Il processo di sicurezza di WordPress; Testare, rafforzare, monitorare, migliorare
Pubblicato: 2020-06-11La sicurezza di WordPress non è dissimile da molte altre aree della sicurezza informatica. Non è una soluzione una tantum. È qualcosa che in realtà non è mai finito. Sebbene ci siano diversi passaggi che puoi intraprendere per migliorare la sicurezza di WordPress, il tuo sito e i requisiti aziendali cambieranno. Quindi l'adozione di una valutazione della sicurezza puntuale ti darà solo un falso senso di sicurezza. Invece, la strategia vincente è seguire un processo continuo . Un processo per testare costantemente le tue difese e iterarle per migliorare la posizione di sicurezza del tuo sito web.
Questo articolo mira a offrire un processo iterativo a lungo termine semplice da seguire che puoi implementare per garantire che i tuoi sforzi per la sicurezza di WordPress siano continui e continuino a essere rilevanti per il panorama delle minacce in cui tu e la tua azienda operate.
1. Testa la sicurezza di WordPress
La maggior parte dei viaggi sulla sicurezza di WordPress inizia qui; hai notato qualcosa di configurato in modo errato nella tua installazione di WordPress o hai letto dell'utilizzo di strumenti come WPScan o nmap per valutare la sicurezza del tuo sito Web WordPress. Forse sei stato vittima di un incidente di sicurezza e vorresti leggere come testare la sicurezza di WordPress.
I test di sicurezza sono un passaggio fondamentale in una strategia di sicurezza continua di WordPress. Osservando il tuo sito web attraverso la stessa lente di un utente malintenzionato, sei in grado di comprendere meglio la sua posizione di sicurezza. Ciò significa che impari a conoscere cosa si può fare per rafforzare le tue difese contro i punti deboli che hai identificato. Vedere il passaggio n. 2 per maggiori dettagli su questo.
Se non sei sicuro da dove iniziare a testare la sicurezza di WordPress, assumi un professionista di terze parti. Naturalmente, nulla ti impedisce di sviluppare gradualmente le tue conoscenze per testare tu stesso il tuo sito Web WordPress.
2. Rafforzamento di WordPress
Una volta che hai compreso ciò che i tuoi test di sicurezza hanno scoperto, è il momento di rafforzare la tua installazione di WordPress. Per impostazione predefinita, WordPress è ragionevolmente sicuro. Tuttavia, ci sono molte scelte, ottimizzazioni e modifiche che puoi apportare alla configurazione di WordPress e all'infrastruttura del server per rendere più difficile la vita di un utente malintenzionato. Molte di queste ottimizzazioni , molte delle quali possono dipendere dal tuo caso d'uso. Questo processo viene solitamente definito "rafforzamento della sicurezza" o semplicemente "rafforzamento".
Rafforzare l'installazione di WordPress non è certamente un affare una tantum. Dovrai installare nuovi plugin ed estendere le funzionalità del tuo sito WordPress per soddisfare le mutevoli esigenze aziendali. Di certo non mancano le risorse per iniziare a rafforzare la sicurezza di WordPress. Di seguito sono riportati due principi fondamentali a cui attenersi quando si rafforza la configurazione di WordPress.
Esegui meno software
Inizialmente "esegui meno software" non sembra molto utile. Tuttavia, molto probabilmente stai eseguendo più software del necessario. Ciò significa anche più spazio per gli aggressori per sfruttare potenziali punti deboli all'interno di quel software aggiuntivo .
Se non sei sicuro da dove iniziare, inizia dando un'occhiata ai tuoi plugin di WordPress. Chiediti di cosa puoi fare a meno e rimuovi. Applicare lo stesso principio alle estensioni PHP, alla configurazione del server Web, agli strumenti del sistema operativo e ai servizi di rete.
L'eliminazione del software non è generalmente un processo facile per cominciare. Tuttavia, ogni volta che eseguirai questo esercizio diventerà più difficile. Anche se il risultato dell'esecuzione di un sistema più snello vale lo sforzo.
Oltre ad assicurarti sempre di testare eventuali modifiche in un ambiente di test o staging, assicurati anche di non rimuovere software come il firewall di WordPress, il registro delle attività di WordPress o i plug-in di monitoraggio dell'integrità dei file di WordPress, che sono lì per migliora la sicurezza di WordPress.
Questo vale anche per plugin e temi disattivati. I plugin disattivati dovrebbero essere eliminati immediatamente, perché in alcuni casi il loro codice può ancora essere sfruttato se vulnerabile. Per quanto riguarda i temi, il tuo sito Web utilizza solo un tema. Forse due se hai una configurazione del tema figlio. Elimina tutti i temi aggiuntivi sul tuo sito Web, compresi quelli predefiniti forniti con WordPress.
