Evitarea dezastrelor CMS: ridicați securitatea WordPress la nivelul următor

Publicat: 2022-11-02

Nimeni nu vrea să fie următorul titlu de știri de ultimă oră pentru că a suferit o încălcare a datelor despre clienți sau o prăbușire catastrofală a site-ului.

Amenințările online există astăzi sub diferite forme, de la roboții care scanează vulnerabilități cunoscute la copii scenariști, bande cibernetice și chiar actori din statul național.

Pentru echipele IT asediate, asigurarea că prezența online nu este compromisă poate fi mai mult decât un loc de muncă cu normă întreagă, „a alerga doar pentru a rămâne nemișcat”. Din păcate, asta lasă adesea o lățime de bandă mică prețioasă pentru sarcina reală de pregătire a unui site, a infrastructurii și a afacerii pentru starea sa viitoare.

În cea de-a patra din seria Avoiding CMS Disaster , explorăm cinci moduri în care organizațiile și gardienii lor IT își pot luptă și întări site-urile și aplicațiile împotriva atacurilor rău intenționate, protejează datele sensibile ale clienților și își pot menține afacerea mereu deschisă pentru afaceri.

  • Managementul vulnerabilităților
  • Securitatea retelei
  • Protejarea datelor
  • Acces și autentificare
  • Recuperarea încălcării

1. Managementul vulnerabilităților

Identificarea și atenuarea vulnerabilităților software poate fi o sarcină copleșitoare, chiar și pentru cele mai mari echipe IT.

Managementul vulnerabilităților necesită identificarea continuă, clasificarea, prioritizarea, gestionarea și remedierea vulnerabilităților din infrastructura organizației dumneavoastră. Potrivit Centrului Național de Securitate Cibernetică din Marea Britanie, „Exploatarea vulnerabilităților cunoscute în software rămâne cea mai mare cauză a incidentelor de securitate”.

Scanarea vulnerabilităților

Scanarea periodică a rețelei pentru a monitoriza eventualele noi vulnerabilități sau accesul deschis neintenționat la mașini este o necesitate pentru orice organizație care dorește să-și minimizeze suprafața de atac. Din păcate, întreținerea software-ului de scanare, revizuirea rezultatelor scanării și acționarea lor se încadrează adesea în lista de priorități într-un departament IT ocupat.

Răspunsul WordPress VIP:

Platforma noastră oferă securitate în întreaga rețea – de la securitate de vârf până la protecția datelor în tranzit între componente. De exemplu, protecția DDoS monitorizează continuu traficul web și ia măsuri active de atenuare atunci când este detectată o activitate suspectă. Firewall-urile bazate pe rețea și pe gazdă cu procese de notificare în timp real sunt acolo pentru a preveni încercările de acces neautorizat.

Remedierea vulnerabilităților

Menținerea actualizată a stratului de aplicație este doar un pas în proces. Toate straturile suport și infrastructura trebuie, de asemenea, menținute la zi. Uneori sunt expuse vulnerabilități care nu au un patch imediat sau care necesită atenuare în baza de cod.

Pentru a vă menține infrastructura aplicațiilor la zi, sunt necesari mai mulți pași, inclusiv:

  • Verificarea actualizărilor pentru fiecare program
  • Construirea noii versiuni
  • Testare pe arhitectura dvs. non-producție
  • Asigurarea că nu sunt introduse probleme noi și, ulterior, remediarea celor care există
  • Punerea aplicației de producție în modul de întreținere și lansarea actualizărilor

Notă: Toți acești pași ar trebui să fie efectuati cu fiecare patch disponibil la fiecare strat al aplicației dvs.

În special pentru WordPress, nu este doar menținerea la zi a infrastructurii de bază și de bază. Temele și pluginurile terță parte trebuie actualizate și corectate în mod regulat. De asemenea, este important să recunoașteți calitatea pluginurilor de la terți adăugate pe site-ul dvs. WordPress. Unele ar putea fi prost codificate sau pot introduce vulnerabilități de securitate – neglijent sau rău intenționat. Instrumente precum WPScan, SonarQube sau PHP_CodeSniffer vă pot ajuta să vă automatizați recenziile codului pentru a detecta exploatările nedorite care sunt introduse.

Răspunsul WordPress VIP :

Platforma noastră este administrată de membri activi ai comunității WordPress. Când apare o problemă, o corectăm imediat, adesea înainte ca remedierea să fie împinsă în codul de bază WordPress. Între timp, alertăm proactiv toți clienții cu privire la: 1) actualizări automate WordPress viitoare, verificând pentru a ne asigura că se află pe cea mai recentă versiune a platformei noastre și 2) exploatări de pluginuri în sălbăticie și încercări de a corecta aceste probleme la nivel de platformă. .

