Процесс безопасности WordPress; Тестировать, укреплять, контролировать, улучшать
Опубликовано: 2020-06-11Безопасность WordPress мало чем отличается от многих других областей ИТ-безопасности. Это не одноразовое исправление. Это то, что на самом деле никогда не заканчивается. Хотя есть несколько шагов, которые вы можете предпринять для повышения безопасности WordPress, ваш сайт и бизнес-требования изменятся. Таким образом, принятие оценки безопасности на определенный момент времени только даст вам ложное чувство безопасности. Вместо этого выигрышная стратегия заключается в следовании непрерывному процессу. Процесс постоянного тестирования вашей защиты и повторения этого, чтобы улучшить состояние безопасности вашего сайта.
Цель этой статьи — предложить простой в использовании долгосрочный итеративный процесс, который вы можете внедрить, чтобы ваши усилия по обеспечению безопасности WordPress были непрерывными и продолжали соответствовать ландшафту угроз, в котором вы и ваш бизнес работаете.
1. Проверьте безопасность WordPress
Большинство путей безопасности WordPress начинаются здесь; вы заметили, что что-то неправильно настроено в вашей установке WordPress, или вы читали об использовании таких инструментов, как WPScan или nmap, для оценки безопасности вашего веб-сайта WordPress. Возможно, вы стали жертвой инцидента с безопасностью и хотели бы узнать, как проверить безопасность WordPress.
Тестирование безопасности — жизненно важный шаг в непрерывной стратегии безопасности WordPress. Глядя на свой веб-сайт через ту же призму, что и злоумышленник, вы сможете лучше понять его состояние безопасности. Это означает, что вы узнаете, что можно сделать, чтобы укрепить свою защиту от выявленных вами слабых мест. См. Шаг № 2 для более подробной информации об этом.
Если вы не знаете, с чего начать тестирование безопасности WordPress, наймите стороннего специалиста. Конечно, ничто не мешает вам постепенно наращивать свои знания, чтобы самостоятельно протестировать свой веб-сайт WordPress.
2. Усиление WordPress
Как только вы поймете, что выявило ваше тестирование безопасности, пришло время укрепить вашу установку WordPress. По умолчанию WordPress достаточно безопасен. Тем не менее, существует множество вариантов, оптимизаций и изменений, которые вы можете внести в настройку WordPress и инфраструктуру сервера, чтобы усложнить жизнь злоумышленнику. Многие из этих оптимизаций — многие из которых могут зависеть от вашего варианта использования. Этот процесс обычно называют «укреплением безопасности» или просто «укреплением».
Укрепление вашей установки WordPress, безусловно, не разовое мероприятие. Вам нужно будет установить новые плагины и расширить функциональность вашего сайта WordPress, чтобы приспособиться к изменяющимся потребностям бизнеса. Конечно, нет недостатка в ресурсах, чтобы вы начали укреплять безопасность WordPress. Ниже приведены два основных принципа, которых вы должны придерживаться при усилении настроек WordPress.
Запускайте меньше программного обеспечения
Поначалу фраза «запускать меньше программ» звучит не очень полезно. Однако, скорее всего, вы используете больше программного обеспечения, чем необходимо. Это также означает, что у злоумышленников появляется больше возможностей для использования потенциальных уязвимостей в этом дополнительном программном обеспечении.
Если вы не знаете, с чего начать, начните с изучения ваших плагинов WordPress. Спросите себя, без чего вы можете обойтись и удалите. Примените тот же принцип к расширениям PHP, настройке веб-сервера, инструментам операционной системы и сетевым службам.
Удаление программного обеспечения, как правило, не является легким процессом для начала. Однако с каждым разом, когда вы будете выполнять это упражнение, оно будет становиться все труднее. Хотя результат использования более экономичной системы стоит затраченных усилий.
Помимо того, что вы всегда проверяете любые изменения в тестовой или промежуточной среде, вы также хотите убедиться, что вы не удаляете программное обеспечение, такое как ваш брандмауэр WordPress, журнал активности WordPress или ваши плагины мониторинга целостности файлов WordPress, которые существуют для повысить безопасность WordPress.
Это также относится к деактивированным плагинам и темам. Деактивированные плагины следует сразу же удалять, потому что в некоторых случаях их код все еще может быть использован, если он уязвим. Что касается тем, ваш сайт использует только одну тему. Может быть, два, если у вас настроена дочерняя тема. Удалите все дополнительные темы на своем веб-сайте, включая стандартные темы, поставляемые с WordPress.
