Использование OWASP Top 10 для улучшения безопасности WordPress
Опубликовано: 2018-08-23Безопасность WordPress может быть пугающей темой для тех, кто плохо знаком с WordPress и имеет веб-сайт. Тем не менее, с соблюдением требований и стандартов, таких как список 10 лучших OWASP, бизнес может легко начать работу с безопасностью WordPress.
В этой статье объясняется, что такое список OWASP Top 10. В нем также объясняется, как администраторы сайта WordPress могут иметь веб-сайт WordPress, совместимый с Owasp Top 10 .
Что такое список OWASP Top 10?
OWASP Top 10 — это список из 10 наиболее важных угроз безопасности веб-приложений. Как таковой, он не является стандартом соответствия сам по себе, но многие организации используют его в качестве руководства. Организация Open Web Application Security Project (OWASP) опубликовала первый список в 2003 году. Теперь они выпускают обновленный список каждые три года.
Какие уязвимости и риски безопасности входят в первую десятку OWASP?
OWASP опубликовал последний список OWASP Top 10 в 2017 году. Ниже приведен список угроз безопасности в нем:
A1: впрыск
A2: Сломанная аутентификация
A3: Разоблачение конфиденциальных данных
A4: Внешние объекты XML
A5: Сломанный контроль доступа
A6: Неправильная настройка безопасности
A7: Межсайтовый скриптинг (XSS)
A8: Небезопасная десериализация
A9: Использование компонентов с известными уязвимостями
A10: Недостаточное ведение журнала и мониторинг
Применение OWASP Top 10 Security на вашем WordPress
В этом разделе объясняется, что вам нужно сделать, чтобы ваш веб-сайт WordPress не был уязвим ни к одной из 10 основных уязвимостей и недостатков безопасности OWASP.
Решение A1: внедрение в WordPress
Внедрение SQL — это техническая уязвимость приложения, которая обычно возникает из-за недостаточной очистки пользовательского ввода. Используя его, злоумышленники могут получить доступ к данным в базе данных WordPress.
Основная команда WordPress обычно устраняет уязвимости внедрения в течение нескольких дней. То же самое относится и к большинству разработчиков плагинов WordPress. Вот почему важно всегда использовать хорошо поддерживаемые плагины, разработанные отзывчивыми разработчиками.
Единственный способ убедиться, что ядро WordPress, плагины и темы не подвержены этому типу уязвимости, — это поддерживать все свое программное обеспечение в актуальном состоянии. Всегда устанавливайте все исправления безопасности, выпущенные разработчиками.
Решение A2: неработающая аутентификация в WordPress
Эти типы недостатков безопасности также являются техническими уязвимостями. Эти уязвимости являются следствием некачественного дизайна веб-приложения, отсутствия планирования. Злоумышленники могут использовать проблемы с проверкой подлинности для доступа к конфиденциальным данным.
Только разработчики могут решить эти проблемы. Пока вы используете последнюю версию ядра и плагинов WordPress, ваш сайт не будет подвержен таким уязвимостям. Конечно, при условии, что вы всегда используете хорошо поддерживаемые плагины.
Хотя, поскольку мы говорим об аутентификации, стоит напомнить вам о необходимости реализации двухфакторной аутентификации на вашем веб-сайте WordPress . Если вы не уверены, какой плагин использовать, вот список некоторых из лучших плагинов для двухфакторной аутентификации WordPress .
Решение A3: раскрытие конфиденциальных данных в WordPress
Разоблачение конфиденциальных данных стало серьезной проблемой. Утечки данных почти ежедневно освещаются в новостях веб-безопасности. На самом деле GDPR и другие нормативные требования делают большой упор на необходимость надлежащего обращения и хранения конфиденциальных и личных данных.
Согласно GDPR, конфиденциальные и персональные данные — это любые данные, относящиеся к идентифицируемому пользователю. Это могут быть имена ваших клиентов, их платежные реквизиты и данные держателя карты в случае веб-сайта электронной коммерции. В случае финансовых услуг это также могут быть реквизиты банковского счета, а в сфере здравоохранения это может быть их история болезни. Обратите внимание, что даже несмотря на то, что IP-адрес может быть классифицирован как конфиденциальные данные, вы все равно можете вести журнал активности WordPress , который позволяет вам отслеживать все, что происходит на ваших веб-сайтах.
