Folosind OWASP Top 10 pentru a îmbunătăți securitatea WordPress
Publicat: 2018-08-23Securitatea WordPress poate fi un subiect intimidant pentru cei care sunt noi în WordPress și pentru a avea un site web. Cu toate acestea, cu respectarea și standardele precum OWASP Top 10, afacerea poate începe cu ușurință cu securitatea WordPress.
Acest articol explică care este lista OWASP Top 10. De asemenea, explică modul în care administratorii de site-uri WordPress pot avea un site WordPress conform Owasp Top 10 .
Care este Lista OWASP Top 10?
OWASP Top 10 este o listă a celor mai critice 10 riscuri de securitate a aplicațiilor web. Ca atare, nu este un standard de conformitate în sine, dar multe organizații îl folosesc ca ghid. Organizația Open Web Application Security Project (OWASP) a publicat prima listă în 2003. Acum lansează o listă actualizată la fiecare trei ani.
Care sunt primele 10 vulnerabilități și riscuri de securitate OWASP?
OWASP a publicat cea mai recentă listă OWASP Top 10 în 2017. Mai jos este lista riscurilor de securitate din aceasta:
A1: Injecție
A2: Autentificare întreruptă
A3: Expunerea datelor sensibile
A4: Entități externe XML
A5: Controlul accesului întrerupt
A6: Configurare greșită de securitate
A7: Cross-site Scripting (XSS)
A8: Deserializare nesigură
A9: Utilizarea componentelor cu vulnerabilități cunoscute
A10: Înregistrare și monitorizare insuficiente
Aplicarea OWASP Top 10 Security pe WordPress
Această secțiune explică ce trebuie să faceți pentru a vă asigura că site-ul dvs. WordPress nu este vulnerabil la niciuna dintre primele 10 vulnerabilități și defecte de securitate OWASP.
Adresarea A1: Injectare în WordPress
Injecția SQL este o vulnerabilitate tehnică a aplicației care este cauzată de obicei de lipsa igienizării intrărilor utilizatorului. Prin exploatarea acestuia, hackerii rău intenționați pot obține acces la datele din baza de date WordPress.
Echipa de bază WordPress remediază, de obicei, vulnerabilitățile de injectare în câteva zile. Același lucru este valabil și pentru majoritatea dezvoltatorilor de pluginuri WordPress. De aceea, este important să folosiți întotdeauna pluginuri bine întreținute, dezvoltate de dezvoltatori receptivi.
Singura modalitate prin care vă puteți asigura că nucleul, pluginurile și temele dvs. WordPress nu sunt vulnerabile la acest tip de vulnerabilitate este păstrând tot software-ul actualizat. Instalați întotdeauna toate corecțiile de securitate pe care le lansează dezvoltatorii.
Adresarea A2: Autentificare ruptă în WordPress
Acest tip de defecte de securitate sunt și vulnerabilități tehnice. Aceste vulnerabilități sunt rezultatul unui design stricat al aplicației web, al lipsei de planificare. Atacatorii pot exploata problemele de autentificare întrerupte pentru a accesa date sensibile.
Numai dezvoltatorii pot rezolva aceste probleme. Atâta timp cât utilizați cea mai recentă versiune de bază și pluginuri WordPress, site-ul dvs. web nu va fi predispus la astfel de vulnerabilități. Desigur, presupunând că utilizați întotdeauna pluginuri bine întreținute.
Deși, deoarece vorbim despre autentificare, merită să vă reamintim să implementați autentificarea cu doi factori pe site-ul dvs. WordPress . Dacă nu sunteți sigur ce plugin să utilizați, iată o listă cu unele dintre cele mai bune pluginuri WordPress de autentificare cu doi factori .
Adresarea A3: Expunerea datelor sensibile în WordPress
Expunerea datelor sensibile a devenit o problemă. Încălcările de date sunt prezentate aproape zilnic în știrile despre securitatea web. De fapt, GDPR și alte cerințe de conformitate cu reglementările pun un accent mare pe necesitatea de a gestiona și stoca corect datele sensibile și personale.
Conform GDPR, datele sensibile și personale sunt orice date legate de un utilizator identificabil. Ar putea fi numele clienților dvs., detaliile lor de facturare și datele deținătorului cardului în cazul unui site de comerț electronic. În cazul serviciilor financiare ar putea fi și detaliile contului bancar, sau în asistența medicală ar putea fi istoricul lor medical. Rețineți că, deși o adresă IP poate fi clasificată ca date sensibile, puteți păstra un jurnal de activitate WordPress , care vă permite să urmăriți tot ceea ce se întâmplă pe site-urile dvs. web.