Mergând mai în profunzime, folosim scanări automate de cod pentru cererile de extragere create în depozitul GitHub al unei aplicații. Acest lucru poate identifica potențialele probleme de securitate înainte ca codul să intre în producție (și este util pentru evaluarea pluginurilor din ecosistemul WordPress mai larg.) Utilizând orchestrația noastră Kubernetes, WordPress VIP oferă implementări zero pentru aplicațiile clienților.

În cele din urmă, pe baza anilor de experiență în rularea WordPress la scară, putem atenua vectorii de atac obișnuiți, datorită testării continue a infrastructurii noastre pentru vulnerabilități și angajării unor terțe părți independente pentru a rula teste de penetrare împotriva acesteia.

2. Securitatea rețelei

Securitatea rețelei este o parte vitală a prezenței online a unei organizații.

Cea mai bună securitate din clasă înseamnă gestionarea atât a securității bazate pe perimetru, cât și a securității rețelei interne. Aici trebuie luați în considerare și gestionați mai mulți factori pentru a proteja eficient utilizatorii și datele acestora.

Sisteme de detectare a intruziunilor

Monitorizarea și înregistrarea întregului trafic de rețea este esențială pentru identificarea activităților rău intenționate sau suspecte. Pentru a preveni accesul neautorizat, echipele de securitate au nevoie fie de reguli automate, fie de alerta administratorilor de sistem pentru a analiza traficul suspect și a lua măsurile corespunzătoare.

Firewall-uri

Înțelegerea traficului care poate traversa rețeaua dvs. și a modului în care aplicațiile comunică în interiorul și în afara rețelei este o necesitate pentru a minimiza riscurile de securitate. Aceasta înseamnă setarea și revizuirea regulilor de intrare/ieșire folosind firewall-uri software sau hardware, care permit numai traficul de rețea esențial pentru aplicațiile dvs. să ruleze.

Blocarea sau permiterea unui trafic greșit ar putea împiedica funcționarea unui sistem vital sau, mai rău, ar putea expune baza de date în lume.

Securitatea fizică a rețelei

O rețea este la fel de sigură ca și securitatea sa fizică. Cele mai bune firewall-uri, sisteme de detectare a intruziunilor și software de gestionare a amenințărilor pot fi ocolite de un actor rău intenționat care obține acces fizic la serverele dvs.

Centrele de date necesită mai multe niveluri de securitate fizică, cum ar fi:

  • Controale fizice de acces
  • Monitorizarea mediului
  • Alarme și senzori
  • Supraveghere
  • Putere de rezervă

Toate acestea necesită, de asemenea, auditări periodice pentru a se asigura că respectă cele mai bune practici de securitate.

3. Protecția datelor

Nicio companie nu vrea ca scurgerea lor de date să apară pe haveibeenpwned.com pentru ca toată lumea să o vadă.

Utilizatorii își pierd rapid încrederea în companiile care nu își protejează datele la nivelul la care se așteaptă. Asigurarea că numai utilizatorii autorizați, cu un rol specificat, pot accesa datele sensibile ale clienților necesită mai multe straturi de protecție.

Criptarea datelor

Comunicarea dintre aplicația dvs. și utilizatorii dvs. trebuie să fie criptată în tranzit pentru a preveni interceptarea sau modificarea datelor de către o terță parte. Transport Layer Security (TLS) este utilizat în general pentru a cripta datele. Acest lucru necesită crearea certificatelor TLS și asigurarea reînnoirii acestora.

Deoarece datele pot fi, de asemenea, criptate în repaus, acest lucru necesită protejarea datelor păstrate pe medii de stocare, cum ar fi copii de rezervă. Dacă un actor rău intenționat obține acces, va avea în continuare nevoie de cheia de criptare a datelor pentru a utiliza efectiv datele.

Gestionarea cheilor este o parte importantă a criptării datelor. Cheile au mai multe etape în ciclul lor de viață: generare, distribuție, utilizare, backup, rotație și distrugere. În fiecare etapă, există cele mai bune practici de urmat pentru a vă păstra datele în siguranță.

Piste de audit

Păstrarea unei evidențe cronologice a tuturor activităților care au loc în cadrul aplicației dvs. la fiecare nivel al stivei este esențială pentru orice întreprindere. Jurnalele de audit sunt necesare pentru investigațiile criminalistice, detectarea breșelor de securitate și impactul acestora și înțelegerea erorilor de sistem.

