Procesul de securitate WordPress; Testați, întăriți, monitorizați, îmbunătățiți

Securitatea WordPress nu este diferită de multe alte domenii ale securității IT. Nu este o remediere o singură dată. Este ceva care nu se termină niciodată. Deși există câțiva pași pe care îi puteți lua pentru a vă îmbunătăți securitatea WordPress, site-ul dvs. și cerințele de afaceri se vor schimba. Prin urmare, adoptarea unei evaluări de securitate la un moment dat vă va oferi doar un fals sentiment de securitate. În schimb, strategia câștigătoare este să urmezi un proces continuu . Un proces de testare constantă a apărărilor dvs. și de repetare pentru a îmbunătăți poziția de securitate a site-ului dvs. web.

Acest articol își propune să ofere un proces iterativ pe termen lung, simplu de urmat, pe care îl puteți implementa pentru a vă asigura că eforturile dvs. de securitate WordPress sunt continue și continuă să fie relevante pentru peisajul amenințărilor în care operați dvs. și afacerea dvs..

1. Testați securitatea WordPress

Cele mai multe călătorii de securitate WordPress încep aici; ați observat ceva configurat greșit la instalarea dvs. WordPress sau ați citit despre utilizarea unor instrumente precum WPScan sau nmap pentru a evalua securitatea site-ului dvs. WordPress. Poate că ați fost victima unui incident de securitate și ați dori să citiți despre cum să vă testați securitatea WordPress.

Testarea de securitate este un pas vital într-o strategie continuă de securitate WordPress. Privind site-ul dvs. prin aceeași lentilă ca cea a unui atacator, puteți înțelege mai bine poziția sa de securitate. Aceasta înseamnă că veți afla ce se poate face pentru a vă întări apărarea împotriva punctelor slabe pe care le-ați identificat. Consultați pasul #2 pentru mai multe detalii despre aceasta.

Dacă nu sunteți sigur de unde să începeți cu testarea securității WordPress, angajați un profesionist terță parte. Desigur, nimic nu te împiedică să-ți construiești treptat cunoștințele pentru a testa site-ul tău WordPress.

2. Întărirea WordPress

Odată ce ați înțeles ce au descoperit testele dvs. de securitate, este timpul să vă consolidați instalarea WordPress . În mod implicit, WordPress este rezonabil de sigur. Cu toate acestea, există o mulțime de opțiuni, optimizări și modificări pe care le puteți face configurației WordPress și infrastructurii serverului pentru a îngreuna viața unui atacator. Multe dintre aceste optimizări — multe dintre acestea pot depinde de cazul dvs. de utilizare. Acest proces este de obicei denumit „întărire de securitate” sau pur și simplu „întărire”.

Întărirea instalării WordPress nu este cu siguranță o chestiune unică. Va trebui să instalați noi pluginuri și să extindeți funcționalitatea site-ului dvs. WordPress pentru a se potrivi nevoilor de afaceri în schimbare. Cu siguranță nu lipsesc resursele pentru a începe să susțineți securitatea WordPress. Următoarele sunt două principii de bază pe care ar trebui să le respectați atunci când vă consolidați configurarea WordPress.

Rulați mai puțin software

Inițial, „rulați mai puțin software” nu sună foarte util. Cu toate acestea, cel mai probabil, rulați mai mult software decât este necesar. Acest lucru înseamnă, de asemenea, mai mult spațiu pentru atacatori pentru a exploata potențialele puncte slabe din acel software suplimentar .

Dacă nu sunteți sigur de unde să începeți, începeți prin a arunca o privire la pluginurile dvs. WordPress. Întrebați-vă ce puteți face fără și eliminați. Aplicați același principiu extensiilor PHP, configurației serverului web și instrumentelor sistemului de operare și serviciilor de rețea.

Eliminarea software-ului nu este, în general, un proces ușor de început. Cu toate acestea, de fiecare dată când veți trece prin acest exercițiu, va deveni mai greu. Deși rezultatul rulării unui sistem mai slab merită efortul.

Pe lângă faptul că vă asigurați întotdeauna că testați orice modificări într-un mediu de testare sau de organizare, trebuie să vă asigurați că nu eliminați software precum firewall-ul WordPress, jurnalul de activitate WordPress sau pluginurile de monitorizare a integrității fișierelor WordPress, care sunt acolo pentru îmbunătățiți-vă securitatea WordPress.

Acest lucru se aplică și pluginurilor și temelor dezactivate. Pluginurile dezactivate ar trebui șterse imediat, deoarece în unele cazuri, codul lor poate fi încă exploatat dacă este vulnerabil. În ceea ce privește temele, site-ul dvs. folosește o singură temă. Poate două dacă aveți o configurație cu tema pentru copii. Ștergeți toate temele suplimentare de pe site-ul dvs., inclusiv pe cele implicite livrate cu WordPress.