Принцип наименьших привилегий
Для запуска WordPress не требуется root-пользователь MySQL. Точно так же не рекомендуется запускать большинство программ от имени пользователя root на серверах Linux (эквивалент администратора в Microsoft Windows). Используйте учетные записи администратора / root только в том случае, если для этого есть уважительная причина.
До такой степени, как правило, всегда старайтесь изо всех сил предоставить приложению или пользователю наименьшие возможные привилегии для выполнения работы. Конечно, запуск всего от имени пользователя root или администратора означает, что все будет работать, не беспокоясь о привилегиях. Тем не менее, это потенциально очень опасно. Запуск приложений (включая такие задачи, как задания cron) с правами администратора может позволить злоумышленнику или вредоносному подключаемому модулю нанести больший ущерб в случае нарушения безопасности.
Если вы не знаете, с чего начать, начните с того, что посмотрите, кто является администратором в WordPress, и решите, нужно ли вам каким-то образом ограничить это — пока вы этим занимаетесь, вы можете убедиться, что вы доступ к администратору WordPress через HTTPS (SSL) и что вы внедрили двухфакторную аутентификацию (2FA) (или, по крайней мере, вы внедрили HTTP-аутентификацию для администратора WordPress).
Конечно, есть несколько других советов по усилению безопасности WordPress, которые вы можете применить, чтобы улучшить состояние безопасности вашего веб-сайта WordPress. Обратитесь к нашим руководствам и советам по безопасности WordPress, чтобы узнать больше.
3. Мониторинг WordPress
Журналы абсолютно необходимы для обеспечения безопасности любой системы. Они самое близкое, что у нас есть, к машине времени. Возможность ответить, что и когда произошло, является незаменимым инструментом при расследовании инцидента, связанного с безопасностью. Наличие доступа к нужным журналам может означать разницу между обнаружением того, что злоумышленник закрепился на вашем веб-сайте, и тем, чтобы ограбление оставалось незамеченным, пока не стало слишком поздно.
Дополнением к регистрации является мониторинг. В своей самой простой форме мониторинг ожидает возникновения какого-либо события (обычно периодически просматривая какой-либо журнал), записывает его и обычно настраивается с помощью какой-либо системы оповещения, чтобы предупредить системного администратора о том, что что-то произошло (например, система обнаружения вторжений WordPress). ). Хотя многие системные администраторы обычно отслеживают использование ЦП и памяти, им может не хватать доступа к мониторингу WordPress.
Журналы активности WordPress
Возможность оглянуться на журнал активности WordPress, чтобы точно определить, что пользователь делал в течение определенного периода времени, является важным аналитическим инструментом в расследовании. Кроме того, вы хотели бы иметь возможность сопоставлять эту информацию с веб-сервером, ошибками PHP и журналами базы данных. Вот несколько советов, чтобы убедиться, что вы правильно описываете хотя бы базовую обработку журналов.
- Убедитесь, что вы правильно чередуете свои журналы, чтобы убедиться, что у вас не закончилось место на диске.
- Периодически создавайте резервные копии журналов в резервную копию за пределами площадки (например, Amazon S3 или Digital Ocean Spaces).
- выясните, как долго вы хотите хранить журналы, и настройте политики хранения журналов активности. Рекомендуется хранить не менее 1 года
- Убедитесь, что у вас есть быстрый способ получить доступ к важной информации в ваших журналах во время инцидента
Другие журналы
Помимо журналов активности WordPress, как администратор сайта, у вас есть доступ ко многим другим журналам, таким как журналы веб-сервера, журналы PHP и многие другие. Обратитесь к списку файлов журналов для администраторов WordPress, чтобы узнать больше обо всех различных файлах журналов, к которым у вас есть доступ. В сообщениях также рассказывается, как вы можете использовать информацию из всех журналов для отслеживания инцидента или атаки.
4. Улучшите безопасность WordPress
Когда вы закончите цикл, описанный выше, следующим шагом будет попытка проанализировать, что вы можете сделать лучше в следующий раз. Как обсуждалось в начале статьи, имейте в виду, что безопасность — это непрерывный процесс — старайтесь быть в курсе новостей безопасности WordPress и, что особенно важно, убедитесь, что вы всегда в курсе обновлений безопасности WordPress.
После того, как вы пройдете этот процесс несколько раз, попробуйте задокументировать особенности вашего собственного процесса. Сделайте это рутиной, которой вы следуете время от времени. Кроме того, всякий раз, когда вы вносите изменения на свой веб-сайт WordPress, помните о безопасности. Следуйте итеративному процессу безопасности WordPress по тестированию , усилению , мониторингу и улучшению безопасности вашего веб-сайта всякий раз, когда вы вносите изменения на своем веб-сайте.