CMS 障害の回避: WordPress のセキュリティを次のレベルに引き上げる
公開: 2022-11-02顧客データの侵害や壊滅的なサイトの崩壊に見舞われて、次のニュース速報の見出しになりたいと思う人はいません。
今日のオンラインの脅威は、既知の脆弱性をスキャンするボットから、スクリプト キディ、サイバー ギャング、さらには国家の攻撃者まで、さまざまな形で存在します。
窮地に立たされている IT チームにとって、オンライン プレゼンスが損なわれないようにすることは、「立ち止まるためだけに実行している」フルタイムの仕事以上のことのように感じることがあります。 残念なことに、それでは多くの場合、将来の状態に向けてサイト、そのインフラストラクチャ、およびビジネスを準備するという実際のタスクに貴重な帯域幅がほとんど残されません。
CMS 災害を回避するシリーズの第 4 回では、組織とその IT 保護者がサイトとアプリケーションを悪意のある攻撃から守り、機密性の高い顧客データを保護し、ビジネスを常にオープンに保つための 5 つの方法を探ります。
- 脆弱性管理
- ネットワークセキュリティー
- データ保護
- アクセスと認証
- ブリーチ回復
1.脆弱性管理
ソフトウェアの脆弱性を特定して緩和することは、大規模な IT チームにとっても大変な作業です。
脆弱性管理には、組織のインフラストラクチャ内の脆弱性の継続的な識別、分類、優先順位付け、管理、および修復が必要です。 英国の国家サイバー セキュリティ センターによると、「ソフトウェアの既知の脆弱性の悪用は、依然としてセキュリティ インシデントの最大の原因です。」
脆弱性スキャン
ネットワークを定期的にスキャンして、新しい脆弱性やマシンへの意図しないオープン アクセスを監視することは、攻撃対象領域を最小限に抑えたい組織にとって必須です。 残念なことに、忙しい IT 部門では、スキャン ソフトウェアの保守、スキャン結果の確認、およびそれらへの対処が優先事項のリストに含まれないことがよくあります。
WordPress VIP の回答:
当社のプラットフォームは、エッジ セキュリティからコンポーネント間で転送中のデータの保護まで、ネットワーク全体にセキュリティを提供します。 たとえば、DDoS 防御は Web トラフィックを継続的に監視し、疑わしいアクティビティが検出された場合は積極的な緩和策を講じます。 リアルタイムの通知プロセスを備えたネットワークおよびホストベースのファイアウォールは、不正なアクセスの試みを防ぐために存在します。
脆弱性の修復
アプリケーション層を最新の状態に保つことは、プロセスの 1 つのステップにすぎません。 すべてのサポート レイヤーとインフラストラクチャも最新の状態に保つ必要があります。 脆弱性が公開されることがありますが、すぐにパッチが適用されなかったり、コードベースで緩和策が必要になったりすることはありません。
アプリケーション インフラストラクチャを最新の状態に保つには、次のような複数の手順が必要です。
- 各ソフトウェアの更新を確認する
- 新しいリリースのビルド
- 非本番アーキテクチャでのテスト
- 新しい問題が導入されていないことを確認し、その後、問題があれば修正します。
- 本番アプリケーションをメンテナンス モードにして更新をロールアウトする
注: これらのすべての手順は、アプリケーションのすべてのレイヤーで利用可能なすべてのパッチで実行する必要があります。
特に WordPress の場合、コアと基盤となるインフラストラクチャを最新の状態に保つだけではありません。 サードパーティのテーマとプラグインは、定期的に更新してパッチを適用する必要があります。 WordPress サイトに追加されたサードパーティのプラグインの品質を認識することも重要です。 一部のコードは不適切にコーディングされていたり、セキュリティの脆弱性をもたらしたりする可能性があります (怠慢または悪意による)。 WPScan、SonarQube、PHP_CodeSniffer などのツールを使用すると、コード レビューを自動化し、導入された不要なエクスプロイトを検出できます。
WordPress VIP の回答:
私たちのプラットフォームは、WordPress コミュニティのアクティブなメンバーによって管理されています。 問題が発生すると、すぐにパッチを適用します。多くの場合、修正が WordPress コア コードに適用される前に行われます。 その間、私たちはすべての顧客に次のことを積極的に警告します: 1) 今後の自動化された WordPress 更新、プラットフォームの最新バージョンであることの確認、および 2) プラグインのエクスプロイトの蔓延とプラットフォーム レベルでのこれらの問題へのパッチの試み.