Pentru a vă asigura că site-ul dvs. WordPress este compatibil , dacă stocați date sensibile pe site-ul dvs. WordPress, asigurați-vă că numai utilizatorii care trebuie să utilizeze datele au acces la el și, desigur, datele ar trebui să fie criptate. Utilizați întotdeauna utilizatorii și rolurile WordPress pentru a gestiona mai bine privilegiile utilizatorilor și accesul la date sensibile.
Ar trebui să stocați date sensibile pe site-ul dvs. WordPress?
Nu există un răspuns definitiv. Totul depinde de configurație și resurse. Deși, întreprinderile mici ar fi de obicei mai bine să stocheze date pe un furnizor terță parte.
De exemplu, în cazul unui magazin de comerț electronic, este mult mai ușor să utilizați sisteme de plată precum Stripe sau PayPal pentru a gestiona și stoca datele deținătorului cardului. Au deja infrastructura la loc. Consultați ghidul nostru privind securitatea comerțului electronic pentru administratorii WordPress pentru mai multe informații despre cum să păstrați și să rulați un site de comerț electronic securizat.
Același lucru este valabil și pentru adresele de e-mail și listele de buletine informative ale clienților. În mod ideal, nu ar trebui să stocați astfel de date pe site-ul dvs. Utilizați un serviciu terță parte, cum ar fi Mailchimp, pentru a stoca datele pe o infrastructură mai sigură și mai fiabilă, mai degrabă decât pe site-ul dvs. WordPress.
Adresarea A4: XML External Entities (XXE) în WordPress
Aceasta este o vulnerabilitate tehnică a software-ului. Acest lucru se întâmplă atunci când aplicația gestionează incorect fișierele și datele XML. O instalare din cutie WordPress nu se ocupă prea mult cu fișierele XML de la distanță, deși ați putea folosi pluginuri care o fac.
Pentru a vă asigura că site-ul dvs. WordPress nu este vulnerabil la un astfel de tip de vulnerabilitate, utilizați cea mai recentă versiune de bază, plugin și alt software WordPress. Utilizați întotdeauna pluginuri care sunt întreținute. Luați în considerare schimbarea oricărui plugin pe care îl utilizați și care nu a fost actualizat de mai mult de un an.
Adresarea A5: Controlul accesului întrerupt în WordPress
Aceasta este o vulnerabilitate tehnică a aplicației. Această problemă apare atunci când aplicația nu aplică restricțiile necesare pentru utilizatorii autentificați. Prin urmare, atunci când atacatorii exploatează astfel de vulnerabilități, pot accesa date sensibile.
Numai dezvoltatorii pot rezolva acest tip de problemă. Pentru a vă asigura că site-ul dvs. web nu este vulnerabil, mențineți actualizate nucleul WordPress, pluginurile și alte software-uri pe care le utilizați pe site.
Adresarea A6: Configurarea greșită a securității în site-urile WordPress
Configurațiile greșite de securitate sunt foarte frecvente pe site-urile WordPress. Software-ul nepatchat și exploatarea setărilor implicite sunt două dintre cele mai comune atacuri de succes pe site-urile WordPress. În ultimii câțiva ani, echipa de bază WordPress a făcut multe pentru a ajuta utilizatorii să abordeze astfel de probleme. De exemplu, WordPress nu mai are un nume de utilizator de administrator implicit, care a fost vinovatul multor hack-uri WordPress.
Pentru a vă asigura că site-ul dvs. WordPress nu are configurații greșite de securitate, modificați toate setările implicite. Acest lucru se aplică WordPress, pluginurilor și oricărui alt software și dispozitiv pe care îl utilizați. De exemplu, dacă un plugin are un set implicit de acreditări, nu protejează cu parolă datele sensibile sau le stochează într-o locație implicită, configurați o autentificare puternică și modificați căile implicite. Acest lucru se aplică oricărui alt software și dispozitiv pe care îl utilizați, inclusiv router-ul dvs. de acasă de internet, care are de obicei acreditări implicite.
Adresarea A7: Cross-site Scripting (XSS) în WordPress
Cross-site Scripting, cunoscut și ca XSS , este o vulnerabilitate tehnică a aplicației. Este cel mai probabil una dintre cele mai comune vulnerabilități tehnice. O vulnerabilitate XSS apare atunci când datele care nu sunt de încredere nu sunt validate și evadate. Când un atacator rău intenționat exploatează o vulnerabilitate de scriptare între site-uri, acesta poate fura cookie-ul utilizatorilor conectați și uzurpa identitatea acestora. De asemenea, își pot deturna sesiunea.