Principio di privilegio minimo
WordPress non ha bisogno dell'utente root MySQL per funzionare. Allo stesso modo, è una cattiva idea eseguire la maggior parte del software come root su server Linux (equivalente a Administrator su Microsoft Windows). Utilizzare gli account admin/root solo se esiste un motivo giustificato per farlo.
In tale misura, come regola generale, fai sempre del tuo meglio per concedere a un'applicazione oa un utente il minor numero di privilegi possibili per portare a termine il lavoro. Ovviamente, eseguire tutto come root o amministratore significa che tutto funzionerà senza preoccuparsi dei privilegi. Tuttavia, è potenzialmente molto pericoloso. L'esecuzione di applicazioni (comprese attività come cron job) con privilegi di amministratore può consentire a un utente malintenzionato o a un plug-in dannoso di causare più danni in caso di violazione della sicurezza.
Se non sei sicuro da dove iniziare, inizia dando un'occhiata a chi è un amministratore all'interno di WordPress e decidi se è necessario limitarlo in qualche modo — già che ci sei, potresti voler assicurarti di essere accedere all'amministratore di WordPress tramite HTTPS (SSL) e che hai implementato l'autenticazione a due fattori (2FA) (o che almeno hai implementato l'autenticazione HTTP per il tuo amministratore di WordPress).
Naturalmente, ci sono molti altri suggerimenti per rafforzare la sicurezza di WordPress che puoi mettere in atto per migliorare la posizione di sicurezza del tuo sito Web WordPress. Fare riferimento ai nostri tutorial e suggerimenti sulla sicurezza di WordPress per saperne di più.
3. Monitora WordPress
I registri sono assolutamente cruciali per mantenere sicuro qualsiasi sistema. Sono la cosa più vicina che abbiamo a una macchina del tempo. Essere in grado di rispondere a cosa è successo e quando è uno strumento indispensabile quando si indaga su un incidente di sicurezza. Avere accesso ai log corretti potrebbe fare la differenza tra notare che un utente malintenzionato ha preso piede nel tuo sito Web e lasciare che una rapina passi inosservata finché non è troppo tardi.
Complementare alla registrazione è il monitoraggio. Nella sua forma più semplice il monitoraggio attende che si verifichi un evento (di solito esaminando periodicamente alcuni log), lo registra e di solito è configurato con una sorta di sistema di avviso per avvisare un amministratore di sistema che si è verificato qualcosa (come un sistema di rilevamento delle intrusioni di WordPress ). Mentre molti amministratori di sistema in genere monitorano l'utilizzo della CPU e della memoria, potrebbero non avere accesso al monitoraggio a WordPress.
Registri delle attività di WordPress
Essere in grado di guardare indietro a un registro delle attività di WordPress per capire esattamente cosa ha fatto un utente in un determinato lasso di tempo è uno strumento analitico cruciale in un'indagine. Inoltre, vorresti essere in grado di correlare queste informazioni con il server Web, gli errori PHP e i registri del database. Ecco alcuni suggerimenti per assicurarti di coprire correttamente almeno la gestione di base dei registri.
- Assicurati di ruotare correttamente i log per assicurarti di non esaurire lo spazio su disco
- Eseguire periodicamente il backup dei registri su un backup fuori sede (ad es. Amazon S3 o Digital Ocean Spaces)
- capire per quanto tempo desideri conservare i registri e configurare i criteri di conservazione del registro attività. Si consiglia la conservazione di almeno 1 anno
- Assicurati di avere un modo rapido per accedere alle informazioni importanti nei tuoi registri durante un incidente
Altri registri
Oltre ai registri delle attività di WordPress, come amministratore del sito hai accesso a molti altri registri, come i registri del server Web, i registri PHP e molti altri. Fai riferimento all'elenco dei file di registro per gli amministratori di WordPress per saperne di più su tutti i diversi file di registro a cui hai accesso. I post evidenziano anche come utilizzare le informazioni di tutti i registri per tracciare un incidente o un attacco.
4. Migliora la sicurezza di WordPress
Una volta che hai finito con il ciclo descritto sopra, il passo successivo è provare ad analizzare cosa puoi fare meglio la prossima volta. Come discusso all'inizio dell'articolo, tieni presente che la sicurezza è un processo continuo: cerca di tenerti aggiornato con le notizie sulla sicurezza di WordPress e, soprattutto, assicurati di essere sempre aggiornato sugli aggiornamenti di sicurezza di WordPress.
Dopo aver eseguito questo processo alcune volte, prova a documentare le specifiche del tuo processo. Rendila una routine che segui ogni tanto. Inoltre, ogni volta che apporti modifiche al tuo sito Web WordPress, tieni a mente la sicurezza. Segui il processo di sicurezza iterativo di WordPress di test , rafforzamento , monitoraggio e miglioramento della sicurezza del tuo sito web ogni volta che apporti una modifica al tuo sito web.