さらに深く掘り下げると、アプリケーションの GitHub リポジトリで作成されたプル リクエストに対して自動コード スキャンを使用します。 これにより、コードが本番環境に入る前に潜在的なセキュリティ上の懸念を特定できます (また、より広範な WordPress エコシステムからのプラグインを評価するのに役立ちます)。当社の Kubernetes オーケストレーションを活用して、WordPress VIP は顧客のアプリケーションにゼロ ダウンタイムのデプロイを提供します。
最後に、WordPress を大規模に運用してきた長年の経験に基づいて、一般的な攻撃ベクトルを軽減できます。これは、インフラストラクチャの脆弱性を継続的にテストし、独立したサード パーティに侵入テストを実行してもらうことによります。
2. ネットワークセキュリティ
ネットワーク セキュリティは、組織のオンライン プレゼンスの重要な部分です。
クラス最高のセキュリティとは、境界ベースのセキュリティと内部ネットワーク セキュリティの両方を管理することを意味します。 ここでは、ユーザーとそのデータを効果的に保護するために、複数の要因を考慮して管理する必要があります。
侵入検知システム
悪意のある活動や疑わしい活動を特定するには、すべてのネットワーク トラフィックを監視してログに記録することが不可欠です。 不正なアクセスを防止するために、セキュリティ チームは、自動化されたルールまたはシステム管理者にアラートを送信して、疑わしいトラフィックを確認し、適切なアクションを実行する必要があります。
ファイアウォール
セキュリティ リスクを最小限に抑えるには、ネットワークを通過できるトラフィックと、ネットワーク内外でアプリケーションがどのように通信するかを理解する必要があります。 これは、アプリケーションの実行に必要なネットワーク トラフィックのみを許可するソフトウェアまたはハードウェア ファイアウォールを使用して、イングレス/エグレス ルールを設定および確認することを意味します。
間違ったトラフィックをブロックまたは許可すると、重要なシステムの実行が妨げられたり、さらに悪いことに、データベースが外部に公開されたりする可能性があります。
物理的なネットワーク セキュリティ
ネットワークの安全性は、その物理的なセキュリティと同程度です。 最高のファイアウォール、侵入検知システム、および脅威管理ソフトウェアはすべて、サーバーへの物理的なアクセスを取得する悪意のあるアクターによって回避される可能性があります.
データセンターには、次のような複数レベルの物理的セキュリティが必要です。
- 物理的なアクセス制御
- 環境モニタリング
- アラームとセンサー
- 監視
- バックアップ電源
これらはすべて、セキュリティのベスト プラクティスを満たしていることを確認するための定期的な監査も必要です。
3. データ保護
haveibeenpwned.com でデータ漏洩が世界中に公開されることを望んでいる企業はありません。
ユーザーは、自分のデータを期待するレベルまで保護しない企業に対する信頼を急速に失います。 役割が指定された許可されたユーザーのみが機密性の高い顧客データにアクセスできるようにするには、多層的な保護が必要です。
データ暗号化
アプリケーションとユーザーの間の通信は、転送中に暗号化して、第三者によるデータの傍受や改ざんを防ぐ必要があります。 Transport Layer Security (TLS) は、通常、データの暗号化に使用されます。 これには、TLS 証明書を作成し、確実に更新する必要があります。
保管中のデータも暗号化できるため、バックアップなどのストレージ メディアに保存されているデータを保護する必要があります。 悪意のあるアクターがアクセスした場合でも、実際にデータを使用するにはデータ暗号化キーが必要です。
キー管理は、データ暗号化の重要な部分です。 鍵のライフサイクルには、生成、配布、使用、バックアップ、ローテーション、破棄といういくつかの段階があります。 各段階で、データを安全に保つために従うべきベスト プラクティスがあります。
監査証跡
スタックのあらゆるレベルでアプリケーション内で発生するすべてのアクティビティを時系列で記録することは、どの企業にとっても不可欠です。 フォレンジック調査、セキュリティ違反とその影響の検出、およびシステム エラーの理解には、監査ログが必要です。
