi plug-in che utilizzi che non è stato aggiornato da più di un anno.
Indirizzamento A5: Controllo degli accessi interrotto in WordPress
Questa è una vulnerabilità dell'applicazione tecnica. Questo problema si verifica quando l'applicazione non applica le restrizioni necessarie agli utenti autenticati. Pertanto, quando gli aggressori sfruttano tali vulnerabilità possono accedere a dati sensibili.
Solo gli sviluppatori possono risolvere questo tipo di problema. Per garantire che il tuo sito Web non sia vulnerabile, mantieni aggiornati il core di WordPress, i plug-in e altri software che utilizzi sul tuo sito Web.
Indirizzamento A6: Errata configurazione della sicurezza nei siti Web WordPress
Errori di configurazione della sicurezza sono molto comuni nei siti Web WordPress. Il software senza patch e lo sfruttamento delle impostazioni predefinite sono due degli attacchi di successo più comuni sui siti Web WordPress. Negli ultimi anni il core team di WordPress ha fatto molto per aiutare gli utenti ad affrontare tali problemi. Ad esempio WordPress non ha più un nome utente amministratore predefinito, che è stato il colpevole di molti hack di WordPress.
Per assicurarti che il tuo sito Web WordPress non abbia configurazioni errate di sicurezza, modifica tutte le impostazioni predefinite. Questo vale per WordPress, plugin e qualsiasi altro software e dispositivo che utilizzi. Ad esempio, se un plug-in ha un set di credenziali predefinito, non protegge con password i dati sensibili o li archivia in una posizione predefinita, configurare l'autenticazione avanzata e modificare i percorsi predefiniti. Questo vale per qualsiasi altro software e dispositivo che utilizzi, incluso il tuo router Internet domestico, che in genere ha credenziali predefinite.
Indirizzamento A7: Cross-site Scripting (XSS) in WordPress
Lo scripting tra siti, noto anche come XSS , è una vulnerabilità dell'applicazione tecnica. È molto probabilmente una delle vulnerabilità tecniche più comuni. Una vulnerabilità XSS si verifica quando i dati non attendibili non vengono convalidati ed evitati. Quando un utente malintenzionato sfrutta una vulnerabilità di cross-site scripting, può rubare i cookie degli utenti registrati e impersonare gli stessi. Possono anche dirottare la loro sessione.
Il core team di WordPress in genere risolve i problemi XSS segnalati nel core in pochi giorni. Quindi, per garantire che il core del tuo sito Web WordPress, i plug-in e i temi non siano vulnerabili a questo tipo di vulnerabilità, utilizza sempre l'ultima versione del software. Inoltre, usa sempre i plugin mantenuti.
Indirizzamento A8: deserializzazione non sicura in WordPress
La deserializzazione non sicura è una vulnerabilità dell'applicazione tecnica. Questa vulnerabilità può verificarsi quando l'applicazione utilizza oggetti serializzati da origini non attendibili senza eseguire controlli di integrità.
Il core team di WordPress in genere risolve questo tipo di problema entro pochi giorni. Quindi, per garantire che il core del tuo sito Web WordPress, i plug-in e i temi non siano vulnerabili a questo tipo di vulnerabilità, utilizza sempre l'ultima versione del software.
Indirizzamento A9: Utilizzo di componenti con vulnerabilità note su un sito Web WordPress
Non utilizzare software e applicazioni Web con vulnerabilità note potrebbe sembrare una cosa ovvia. Anche se purtroppo non lo è. La fondazione WordPress ha fatto molto in questo senso. Hanno aggiornamenti automatici per il core di WordPress. Il team di revisione dei plug-in di WordPress contrassegna i plug-in nel repository che non sono stati aggiornati per un po' come non sicuri.
Tuttavia, non è sempre facile per le aziende utilizzare la versione più recente e più sicura di un software. Molti usano software legacy e applicazioni web che non sono compatibili con l'ultima versione di WordPress o altri plugin. Quindi devono usare versioni vecchie e vulnerabili di WordPress e plugin. In questi casi, se possibile, contatta gli sviluppatori per aggiornare il codice.
Per assicurarti che il tuo sito web sia conforme, questo è ovvio: usa sempre l'ultima versione del core e dei plugin di WordPress. Inoltre, è importante disattivare e disinstallare eventuali plugin, script e temi inutilizzati dal tuo sito web. Ad esempio, molti amministratori di siti non eliminano i temi e i plug-in predefiniti di WordPress. Se non li stai utilizzando, eliminali.
Questo vale anche per i nuovi software: quando cerchi un nuovo plugin, cercalo sempre. Leggi la nostra guida su come scegliere un plugin per WordPress per maggiori informazioni su cosa dovresti fare quando cerchi un nuovo plugin per WordPress.
Indirizzamento A10: Registrazione e monitoraggio insufficienti su WordPress
La registrazione e il monitoraggio sono vitali per la sicurezza del tuo sito Web WordPress e della rete multisito. I registri delle attività di WordPress ti aiutano anche a gestire meglio il tuo sito Web, identificare comportamenti sospetti prima che diventino un problema, garantire la produttività degli utenti e molto altro. Scopri di più sui vantaggi di tenere un registro delle attività di WordPress (registro di controllo) .
Per assicurarti che il tuo sito Web WordPress sia conforme , installa il registro di controllo della sicurezza di WP, il plug-in per il registro delle attività di WordPress più completo . Manterrà un registro di tutto ciò che accade sul tuo sito Web WordPress e sulla rete multisito in un registro attività. Fare riferimento a come affrontare la registrazione insufficiente con un plug-in del registro attività di WordPress per informazioni più dettagliate su come affrontare questa parte dell'elenco OWASP Top 10.
Costruire un sito Web WordPress conforme a OWASP con OWASP Top 10
La sicurezza di WordPress può essere complessa, soprattutto quando si tratta di configurazioni di grandi dimensioni. Anche se iniziare e coprire le basi non è così difficile, come evidenzia questo articolo. Puoi avere un sito Web WordPress conforme alla Top 10 di OWASP prendendoti cura di queste nozioni di base:
- Usa l'ultima versione del core di WordPress, plugin e temi,
- Assicurati di modificare tutte le impostazioni predefinite nel core e nei plug-in di WordPress,
- Applicare politiche password complesse,
- Abilita 2FA con un plug-in WordPress di autenticazione a due fattori,
- Usa gli utenti e i ruoli di WordPress in modo appropriato,
- Tieni un registro di tutto ciò che accade sul tuo sito Web in un registro delle attività di WordPress .
Aumenta la sicurezza del tuo sito Web WordPress utilizzando questo elenco dei 10 migliori OWASP come guida. Fare riferimento alla pagina ufficiale OWASP Top 10 per informazioni più dettagliate.