Proces bezpieczeństwa WordPress; Testuj, utwardzaj, monitoruj, ulepszaj
Opublikowany: 2020-06-11Bezpieczeństwo WordPressa nie różni się od wielu innych obszarów bezpieczeństwa IT. To nie jest jednorazowa poprawka. To jest coś, co nigdy się nie kończy. Chociaż istnieje kilka kroków, które możesz podjąć, aby poprawić bezpieczeństwo WordPressa, Twoja witryna i wymagania biznesowe ulegną zmianie. Tak więc przyjęcie oceny bezpieczeństwa w określonym czasie da tylko fałszywe poczucie bezpieczeństwa. Zamiast tego zwycięską strategią jest podążanie za ciągłym procesem. Proces ciągłego testowania zabezpieczeń i iteracji w celu poprawy stanu bezpieczeństwa witryny.
Ten artykuł ma na celu zaoferowanie prostego, długoterminowego procesu iteracyjnego , który można wdrożyć, aby zapewnić ciągłość działań związanych z bezpieczeństwem WordPress i nadal odpowiadać krajobrazowi zagrożeń, w którym działasz Ty i Twoja firma.
1. Przetestuj zabezpieczenia WordPress
Większość podróży bezpieczeństwa WordPress zaczyna się tutaj; zauważyłeś coś źle skonfigurowanego w swojej instalacji WordPress lub czytałeś o używaniu narzędzi takich jak WPScan lub nmap do oceny bezpieczeństwa swojej witryny WordPress. Być może padłeś ofiarą incydentu związanego z bezpieczeństwem i chcesz przeczytać, jak przetestować zabezpieczenia WordPressa.
Testowanie bezpieczeństwa to ważny krok w ciągłej strategii bezpieczeństwa WordPress. Patrząc na swoją witrynę przez ten sam obiektyw, co osoba atakująca, możesz lepiej zrozumieć jej stan bezpieczeństwa. Oznacza to, że dowiesz się, co można zrobić, aby wzmocnić swoją obronę przed zidentyfikowanymi słabościami. Zobacz krok 2, aby uzyskać więcej informacji na ten temat.
Jeśli nie masz pewności, od czego zacząć testowanie zabezpieczeń WordPress, zatrudnij zewnętrznego specjalistę. Oczywiście nic nie stoi na przeszkodzie, abyś stopniowo budował swoją wiedzę, aby samodzielnie przetestować swoją witrynę WordPress.
2. Hartowanie WordPressa
Gdy już zrozumiesz, co odkryły Twoje testy bezpieczeństwa, nadszedł czas, aby wzmocnić instalację WordPressa. Domyślnie WordPress jest dość bezpieczny. Istnieje jednak wiele opcji, optymalizacji i zmian, które możesz wprowadzić w konfiguracji WordPress i infrastrukturze serwera, aby utrudnić życie atakującemu. Wiele z tych optymalizacji — wiele z nich może zależeć od przypadku użycia. Proces ten jest zwykle określany jako „umacnianie bezpieczeństwa” lub po prostu „umacnianie”.
Wzmocnienie instalacji WordPressa z pewnością nie jest jednorazową sprawą. Będziesz musiał zainstalować nowe wtyczki i rozszerzyć funkcjonalność swojej witryny WordPress, aby dostosować się do zmieniających się potrzeb biznesowych. Z pewnością nie brakuje zasobów, które pomogą Ci rozpocząć wzmacnianie bezpieczeństwa WordPress. Poniżej znajdują się dwie podstawowe zasady, których należy przestrzegać podczas wzmacniania konfiguracji WordPress.
Uruchom mniej oprogramowania
Początkowo „uruchamianie mniej oprogramowania” nie wydaje się zbyt pomocne. Jednak najprawdopodobniej używasz więcej oprogramowania niż jest to konieczne. Oznacza to również więcej miejsca dla atakujących na wykorzystanie potencjalnych słabości tego dodatkowego oprogramowania.
Jeśli nie wiesz, od czego zacząć, zacznij od przyjrzenia się wtyczkom WordPress. Zadaj sobie pytanie, bez czego możesz się obejść i co możesz usunąć. Zastosuj tę samą zasadę do rozszerzeń PHP, konfiguracji serwera WWW oraz narzędzi systemu operacyjnego i usług sieciowych.
Usuwanie oprogramowania na ogół nie jest łatwym procesem na początek. Jednak za każdym razem, gdy wykonasz to ćwiczenie, będzie to trudniejsze. Chociaż wynik prowadzenia szczuplejszego systemu jest wart wysiłku.
Oprócz upewniania się, że zawsze testujesz wszelkie zmiany w środowisku testowym lub pomostowym, chcesz również upewnić się, że nie usuwasz oprogramowania, takiego jak zapora WordPress, dziennik aktywności WordPress lub wtyczki do monitorowania integralności plików WordPress, które są tam popraw swoje bezpieczeństwo WordPress.
Dotyczy to również dezaktywowanych wtyczek i motywów. Dezaktywowane wtyczki należy natychmiast usunąć, ponieważ w niektórych przypadkach ich kod może zostać wykorzystany, jeśli jest podatny na ataki. Jeśli chodzi o motywy, Twoja witryna używa tylko jednego motywu. Może dwa, jeśli masz konfigurację motywu potomnego. Usuń wszystkie dodatkowe motywy ze swojej witryny, w tym domyślne dostarczane z WordPress.
Zasada najmniejszych przywilejów
WordPress nie wymaga do uruchomienia głównego użytkownika MySQL. Podobnie złym pomysłem jest uruchamianie większości programów jako root na serwerach Linux (odpowiednik Administratora w Microsoft Windows). Używaj kont admin/root tylko wtedy, gdy istnieje ku temu uzasadniony powód.