監査証跡は、複数のレイヤーとアプリケーションのログを照合し、ユーザーが変更できないように十分に安全にする必要があります。 また、時系列の正確性を確保する必要があります。 これには、ログに記録する必要があるアクションを把握し、複数のシステムを Kibana などの ELK ツールに接続し、タイムスタンプが意味を持つようにネットワーク タイム プロトコル (NTP) を使用してシステムを同期し、ログへのアクセスを管理する必要があります。
自動アラート
セキュリティ インシデントを定義するもの、手作業による評価が必要なもの、およびそれらをどのように管理する必要があるかを知ることは、それ自体が芸術です。
自動ログ分析により、初期段階で疑わしい動作にフラグを付けることができます (何を探すべきかがわかっている場合)。 アプリケーションに固有の定義済みルールまたはカスタム ルールを備えたツールを作成できます。 これには、ログ分析内でパラメーターを設定して、次の状況を把握する必要があります。
- 攻撃や悪意のあるトラフィックから保護するために、自動化されたアクションを実行する必要があります。
- システム チームは手動で介入してパターンを調査し、誤って報告された無害な動作またはアクションが必要かどうかを判断しようとする必要があります。
これらすべては、適切に構成されたツールと、アプリケーションの使用パターンを理解している経験豊富なセキュリティ チームに依存しています。 システムが DDoS 攻撃としてフラグを立ててトラフィックをブロックするためだけに、コンテンツの一部がバイラルになることを望んでいる企業はありません。
WordPress VIP の回答:
クライアントとアプリケーションごとに個別のコンテナ化されたデータベース インフラストラクチャを維持し、それぞれ独自の認証を使用します。 これにより、アプリケーション間の不正アクセスのリスクが軽減され、各顧客のデータが保護され、攻撃のリスクが軽減されます。 データベース、ファイル システム、アプリケーション、およびデータ センターのセキュリティと、1 時間ごとの暗号化されたバックアップを提供します。 また、オリジン データ センターは、国際標準化機構 (ISO)、国際電気標準会議 (IEC) 27001 認定、認証業務標準 (SSAE) No. 18 (SOC1) および SOC2 タイプ 2 を満たしています。
「セキュリティとプライバシーは最優先事項です。私たちには大きな目標があり、過度の警戒を余儀なくされています。」
—David “Hos” Hostetter、デジタル CTO、Al Jazeera Media Network
ケース スタディ:アル ジャジーラのグローバルなリーチと影響力を持つメディア アウトレットにとって、そのプロパティを悪意のある攻撃者に対して強化された CMS プラットフォームに移行することが不可欠でした。 彼らが WordPress VIP を選んだ理由を読んでください。
4. アクセスと認証
Telesign によると、消費者の半数以上がオンライン生活全体で 5 つ以下のパスワードを使用しており、消費者のほぼ半数が 5 年間変更されていないパスワードを使用しています。
ユーザーのアカウントにアクセスすることは、セキュリティで保護されたシステムにアクセスする最も簡単な方法の 1 つです。 セキュリティ意識の高い組織にとって、きめ細かなアクセス制御、多要素認証、シングル サインオンが非常に重要なのはそのためです。
アクセス制御
きめ細かなアクセス制御と「最小権限」のポリシーの実装は、データを安全に保ち、アプリケーションの攻撃面を減らすために不可欠です。 最小特権のポリシーでは、タスクを完了するために必要なアクセス許可のみをユーザーに付与する必要があると規定されています。 たとえば、すべてのユーザーが管理者権限を持たないようにすることは、悪意のあるアクターがユーザーの資格情報を取得した場合に、重大な損害を与える可能性が制限されることを意味します。
シングルサインオン (SSO)
SSO を使用すると、ユーザーは 1 セットのログイン資格情報を使用して複数のサービスにログインできます。 ユーザーが特定のサービスに存在しない場合は、サービスの ID プロバイダーからのユーザー マッピングを利用して、オンザフライでプロビジョニングできる場合があります。 Azure AD、Google Apps、AuthO、OneLogin などのサービスは、SSO 機能を提供します。
SSO は、IT 部門がユーザーに対して一元化されたルールを設定し、失われたパスワードを回復する時間を短縮し、オンボーディング/オフボーディング中にユーザーを手動でプロビジョニングおよびプロビジョニング解除する必要性をなくすのに役立ちます。