Echipa de bază WordPress abordează de obicei problemele XSS raportate în nucleu în doar câteva zile. Deci, pentru a vă asigura că nucleul site-ului dvs. WordPress, pluginurile și temele nu sunt vulnerabile la acest tip de vulnerabilitate, utilizați întotdeauna cea mai recentă versiune a software-ului. De asemenea, utilizați întotdeauna pluginuri întreținute.
Adresarea A8: Deserializare nesigură în WordPress
Deserializarea nesigură este o vulnerabilitate tehnică a aplicației. Această vulnerabilitate poate apărea atunci când aplicația utilizează obiecte serializate din surse nesigure fără a efectua verificări de integritate.
Echipa de bază WordPress abordează de obicei acest tip de problemă în câteva zile. Deci, pentru a vă asigura că nucleul site-ului dvs. WordPress, pluginurile și temele nu sunt vulnerabile la acest tip de vulnerabilitate, utilizați întotdeauna cea mai recentă versiune a software-ului.
Abordarea A9: Utilizarea componentelor cu vulnerabilități cunoscute pe un site web WordPress
Neutilizarea de software și aplicații web care au vulnerabilități cunoscute ar putea suna ca ceva evident. Deși, din păcate, nu este. Fundația WordPress a făcut multe în acest sens. Au actualizări automate pentru nucleul WordPress. Echipa de examinare a pluginurilor WordPress etichetează pluginurile din depozit care nu au fost actualizate de ceva timp ca fiind nesigure.
Cu toate acestea, nu este întotdeauna ușor pentru companii să folosească cea mai recentă și mai sigură versiune a unui software. Mulți folosesc software și aplicații web vechi care nu sunt compatibile cu cea mai recentă versiune de WordPress sau alte plugin-uri. Așa că trebuie să folosească versiunea veche și vulnerabilă de WordPress și pluginuri. În astfel de cazuri, dacă este posibil, contactați dezvoltatorii pentru a actualiza codul.
Pentru a vă asigura că site-ul dvs. este compatibil, este de la sine înțeles: utilizați întotdeauna cea mai recentă versiune de bază și pluginuri WordPress. De asemenea, este important să dezactivați și să dezinstalați orice pluginuri, scripturi și teme neutilizate de pe site-ul dvs. web. De exemplu, mulți administratori de site nu șterg temele și pluginurile implicite WordPress. Dacă nu le utilizați, ștergeți-le.
Acest lucru este valabil și pentru software-ul nou: atunci când căutați un plugin nou, căutați-l întotdeauna. Citiți ghidul nostru despre cum să alegeți un plugin WordPress pentru mai multe informații despre ce ar trebui să faceți atunci când căutați un plugin WordPress nou.
Adresarea A10: Înregistrare și monitorizare insuficiente pe WordPress
Înregistrarea și monitorizarea sunt vitale pentru securitatea site-ului dvs. WordPress și a rețelei multisite. Jurnalele de activitate WordPress vă ajută, de asemenea, să vă gestionați mai bine site-ul web, să identificați comportamentul suspect înainte ca acesta să devină o problemă, să asigurați productivitatea utilizatorilor și multe altele. Aflați mai multe despre beneficiile păstrării unui jurnal de activitate WordPress (jurnal de audit) .
Pentru a vă asigura că site-ul dvs. WordPress este compatibil , instalați jurnalul de audit de securitate WP, cel mai cuprinzător plugin pentru jurnalul de activități WordPress . Acesta va păstra o evidență a tot ceea ce se întâmplă pe site-ul dvs. WordPress și rețeaua multisite într-un jurnal de activitate. Consultați abordarea înregistrării insuficiente cu un plugin de jurnal de activitate WordPress pentru informații mai detaliate despre cum să abordați această parte a listei OWASP Top 10.
Crearea unui site WordPress conform OWASP cu OWASP Top 10
Securitatea WordPress poate fi complexă, mai ales atunci când aveți de-a face cu setări mari. Deși a începe și a acoperi elementele de bază nu este atât de dificil, așa cum subliniază acest articol. Puteți avea un site WordPress conform OWASP Top 10, având grijă de aceste elemente de bază:
- Utilizați cea mai recentă versiune a nucleului WordPress, plugin-uri și teme,
- Asigurați-vă că modificați toate setările implicite din nucleul și pluginurile dvs. WordPress,
- Aplicați politici puternice privind parolele,
- Activați 2FA cu un plugin WordPress de autentificare cu doi factori,
- Utilizați utilizatorii și rolurile WordPress în mod corespunzător,
- Păstrați o evidență a tot ceea ce se întâmplă pe site-ul dvs. într-un jurnal de activitate WordPress .
Îmbunătățiți securitatea site-ului dvs. WordPress folosind această listă OWASP Top 10 ca ghid. Consultați pagina oficială OWASP Top 10 pentru informații mai detaliate.