O que tirar do hack do GoDaddy de novembro de 2021
Publicados: 2021-11-23Em 6 de setembro de 2021, atores ainda desconhecidos violaram e obtiveram acesso a dados de 1.200.000 clientes da GoDaddy. A GoDaddy notou a violação em 17 de novembro, cerca de 36 dias depois. A violação foi relatada à SEC cerca de cinco dias depois e 41 dias após o fato.
Embora as investigações ainda estejam em andamento, sabemos que e-mails e números de clientes foram expostos. Os clientes do Active Managed WordPress também viram suas credenciais expostas, incluindo as de bancos de dados sFTP e WordPress. Alguns clientes também tiveram sua chave privada SSL exposta.
Antes de prosseguirmos, se você suspeitar que alguma de suas contas foi exposta, certifique-se de alterar todas as suas senhas imediatamente.
Você também pode precisar informar seus clientes sobre a violação. Como este é um requisito regulatório, você precisará verificar quais leis e regulamentos em sua jurisdição o obrigam a fazer.
Se a GoDaddy é culpada, ainda não sabemos – as investigações ainda estão em andamento. Isso, no entanto, é um ponto discutível por várias razões.
A segurança do WordPress, como todas as outras formas de segurança, é, acima de tudo, gerenciar riscos
Hackers e especialistas em software de segurança estão presos em um cabo de guerra sem fim. Na maior parte, o nó permanece no meio. No entanto, vulnerabilidades, novas tecnologias e inúmeras outras coisas podem perturbar esse delicado equilíbrio a qualquer momento. Esse equilíbrio geralmente é restaurado rapidamente. No entanto, isso ainda deixa uma janela de oportunidade, por menor que seja, para danos, às vezes irreparáveis, a serem causados.
Por causa disso, nenhum sistema é completamente imune a ataques. Claro, os provedores de serviços são responsáveis por garantir que tudo esteja atualizado e seguro – e uma parte da responsabilidade recai sobre eles. Isso não significa que estamos à mercê deles. Administradores e proprietários do WordPress ainda podem tomar medidas para se proteger o máximo possível para minimizar os riscos.
O WordPress, em particular, depende de vários subsistemas para funcionar – cada um dos quais pode ser suscetível a vulnerabilidades e ataques. Uma boa política de segurança do WordPress adota uma abordagem de 360 graus e garante igualmente um processo de segurança iterativo do WordPress que aborda os riscos e preocupações de segurança à medida que surgem.
As violações podem levar muito tempo para serem notadas
A GoDaddy, uma das maiores empresas de hospedagem do mundo, levou 36 dias para perceber que havia sido hackeada. Trinta e seis dias podem parecer muito, mas um relatório da IBM mostrou que, em média, as empresas levam cerca de 200 dias para perceber uma violação. Isso faz com que 36 dias pareçam bastante razoáveis, mas ainda assim, muita coisa pode acontecer em 36 dias.
A verdade é que os hackers transformaram o processo de encobrir seus rastros em uma forma de arte, tornando bastante difícil até mesmo para as maiores empresas perceberem que foram violadas. Isso é agravado pelo fato de que muitos hackers são apoiados por orçamentos fortes, que em alguns casos são financiados pelos estados.
Você pode pensar que um estado de ditadura pode não estar interessado em seu site WordPress, mas isso pode não ser necessariamente verdade. Embora eles possam não estar interessados em seu site, em particular, ele ainda pode ser pego no fogo cruzado. O resultado final é igualmente prejudicial.
Embora esteja ficando cada vez mais difícil descobrir hacks, tudo se resume ao gerenciamento de riscos – incluindo garantir que você tenha os sistemas necessários para registrar o acesso aos recursos.
No WordPress, um plugin de log de atividades pode fazer toda a diferença. Quanto mais amplo for o escopo do registro de atividades, mais amplo será o campo de visão que você terá em seu sistema – ajudando você a garantir que nada fuja do escrutínio.
Nosso plugin WP Activity Log cobre uma extensa gama de atividades do usuário e do sistema e inclui muitas extensões de log de atividades para suporte a plugins WordPress de terceiros, como WooCommerce. Isso pode tranquilizar os administradores de que todas as facetas de seu site estão sendo monitoradas, reduzindo drasticamente o risco de atividades ilícitas passarem despercebidas.
Um outro plugin essencial que vale a pena mencionar é o plugin Website File Changes Monitor para WordPress. Esse plug-in essencialmente tira uma impressão digital dos arquivos do seu site WordPress toda vez que o verifica e compara o resultado com as verificações anteriores para relatar as alterações mais minuciosas.
As senhas são literalmente a chave para toda a sua infraestrutura
Investigações iniciais mostraram que todo o hack do GoDaddy foi possível devido a uma senha comprometida. Ver como uma senha pode derrubar toda a casa nos faz perceber o quão importante é cada senha.
Claro, não estamos especulando sobre o caso GoDaddy, já que todos os detalhes ainda não foram disponibilizados. Ainda assim, sabemos uma coisa ou duas sobre as senhas do WordPress e como transformá-las de uma responsabilidade potencial para ser seu ponto forte.
Uma forte política de segurança de senha do WordPress que inclui complexidade obrigatória e expiração automática é um bom ponto de partida. Você também deve bloquear usuários inativos e bloquear contas de usuários após várias tentativas de login com falha. Tudo isso é facilmente configurável através do WPassword, um plugin que adiciona um grande impacto às suas senhas.
Obviamente, a autenticação de dois fatores no WordPress, que está rapidamente se tornando tão onipresente quanto as próprias senhas, é fundamental para garantir a segurança da conta. O WP 2FA oferece uma abordagem totalmente personalizável para a autenticação de dois fatores do WordPress – ajudando você a proteger seus usuários e seu WordPress sem ter que reinventar a roda.
Seguindo em frente
Não há como negar que os provedores de hospedagem são responsáveis pela segurança deles – e eles devem ser responsabilizados por quaisquer falhas se forem encontradas. No entanto, não há garantia de que as violações não acontecerão. Por isso, precisamos encarar a segurança como uma responsabilidade compartilhada.
Hoje, os proprietários do WordPress têm ótimos recursos à sua disposição – de informações a produtos e serviços projetados para ajudá-los a permanecer seguros e protegidos. Quando tudo estiver dito e feito, devemos aos nossos usuários e clientes mantê-los seguros e devemos fazer tudo o que pudermos para garantir que seus dados estejam seguros conosco.