Чтобы убедиться, что ваш веб-сайт WordPress соответствует требованиям , если вы храните конфиденциальные данные на своем веб-сайте WordPress, убедитесь, что только пользователи, которым необходимо использовать данные, имеют к ним доступ, и, конечно же, данные должны быть зашифрованы. Всегда используйте пользователей и роли WordPress, чтобы лучше управлять привилегиями пользователей и доступом к конфиденциальным данным.
Стоит ли хранить конфиденциальные данные на вашем веб-сайте WordPress?
Однозначного ответа нет. Все зависит от настроек и ресурсов. Хотя малым предприятиям, как правило, лучше хранить данные у стороннего поставщика.
Например, в случае магазина электронной коммерции гораздо проще использовать платежные системы, такие как Stripe или PayPal, для обработки и хранения данных держателей карт. У них уже есть инфраструктура. Обратитесь к нашему руководству по безопасности электронной коммерции для администраторов WordPress, чтобы получить дополнительную информацию о том, как сохранить и запустить безопасный сайт электронной коммерции.
То же самое относится к адресам электронной почты клиентов и спискам информационных бюллетеней. В идеале вы не должны хранить такие данные на своем веб-сайте. Используйте сторонний сервис, например Mailchimp, для хранения данных в более безопасной и надежной инфраструктуре, а не на вашем веб-сайте WordPress.
Решение A4: внешние объекты XML (XXE) в WordPress
Это техническая уязвимость программного обеспечения. Это происходит, когда приложение неправильно обрабатывает XML-файлы и данные. Стандартная установка WordPress не имеет большого отношения к удаленным XML-файлам, хотя вы можете использовать подключаемые модули, которые это делают.
Чтобы убедиться, что ваш веб-сайт WordPress не подвержен такому типу уязвимости, используйте последнюю версию ядра WordPress, плагина и другого программного обеспечения. Всегда используйте поддерживаемые плагины. Рассмотрите возможность изменения любого используемого вами плагина, который не обновлялся более года.
Решение A5: сломанный контроль доступа в WordPress
Это техническая уязвимость приложения. Эта проблема возникает, когда приложение не применяет необходимые ограничения для пользователей, прошедших проверку подлинности. Поэтому, когда злоумышленники используют такие уязвимости, они могут получить доступ к конфиденциальным данным.
Только разработчики могут исправить этот тип проблемы. Чтобы ваш веб-сайт не был уязвимым, обновляйте ядро WordPress, плагины и другое программное обеспечение, которое вы используете на своем веб-сайте.
Решение A6: неправильная настройка безопасности на веб-сайтах WordPress
Неправильные настройки безопасности очень распространены на веб-сайтах WordPress. Неисправленное программное обеспечение и использование настроек по умолчанию — две наиболее распространенные успешные атаки на веб-сайты WordPress. За последние несколько лет основная команда WordPress многое сделала, чтобы помочь пользователям решить такие проблемы. Например, у WordPress больше нет имени администратора по умолчанию, которое было причиной многих взломов WordPress.
Чтобы убедиться, что на вашем веб-сайте WordPress нет неправильных настроек безопасности, измените все значения по умолчанию. Это относится к WordPress, плагинам и любому другому программному обеспечению и устройствам, которые вы используете. Например, если подключаемый модуль имеет набор учетных данных по умолчанию, не защищает конфиденциальные данные паролем или хранит их в расположении по умолчанию, настройте строгую аутентификацию и измените пути по умолчанию. Это относится к любому другому программному обеспечению и устройству, которое вы используете, включая домашний интернет-маршрутизатор, который обычно имеет учетные данные по умолчанию.
Решение A7: Межсайтовый скриптинг (XSS) в WordPress
Межсайтовый скриптинг, также известный как XSS , представляет собой техническую уязвимость приложения. Скорее всего, это одна из самых распространенных технических уязвимостей. Уязвимость XSS возникает, когда ненадежные данные не проверяются и не экранируются. Когда злоумышленник использует уязвимость межсайтового скриптинга, он может украсть файлы cookie зарегистрированных пользователей и выдать себя за них. Они также могут захватить их сеанс.