Traseele de audit trebuie să colecționeze jurnalele pentru mai multe straturi și aplicații, suficient de sigure astfel încât să nu poată fi modificate de utilizatori. Și trebuie să asigure acuratețea cronologică. Acest lucru necesită cunoașterea acțiunilor care trebuie înregistrate, conectarea mai multor sisteme la un instrument ELK, cum ar fi Kibana, sincronizarea sistemelor folosind protocolul de timp de rețea (NTP), astfel încât marcajele de timp să fie semnificative și gestionarea accesului la jurnalele.

Alerta automată

A ști ce definește un incident de securitate, ce necesită evaluare manuală și cum ar trebui gestionate este o artă în sine.

Analiza automată a jurnalelor poate semnala un comportament suspect într-un stadiu incipient (dacă știți ce să căutați). Instrumentele cu reguli predefinite sau personalizate pot fi create specifice aplicației dvs. Acest lucru necesită setarea parametrilor în cadrul analizei de jurnal pentru a ști când:

  • Acțiunile automate ar trebui executate pentru a proteja împotriva atacurilor și a traficului rău intenționat.
  • Echipa de sisteme ar trebui să intervină manual pentru a examina tiparele și pentru a încerca să determine dacă este necesară o acțiune sau un comportament benign semnalat în mod fals.

Toate acestea se bazează pe instrumente bine configurate și pe o echipă de securitate cu experiență care înțelege tiparele de utilizare a aplicațiilor dvs. Nicio întreprindere nu dorește ca o bucată de conținut să devină virală, doar ca sistemul lor să îl semnaleze ca un atac DDoS și să blocheze traficul.

Răspunsul WordPress VIP :

Menținem infrastructură de baze de date containerizată separată pentru fiecare client și aplicație, fiecare cu propria sa autentificare unică. Acest lucru atenuează riscul accesului neautorizat între aplicații și protejează datele fiecărui client și reduce riscul de atac. Oferim securitatea bazelor de date, a sistemului de fișiere, a aplicațiilor și a centrului de date, precum și copii de rezervă criptate pe oră. Iar centrele noastre de date de origine îndeplinesc certificarea Organizației Internaționale de Standardizare (ISO), Comisia Electrotehnică Internațională (IEC) 27001, Standardele pentru Angajamente de Atestare (SSAE) Nr. 18 (SOC1) și SOC2 Tipul 2.

„Securitatea și confidențialitatea sunt lucruri care trebuie să fie cele mai importante – avem o mare atenție asupra noastră, ceea ce ne obligă să fim hipervigilenți.”

—David „Hos” Hostetter, Digital CTO, Al Jazeera Media Network

Studiu de caz: Pentru o instituție media cu acoperire și influență globală a Al Jazeera, a fost esențial să-și migreze proprietățile către o platformă CMS întărită împotriva actorilor rău intenționați. Citiți de ce au ales WordPress VIP.

4. Acces și autentificare

Potrivit Telesign, mai mult de jumătate dintre consumatori folosesc cinci sau mai puține parole de-a lungul întregii vieți online și aproape jumătate dintre consumatori se bazează pe o parolă care nu a fost schimbată de cinci ani.

Obținerea accesului la contul unui utilizator poate fi una dintre cele mai ușoare modalități de a accesa un sistem securizat. Acesta este motivul pentru care controlul granular al accesului, autentificarea multifactorială și/sau conectarea unică sunt atât de importante pentru organizațiile conștiente de securitate.

Controale de acces

Controalele granulare ale accesului și implementarea unei politici de „cel mai mic privilegiu” sunt vitale pentru a vă păstra datele în siguranță și pentru a reduce suprafețele de atac pentru aplicația dvs. Politica celor mai mici privilegii prevede că unui utilizator ar trebui să i se acorde numai acele permisiuni necesare pentru a-și îndeplini sarcina. Asigurarea că fiecare utilizator nu are privilegii de administrator, de exemplu, înseamnă că, dacă un actor rău intenționat obține acreditările unui utilizator, probabilitatea ca acesta să poată face daune semnificative este limitată.

Conectare unică (SSO)

Cu SSO, utilizatorii se conectează la mai multe servicii printr-un singur set de acreditări de conectare. Dacă un utilizator nu există într-un anumit serviciu, uneori poate fi furnizat din mers, utilizând maparea utilizatorilor de la furnizorul de identitate al serviciului. Servicii precum Azure AD, Google Apps, AuthO sau OneLogin oferă funcționalitate SSO.

SSO ajută departamentele IT să stabilească reguli centralizate pentru utilizatori, să reducă timpul de recuperare a parolelor pierdute și să elimine nevoia de aprovizionare și deprovisionare manuală a utilizatorilor în timpul onboarding/offboarding.

