Co zabrać ze hacka GoDaddy z listopada 2021 r.?
Opublikowany: 2021-11-236 września 2021 r. nieznani dotychczas aktorzy włamali się i uzyskali dostęp do danych 1 200 000 klientów GoDaddy. GoDaddy zauważył naruszenie 17 listopada, jakieś 36 dni później. Naruszenie zostało zgłoszone SEC około pięć dni później i 41 dni po fakcie.
Chociaż nadal trwają dochodzenia, wiemy, że e-maile i numery klientów zostały ujawnione. Klienci korzystający z usługi Active Managed WordPress również widzieli swoje dane uwierzytelniające, w tym te dla baz danych sFTP i WordPress. Niektórzy klienci mieli również ujawniony klucz prywatny SSL.
Zanim przejdziemy dalej, jeśli podejrzewasz, że któreś z Twoich kont zostało ujawnione, od razu zmień wszystkie hasła.
Może być również konieczne poinformowanie klientów o naruszeniu. Ponieważ jest to wymóg prawny, musisz sprawdzić, do jakich przepisów i regulacji w Twojej jurysdykcji zmuszają Cię.
Nie wiemy jeszcze, czy GoDaddy jest winny – dochodzenia wciąż trwają. Jest to jednak kwestia sporna z kilku powodów.
Bezpieczeństwo WordPressa, podobnie jak wszystkie inne formy bezpieczeństwa, to przede wszystkim zarządzanie ryzykiem
Hakerzy i oprogramowanie zabezpieczające/specjaliści są zamknięci w niekończącym się przeciąganiu liny. W większości węzeł pozostaje pośrodku. Jednak luki w zabezpieczeniach, nowe technologie i niezliczone inne rzeczy mogą zaburzyć tę delikatną równowagę w dowolnym momencie. Ta równowaga jest zwykle przywracana dość szybko. Jednak nadal pozostawia to szansę, choćby najmniejszą, na wyrządzenie szkody, czasem nieodwracalnej.
Z tego powodu żaden system nigdy nie jest całkowicie odporny na ataki. Jasne, usługodawcy są odpowiedzialni za zapewnienie, że wszystko jest aktualizowane i zabezpieczone – a część odpowiedzialności spoczywa na nich. Nie oznacza to, że jesteśmy na ich łasce. Administratorzy i właściciele WordPressa mogą nadal podejmować kroki w celu maksymalnego zabezpieczenia się, aby zminimalizować ryzyko.
W szczególności WordPress zależy od kilku podsystemów, z których każdy może być podatny na luki i ataki. Dobra polityka bezpieczeństwa WordPressa obejmuje podejście 360 stopni, a także zapewnia iteracyjny proces bezpieczeństwa WordPress, który rozwiązuje zagrożenia bezpieczeństwa i obawy w miarę ich pojawiania się.
Zauważenie naruszeń może zająć bardzo dużo czasu
GoDaddy, jedna z największych firm hostingowych na świecie, potrzebowała 36 dni, aby zauważyć, że została zhakowana. Trzydzieści sześć dni może wydawać się dużo, ale raport IBM wykazał, że średnio firmy potrzebują blisko 200 dni, aby zauważyć naruszenie. To sprawia, że 36 dni wydają się całkiem rozsądne, ale mimo to wiele może się zdarzyć w ciągu 36 dni.
Prawda jest taka, że hakerzy przekształcili proces zakrywania śladów w formę sztuki, co utrudnia nawet największym firmom uświadomienie sobie, że zostali naruszeni. Sytuację pogarsza fakt, że wielu hakerów ma solidne budżety, które w niektórych przypadkach są finansowane przez państwa.
Możesz pomyśleć, że państwo rządzone przez dyktaturę może nie być zainteresowane twoją witryną WordPress, ale niekoniecznie musi to być prawda. Chociaż mogą nie być zainteresowani Twoją witryną, w szczególności może ona zostać złapana w ogniu krzyżowym. Efekt końcowy jest równie szkodliwy.
Chociaż wykrywanie włamań staje się coraz trudniejsze, wszystko sprowadza się do zarządzania ryzykiem – w tym do upewnienia się, że masz niezbędne systemy do logowania dostępu do zasobów.
W WordPress wtyczka dziennika aktywności może wiele zmienić. Im szerszy zakres dziennika aktywności, tym szersze pole widzenia będziesz mieć w swoim systemie, co pomoże Ci upewnić się, że nic nie umyka kontroli.
Nasz dziennik aktywności wtyczki WP obejmuje szeroki zakres działań użytkowników i systemu oraz zawiera wiele rozszerzeń dziennika aktywności dla obsługi wtyczek WordPress innych firm, takich jak WooCommerce. Może to uspokoić administratorów, że każdy aspekt ich witryny jest monitorowany, co drastycznie zmniejsza ryzyko nielegalnych działań, które nie są widoczne.
Inną ważną wtyczką, o której warto wspomnieć, jest wtyczka Website File Changes Monitor dla WordPress. Ta wtyczka zasadniczo pobiera odcisk palca plików Twojej witryny WordPress za każdym razem, gdy ją skanuje i porównuje wyniki z poprzednimi skanami, aby zgłosić najdrobniejsze zmiany.
Hasła są dosłownie kluczem do całej Twojej infrastruktury
Wstępne badania wykazały, że cały atak w GoDaddy był możliwy dzięki złamaniu hasła. Widząc, jak jedno hasło może zniszczyć cały dom, uświadamiamy sobie, jak ważne jest każde hasło.
Oczywiście nie spekulujemy na temat sprawy GoDaddy, ponieważ wszystkie szczegóły nie zostały jeszcze udostępnione. Mimo to wiemy co nieco o hasłach WordPress i o tym, jak zmienić je z potencjalnej odpowiedzialności, aby stały się twoją mocną stroną.
Silna polityka bezpieczeństwa haseł WordPress, która obejmuje obowiązkową złożoność i automatyczne wygaśnięcie, to dobry początek. Należy również blokować nieaktywnych użytkowników oraz blokować konta użytkowników po kilku nieudanych próbach logowania. Wszystko to można łatwo skonfigurować za pomocą WPassword, wtyczki, która dodaje poważnego ciosu do haseł.
Oczywiście uwierzytelnianie dwuskładnikowe w WordPressie, które szybko staje się tak wszechobecne jak same hasła, ma kluczowe znaczenie dla zapewnienia bezpieczeństwa konta. WP 2FA oferuje w pełni konfigurowalne podejście do uwierzytelniania dwuskładnikowego WordPress – pomagając chronić użytkowników i WordPress bez konieczności ponownego wymyślania koła.
Idąc do przodu
Nie można zaprzeczyć, że dostawcy hostingu są odpowiedzialni za bezpieczeństwo po swojej stronie – i powinni zostać pociągnięci do odpowiedzialności za wszelkie uchybienia, jeśli zostaną znalezione. Nie ma jednak gwarancji, że naruszenia nie będą miały miejsca. Z tego powodu musimy postrzegać bezpieczeństwo jako wspólną odpowiedzialność.
Dziś właściciele WordPressa mają do dyspozycji wspaniałe zasoby – od informacji po produkty i usługi zaprojektowane, aby pomóc im zachować bezpieczeństwo. Kiedy wszystko jest powiedziane i zrobione, jesteśmy to winni naszym użytkownikom i klientom zapewnienie im bezpieczeństwa i musimy zrobić wszystko, co w naszej mocy, aby zapewnić, że ich dane są u nas bezpieczne.