Основная команда WordPress обычно устраняет сообщения о XSS-проблемах всего за несколько дней. Поэтому, чтобы гарантировать, что ядро вашего веб-сайта WordPress, плагины и темы не уязвимы для этого типа уязвимости, всегда используйте последнюю версию программного обеспечения. Кроме того, всегда используйте поддерживаемые плагины.
Решение A8: небезопасная десериализация в WordPress
Небезопасная десериализация — это техническая уязвимость приложения. Эта уязвимость может возникнуть, когда приложение использует сериализованные объекты из ненадежных источников без проверки целостности.
Основная команда WordPress обычно решает проблему такого типа в течение нескольких дней. Поэтому, чтобы гарантировать, что ядро вашего веб-сайта WordPress, плагины и темы не уязвимы для этого типа уязвимости, всегда используйте последнюю версию программного обеспечения.
Решение A9: использование компонентов с известными уязвимостями на веб-сайте WordPress
Неиспользование программного обеспечения и веб-приложений с известными уязвимостями может показаться очевидным. Хотя, к сожалению, это не так. Фонд WordPress много сделал в этом отношении. У них есть автоматические обновления для ядра WordPress. Команда проверки плагинов WordPress помечает плагины в репозитории, которые не обновлялись какое-то время, как небезопасные.
Однако предприятиям не всегда легко использовать последнюю и наиболее безопасную версию программного обеспечения. Многие используют устаревшее программное обеспечение и веб-приложения, несовместимые с последней версией WordPress или другими плагинами. Поэтому им приходится использовать старую и уязвимую версию WordPress и плагинов. В таких случаях, если возможно, свяжитесь с разработчиками для обновления кода.
Само собой разумеется , чтобы ваш веб-сайт соответствовал требованиям : всегда используйте последнюю версию ядра и плагинов WordPress. Кроме того, важно деактивировать и удалить все неиспользуемые плагины, скрипты и темы с вашего сайта. Например, многие администраторы сайтов не удаляют стандартные темы и плагины WordPress. Если вы ими не пользуетесь, удалите их.
Это относится и к новому программному обеспечению: при поиске нового плагина всегда исследуйте его. Прочтите наше руководство о том, как выбрать плагин WordPress, чтобы узнать, что вам следует делать при поиске нового плагина WordPress.
Решение A10: недостаточное ведение журнала и мониторинг в WordPress
Ведение журнала и мониторинг жизненно важны для безопасности вашего веб-сайта WordPress и многосайтовой сети. Журналы активности WordPress также помогают вам лучше управлять своим веб-сайтом, выявлять подозрительное поведение до того, как оно станет проблемой, обеспечивать продуктивность пользователей и многое другое. Узнайте больше о преимуществах ведения журнала активности WordPress (журнала аудита) .
Чтобы убедиться, что ваш веб-сайт WordPress соответствует требованиям , установите журнал аудита безопасности WP, самый полный плагин журнала активности WordPress . Он будет вести учет всего, что происходит на вашем веб-сайте WordPress и в многосайтовой сети, в журнале активности. Обратитесь к решению проблемы недостаточного ведения журнала с помощью подключаемого модуля журнала активности WordPress для получения более подробной информации о том, как решить эту часть списка OWASP Top 10.
Создание веб-сайта WordPress, совместимого с OWASP, с OWASP Top 10
Безопасность WordPress может быть сложной, особенно при работе с большими настройками. Хотя начать и охватить основы не так уж сложно, как подчеркивается в этой статье. Вы можете получить веб-сайт WordPress, соответствующий OWASP Top 10, если позаботитесь об этих основах:
- Используйте последнюю версию ядра WordPress, плагинов и тем,
- Убедитесь, что вы изменили все настройки по умолчанию в ядре WordPress и плагинах,
- Применение надежных политик паролей,
- Включите 2FA с помощью плагина WordPress для двухфакторной аутентификации,
- Используйте пользователей и роли WordPress надлежащим образом,
- Ведите учет всего, что происходит на вашем сайте, в журнале активности WordPress .
Повысьте безопасность своего веб-сайта WordPress, используя этот список OWASP Top 10 в качестве руководства. Обратитесь к официальной странице OWASP Top 10 для получения более подробной информации.