多要素認証
MFA を使用すると、組織のユーザーが危険にさらされるのを防ぐためのさらなる保護レイヤーが提供されます。
MFA では、ログインするために少なくとも 2 つの認証方法の組み合わせが必要です。 通常、認証の最初のレイヤーとしてユーザー名とパスワードを使用して構成され、その後にハードウェア デバイスまたは Google Authenticator などのソフトウェアを介して生成される時間ベースの認証トークンが続きます。 このプロセスの利点は、ユーザー名とパスワードが侵害された場合でも、ユーザーは認証トークンなしではログインできず、その逆も同様であるということです。
WordPress VIP の回答:
WordPress VIP は、多要素認証、ブルート フォース保護、データ アクセス監査証跡、物理的セキュリティなど、きめ細かなアクセス制御とアクセス許可の基盤の上に構築されています。 これらは、侵害されたパスワードに対する追加の保護層を提供し、許可されていない従業員や請負業者が顧客データにアクセスするのを防ぎ、不自然な動作が検出されたときにネットワーク レベルで動的に制限を適用します。
5. 違反回復
自動化されたバックアップとハードウェアの冗長性は、日常のオンライン ビジネス オペレーションをスムーズに実行するために不可欠です。
バックアップ
バックアップは、データ損失の防止、ランサムウェア攻撃の防止、停止からの迅速な復旧に不可欠です。 データの完全な制御と冗長性を確保するために、すべての組織が従うべきバックアップのベスト プラクティスがいくつかあります。
- 定期的なバックアップ。 目標復旧時点 (RPO) を減らし、データ損失を最小限に抑えるという点では、頻度が高いほど効果的です。
- バックアップの冗長性。 バックアップを複数の場所 (オフサイトなど) に保存すると、メイン サーバーにアクセスできなくなった場合でも、バックアップにアクセスできます。
- 暗号化されたバックアップ。 バックアップ ストレージが侵害されたとしても、暗号化キーがなければデータは役に立たなくなります。
- 定期テスト。 バックアップを定期的に抽出し、非運用環境でテストして、チームがそれらを使用してサイトを実際に復元できることを確認します。
ハードウェアの冗長性
バックアップを利用可能にしても、復元先のバックアップ ハードウェアがなければほとんど役に立ちません。
これには、プライマリ データ センター内外の冗長ハードウェアが必要です。 問題が単一のサーバーにあるのか、データ センター全体にあるのかに関係なく、チームはこのハードウェアにアクセスして、すぐにオンラインに戻ることができます。
WordPress VIP の回答:
万一侵害が発生した場合、複数レベルのバックアップ (元のデータセンターとオフサイトの場所) に加えて、災害復旧とセキュリティ侵害の手順により、お客様が迅速に回復してビジネスに戻るのを支援します。 また、バックアップを独自の S3 ストレージに自動的に出荷する機能も提供しており、バックアップに独自のデータ保持ポリシーを設定したり、自動リカバリ テストを実行したりできます。 複数レベルの冗長ストレージを利用することで、データが失われる前の元の状態または最後に複製された状態でデータを再構築できます。 WordPress VIP には複数のオリジン データ センターもあり、1 つのデータ センターに障害が発生した場合にサイトを移行できます。
結論は
脆弱性の管理から侵害の回復まで、WordPress VIP を使用することで、組織は長年にわたる経験を活用して、注目を集め、大規模な WordPress ベースのサイトをオンラインに保ち、脅威に直面しても安全に保つことができます。
エッジ保護、安全なネットワーク、堅牢なアクセス制御、継続的なセキュリティ監視、コード スキャンなど、複数レベルのセキュリティ制御と保護で構築された WordPress VIP は、最も厳しいセキュリティ要件を満たしています。 そのため、銀行、製薬、公益事業、政府などのリスクの高い業界の顧客から信頼されています。 また、FedRAMP Authority to Operate (ATO) を達成した唯一の WordPress プラットフォームでもあります。
実績のある、より安全な CMS へのアップグレードをお考えですか? オープンソース ソフトウェアへの深いルーツを含め、WordPress VIP の詳細をご覧ください。 念のため、WordPress VIP プラットフォームのステータスを今すぐ確認してください。