Do tego stopnia, co do zasady, zawsze staraj się z całych sił, aby nadać aplikacji lub użytkownikowi jak najmniej uprawnień do wykonania zadania. Oczywiście uruchamianie wszystkiego jako root lub administrator oznacza, że wszystko będzie działać bez martwienia się o uprawnienia. Jednak jest to potencjalnie bardzo niebezpieczne. Uruchamianie aplikacji (w tym zadań takich jak zadania cron) z uprawnieniami administracyjnymi może umożliwić atakującemu lub złośliwej wtyczce spowodowanie większych szkód w przypadku naruszenia bezpieczeństwa.
Jeśli nie masz pewności, od czego zacząć, zacznij od sprawdzenia, kto jest administratorem w WordPressie i zdecyduj, czy musisz to w jakiś sposób ograniczyć — gdy już to robisz, możesz chcieć się upewnić, że jesteś dostęp do administratora WordPress przez HTTPS (SSL) i że zaimplementowałeś uwierzytelnianie dwuskładnikowe (2FA) (lub przynajmniej zaimplementowałeś uwierzytelnianie HTTP dla administratora WordPress).
Oczywiście istnieje kilka innych wskazówek dotyczących zwiększania bezpieczeństwa WordPress, które możesz zastosować, aby poprawić stan bezpieczeństwa swojej witryny WordPress. Zapoznaj się z naszymi samouczkami i wskazówkami dotyczącymi bezpieczeństwa WordPress, aby dowiedzieć się więcej.
3. Monitoruj WordPress
Logi są absolutnie niezbędne do utrzymania bezpieczeństwa każdego systemu. Są one najbardziej zbliżone do wehikułu czasu. Umiejętność udzielenia odpowiedzi na to, co się stało i kiedy, jest niezbędnym narzędziem podczas badania incydentu związanego z bezpieczeństwem. Dostęp do właściwych dzienników może oznaczać różnicę między zauważeniem, że atakujący zdobył przyczółek w Twojej witrynie, a pozostawieniem napadu niezauważonym, dopóki nie będzie za późno.
Uzupełnieniem logowania jest monitoring. W swojej najbardziej podstawowej formie monitorowanie czeka na wystąpienie jakiegoś zdarzenia (zwykle przez okresowe przeglądanie dziennika), rejestruje je i zwykle jest skonfigurowane z jakimś rodzajem systemu ostrzegania, aby powiadomić administratora systemu, że coś się wydarzyło (na przykład system wykrywania włamań WordPress ). Podczas gdy wielu administratorów systemu zazwyczaj monitoruje użycie procesora i pamięci, może im brakować dostępu do monitorowania WordPressa.
Dzienniki aktywności WordPress
Możliwość spojrzenia wstecz na dziennik aktywności WordPressa, aby dowiedzieć się, co dokładnie zrobił użytkownik w określonym przedziale czasowym, jest kluczowym narzędziem analitycznym w dochodzeniu. Dodatkowo, chciałbyś mieć możliwość skorelowania tych informacji z serwerem WWW, błędami PHP i dziennikami bazy danych. Oto kilka wskazówek, które pomogą Ci upewnić się, że prawidłowo omawiasz przynajmniej podstawową obsługę dziennika.
- Upewnij się, że prawidłowo obracasz swoje logi, aby mieć pewność, że nie zabraknie Ci miejsca na dysku
- Okresowo twórz kopie zapasowe swoich dzienników w kopii zapasowej poza siedzibą firmy (np. Amazon S3 lub Digital Ocean Spaces)
- dowiedzieć się, jak długo chcesz przechowywać dzienniki i skonfigurować zasady przechowywania dzienników aktywności. Zalecane jest przechowywanie przez co najmniej 1 rok
- Upewnij się, że masz szybki dostęp do ważnych informacji w swoich dziennikach podczas incydentu
Inne dzienniki
Oprócz dzienników aktywności WordPress, jako administrator witryny masz dostęp do wielu innych dzienników, takich jak logi serwera WWW, logi PHP i wiele innych. Zapoznaj się z listą plików dziennika dla administratorów WordPress, aby dowiedzieć się więcej o wszystkich plikach dziennika, do których masz dostęp. W postach podkreślono również, w jaki sposób można wykorzystać informacje ze wszystkich dzienników do śledzenia incydentu lub ataku.
4. Popraw swoje bezpieczeństwo WordPress
Gdy skończysz z opisanym powyżej cyklem, następnym krokiem jest próba przeanalizowania, co możesz zrobić lepiej następnym razem. Jak omówiono na początku artykułu, pamiętaj, że bezpieczeństwo jest procesem ciągłym — postaraj się być na bieżąco z wiadomościami dotyczącymi bezpieczeństwa WordPress, a co najważniejsze, upewnij się, że zawsze jesteś na bieżąco z aktualizacjami bezpieczeństwa WordPress.
Gdy przejdziesz przez ten proces kilka razy, spróbuj udokumentować szczegóły dotyczące własnego procesu. Niech to będzie rutyna, którą wykonujesz co jakiś czas. Co więcej, za każdym razem, gdy wprowadzasz zmiany w swojej witrynie WordPress, pamiętaj o bezpieczeństwie. Postępuj zgodnie z iteracyjnym procesem bezpieczeństwa WordPress, który polega na testowaniu , wzmacnianiu , monitorowaniu i poprawianiu bezpieczeństwa Twojej witryny za każdym razem, gdy wprowadzasz w niej zmiany.