Autentificare multifactorială

Utilizarea MFA oferă un alt nivel de protecție împotriva compromisului utilizatorilor organizației dvs.

MFA necesită o combinație de cel puțin două metode de autentificare pentru a vă autentifica. În general, acesta va fi configurat cu un nume de utilizator și o parolă ca prim strat de autentificare, urmate de un simbol de autentificare bazat pe timp generat printr-un dispozitiv hardware sau software precum Google Authenticator. Avantajul acestui proces este că, chiar dacă numele de utilizator și parola sunt compromise, un utilizator nu se poate autentifica fără simbolul de autentificare și invers.

Răspunsul WordPress VIP :

WordPress VIP este construit pe o bază de controale și permisiuni granulare de acces, inclusiv autentificare multifactorială, protecție împotriva forței brute, piste de auditare a accesului la date și securitate fizică. Acestea oferă un nivel suplimentar de protecție împotriva parolelor compromise, împiedică angajații sau contractanții neautorizați să acceseze datele clienților și aplică în mod dinamic restricții la nivel de rețea atunci când este detectat un comportament nenatural.

5. Recuperare încălcare

Backup-urile automate și redundanța hardware sunt vitale pentru buna desfășurare a operațiunilor dvs. de afaceri online de zi cu zi.

Backup-uri

Backup-urile sunt vitale pentru prevenirea pierderii de date, prevenirea atacurilor ransomware și recuperarea rapidă după întreruperi. Există o serie de bune practici de backup pe care fiecare organizație ar trebui să le urmeze pentru a se asigura că are control deplin și redundanță asupra datelor lor.

  1. Backup-uri regulate . Cu cât este mai frecventă, cu atât mai bine în ceea ce privește reducerea obiectivului punctului de recuperare (RPO) și minimizarea pierderii de date.
  2. Redundanță de rezervă . Stocarea copiilor de rezervă în mai multe locații (de exemplu, în afara site-ului) vă asigură că le puteți accesa în continuare, chiar dacă pierdeți accesul la serverul principal.
  3. Copii de rezervă criptate . Chiar dacă stocarea de rezervă este compromisă, datele vor fi inutile fără cheia de criptare.
  4. Testare regulată . Extrageți în mod regulat copiile de rezervă și testați-le într-un mediu care nu este de producție pentru a vă asigura că echipa dvs. poate restabili site-ul cu ele.

Redundanță hardware

A avea copii de rezervă disponibile este puțin sau deloc folositor fără hardware de rezervă pe care să îl restaurați.

Acest lucru necesită hardware redundant în interiorul și în afara centrului dvs. de date principal. Indiferent dacă problema este cu un singur server sau cu întregul centru de date, echipa dvs. va putea accesa acest hardware pentru a reveni rapid la online.

Răspunsul WordPress VIP :

În cazul improbabil al unei încălcări, ajutăm clienții să se recupereze rapid și să revină la afaceri, datorită mai multor niveluri de backup (centrul de date de origine și locații offsite), plus procedurilor de recuperare în caz de dezastru și de încălcare a securității. De asemenea, oferim posibilitatea de a vă expedia în mod automat copiile de rezervă în propriul spațiu de stocare S3 pentru a vă asigura că vă puteți seta propriile politici de păstrare a datelor asupra acestora sau chiar puteți rula teste de recuperare automată. Utilizând mai multe niveluri de stocare redundantă, putem reconstrui datele în starea inițială sau ultima replicată înainte de momentul în care au fost pierdute. WordPress VIP are, de asemenea, mai multe centre de date de origine către care site-urile pot fi migrate în cazul improbabil al unui singur centru de date eșec.

In concluzie

De la gestionarea vulnerabilităților la recuperarea încălcării, WordPress VIP funcțional oferă organizațiilor oportunitatea de a profita de ani de experiență în menținerea online a site-urilor WordPress de mare profil și la scară largă și în siguranță în fața amenințărilor.

Construit cu mai multe niveluri de controale de securitate și protecție - inclusiv protecție la margini, rețea sigură, controale robuste de acces, monitorizare continuă a securității și scanare a codului - WordPress VIP îndeplinește cele mai exigente cerințe de securitate. De aceea, clienții din industriile cu risc ridicat, cum ar fi bancar, farmaceutic, utilități publice și guvern, au încredere în el. De asemenea, suntem singura platformă WordPress care a obținut Autoritatea de Operare FedRAMP (ATO).

Doriți să faceți upgrade la un CMS mai sigur, testat în luptă? Aflați mai multe despre WordPress VIP, inclusiv rădăcinile noastre adânci în software-ul open source. Și doar pentru înregistrare, puteți continua și verifica starea platformei noastre VIP WordPress chiar acum.