Principiul privilegiului minim

WordPress nu are nevoie de utilizatorul MySQL root pentru a rula. De asemenea, este o idee proastă să rulați majoritatea software-ului ca root pe serverele Linux (echivalent cu Administrator pe Microsoft Windows). Utilizați conturile admin/root numai dacă există un motiv justificat pentru a face acest lucru.

Într-o astfel de măsură, ca regulă generală, încercați întotdeauna din răsputeri să acordați unei aplicații sau unui utilizator cele mai puține privilegii posibile pentru a duce treaba la bun sfârșit. Desigur, rularea totul ca rădăcină sau administrator înseamnă că totul va funcționa fără a vă preocupa privilegiile. Cu toate acestea, este potențial foarte periculos. Rularea aplicațiilor (inclusiv sarcini precum joburi cron) cu privilegii administrative poate permite unui atacator sau unui plugin rău intenționat să provoace mai multe daune în cazul unei breșe de securitate.

Dacă nu sunteți sigur de unde să începeți, începeți prin a arunca o privire la cine este administrator în WordPress și decideți dacă trebuie să limitați acest lucru într-un fel - în timp ce sunteți la asta, poate doriți să vă asigurați că sunteți accesând administratorul WordPress prin HTTPS (SSL) și că ați implementat autentificarea cu doi factori (2FA) (sau că cel puțin ați implementat autentificarea HTTP pentru administratorul dvs. WordPress).

Desigur, există câteva alte sfaturi de întărire a securității WordPress pe care le puteți pune în aplicare pentru a îmbunătăți postura de securitate a site-ului dvs. WordPress. Consultați tutorialele și sfaturile noastre de securitate WordPress pentru a afla mai multe.

3. Monitorizați WordPress

Jurnalele sunt absolut cruciale pentru menținerea în siguranță a oricărui sistem. Sunt cel mai apropiat lucru pe care îl avem de o mașină a timpului. A fi capabil să răspundă la ce s-a întâmplat și când este un instrument indispensabil atunci când se investighează un incident de securitate. A avea acces la jurnalele potrivite ar putea face diferența între a observa că un atacator a căpătat un loc pe site-ul tău web și a lăsa un furt să treacă neobservat până când este prea târziu.

Suplimentar înregistrării este monitorizarea. În forma sa cea mai de bază, monitorizarea așteaptă să apară un eveniment (de obicei, examinând periodic un jurnal), îl înregistrează și, de obicei, este configurată cu un fel de sistem de alertă pentru a alerta administratorul de sistem că a avut loc ceva (cum ar fi un sistem de detectare a intruziunilor WordPress). ). În timp ce mulți administratori de sistem monitorizează de obicei CPU și utilizarea memoriei, este posibil să le lipsească accesul de monitorizare la WordPress.

Jurnalele de activitate WordPress

A putea privi înapoi la un jurnal de activitate WordPress pentru a afla exact ce a făcut un utilizator într-un anumit interval de timp este un instrument analitic crucial într-o investigație. În plus, ați dori să puteți corela aceste informații cu serverul web, erorile PHP și jurnalele bazei de date. Iată câteva sfaturi pentru a vă asigura că acoperiți corect cel puțin gestionarea de bază a jurnalelor.

• Asigurați-vă că rotiți corect jurnalele pentru a vă asigura că nu rămâneți fără spațiu pe disc
• Efectuați o copie de rezervă a jurnalelor dvs. periodic la o copie de rezervă în afara amplasamentului (de exemplu, Amazon S3 sau Digital Ocean Spaces)
• aflați cât timp doriți să păstrați jurnalele și configurați politicile de păstrare a jurnalelor de activitate. Se recomandă păstrarea cel puțin 1 an
• Asigurați-vă că aveți o modalitate rapidă de a accesa informații importante din jurnalele dvs. în timpul unui incident

Alte busteni

În afară de jurnalele de activitate WordPress, ca administrator de site aveți acces la multe alte jurnale, cum ar fi jurnalele serverului web, jurnalele PHP și multe altele. Consultați lista de fișiere jurnal pentru administratorii WordPress pentru a afla mai multe despre toate fișierele jurnal diferite la care aveți acces. Postările subliniază, de asemenea, modul în care puteți utiliza informațiile din toate jurnalele pentru a urmări un incident sau un atac.

4. Îmbunătățiți-vă securitatea WordPress

Odată ce ați terminat cu ciclul descris mai sus, următorul pas este să încercați să analizați ce puteți face mai bine data viitoare. După cum sa discutat la începutul articolului, rețineți că securitatea este un proces continuu - încercați să fiți la curent cu știrile despre securitate WordPress și, în mod critic, asigurați-vă că sunteți mereu la curent cu actualizările de securitate WordPress.

Odată ce parcurgeți acest proces de câteva ori, încercați să documentați detalii despre propriul proces. Fă-o rutină pe care o urmărești din când în când. În plus, de fiecare dată când introduci modificări site-ului tău WordPress, ține cont de securitate. Urmați procesul iterativ de securitate WordPress de testare , consolidare , monitorizare și îmbunătățire a securității site-ului dvs. ori de câte ori faceți o schimbare pe site-ul dvs.