ใช้ OWASP Top 10 เพื่อปรับปรุงความปลอดภัยของ WordPress
เผยแพร่แล้ว: 2018-08-23ความปลอดภัยของ WordPress อาจเป็นเรื่องที่น่ากลัวสำหรับผู้ที่ยังใหม่กับ WordPress และมีเว็บไซต์ อย่างไรก็ตาม ด้วยการปฏิบัติตามและมาตรฐาน เช่น รายชื่อธุรกิจ 10 อันดับแรกของ OWASP สามารถเริ่มต้นใช้งานการรักษาความปลอดภัย WordPress ได้อย่างง่ายดาย
บทความนี้จะอธิบายว่ารายการ OWASP Top 10 คืออะไร นอกจากนี้ยังอธิบายว่าผู้ดูแลระบบไซต์ WordPress สามารถมีเว็บไซต์ WordPress ที่สอดคล้องกับ Owasp Top 10 ได้อย่างไร
รายชื่อ 10 อันดับแรกของ OWASP คืออะไร?
OWASP Top 10 คือรายการความเสี่ยงด้านความปลอดภัยของเว็บแอปพลิเคชันที่สำคัญที่สุด 10 ประการ ด้วยเหตุนี้จึงไม่ใช่มาตรฐานการปฏิบัติตาม แต่หลายองค์กรใช้เป็นแนวทาง องค์กร Open Web Application Security Project (OWASP) เผยแพร่รายการแรกในปี 2546 ตอนนี้พวกเขาเผยแพร่รายการที่อัปเดตทุกสามปี
ช่องโหว่ 10 อันดับแรกของ OWASP และความเสี่ยงด้านความปลอดภัยคืออะไร?
OWASP เผยแพร่รายการ OWASP Top 10 ล่าสุดในปี 2560 ต่อไปนี้เป็นรายการความเสี่ยงด้านความปลอดภัย:
A1: การฉีด
A2: การตรวจสอบสิทธิ์ใช้งานไม่ได้
A3: การเปิดเผยข้อมูลที่ละเอียดอ่อน
A4: XML เอนทิตีภายนอก
A5: การควบคุมการเข้าถึงที่ใช้งานไม่ได้
A6: การกำหนดค่าความปลอดภัยผิดพลาด
A7: การเขียนสคริปต์ข้ามไซต์ (XSS)
A8: การดีซีเรียลไลเซชันที่ไม่ปลอดภัย
A9: การใช้ส่วนประกอบที่มีช่องโหว่ที่รู้จัก
A10: การบันทึกและการตรวจสอบไม่เพียงพอ
การใช้ OWASP Top 10 Security บน WordPress . ของคุณ
ส่วนนี้อธิบายสิ่งที่คุณต้องทำเพื่อให้แน่ใจว่าเว็บไซต์ WordPress ของคุณไม่มีช่องโหว่ใด ๆ จากช่องโหว่ OWASP 10 อันดับแรกและข้อบกพร่องด้านความปลอดภัย
ระบุ A1: การฉีดใน WordPress
SQL Injection เป็นช่องโหว่ของแอปพลิเคชันทางเทคนิคที่มักเกิดจากการไม่ล้างข้อมูลของผู้ใช้ แฮกเกอร์ที่เป็นอันตรายสามารถเข้าถึงข้อมูลในฐานข้อมูล WordPress ได้โดยการใช้ประโยชน์จากมัน
โดยปกติแล้ว ทีมงานหลักของ WordPress จะแก้ไขช่องโหว่ของการฉีดภายในสองสามวัน เช่นเดียวกับนักพัฒนาปลั๊กอิน WordPress ส่วนใหญ่ เหตุใดจึงเป็นสิ่งสำคัญที่ต้องใช้ปลั๊กอินที่ได้รับการดูแลอย่างดีซึ่งพัฒนาโดยนักพัฒนาที่ตอบสนองได้ดีเสมอ
วิธีเดียวที่คุณสามารถมั่นใจได้ว่าแกนหลัก ปลั๊กอิน และธีมของ WordPress จะไม่เสี่ยงต่อช่องโหว่ประเภทนี้ คือการทำให้ซอฟต์แวร์ทั้งหมดของคุณทันสมัยอยู่เสมอ ติดตั้งแพตช์ความปลอดภัยทั้งหมดที่นักพัฒนาเปิดตัวเสมอ
การกำหนดที่อยู่ A2: การตรวจสอบสิทธิ์ที่ใช้งานไม่ได้ใน WordPress
ข้อบกพร่องด้านความปลอดภัยประเภทนี้ยังเป็นช่องโหว่ทางเทคนิคอีกด้วย ช่องโหว่เหล่านี้เป็นผลมาจากการออกแบบเว็บแอปพลิเคชันที่ไม่สมบูรณ์ ขาดการวางแผน ผู้โจมตีสามารถใช้ประโยชน์จากปัญหาการตรวจสอบสิทธิ์ที่ใช้งานไม่ได้เพื่อเข้าถึงข้อมูลที่ละเอียดอ่อน
เฉพาะนักพัฒนาเท่านั้นที่สามารถแก้ไขปัญหาเหล่านี้ได้ ตราบใดที่คุณใช้คอร์และปลั๊กอิน WordPress เวอร์ชันล่าสุด เว็บไซต์ของคุณจะไม่เสี่ยงต่อช่องโหว่ดังกล่าว แน่นอน สมมติว่าคุณใช้ปลั๊กอินที่ได้รับการดูแลอย่างดีเสมอ
แม้ว่าเราจะพูดถึงการรับรองความถูกต้อง แต่ก็ควรเตือนให้คุณใช้ การตรวจสอบสิทธิ์แบบสองปัจจัยบนเว็บไซต์ WordPress ของคุณ หากคุณไม่แน่ใจว่าจะใช้ปลั๊กอินใด นี่คือรายการ ปลั๊กอิน WordPress การตรวจสอบสิทธิ์สองปัจจัยที่ดีที่สุด
การจัดการกับ A3: การเปิดเผยข้อมูลที่ละเอียดอ่อนใน WordPress
การเปิดเผยข้อมูลที่ละเอียดอ่อนได้กลายเป็นปัญหาไปแล้ว การละเมิดข้อมูลมีให้เห็นเกือบทุกวันในข่าวความปลอดภัยของเว็บ ในความเป็นจริง GDPR และข้อกำหนดด้านการปฏิบัติตามกฎระเบียบอื่นๆ กำลังให้ความสำคัญอย่างมากกับความจำเป็นในการจัดการและจัดเก็บข้อมูลที่มีความละเอียดอ่อนและข้อมูลส่วนบุคคลอย่างเหมาะสม
ตาม GDPR ข้อมูลที่ละเอียดอ่อนและส่วนบุคคลคือข้อมูลใด ๆ ที่เกี่ยวข้องกับผู้ใช้ที่ระบุตัวตนได้ อาจเป็นชื่อลูกค้าของคุณ รายละเอียดการเรียกเก็บเงิน และข้อมูลผู้ถือบัตรในกรณีของเว็บไซต์อีคอมเมิร์ซ ในกรณีของบริการทางการเงิน อาจเป็นรายละเอียดบัญชีธนาคาร หรือในการดูแลสุขภาพ อาจเป็นประวัติทางการแพทย์ก็ได้ โปรดทราบว่าแม้ว่าที่อยู่ IP สามารถจัดเป็นข้อมูลที่ละเอียดอ่อนได้ แต่คุณยังสามารถ เก็บบันทึกกิจกรรมของ WordPress ได้ ซึ่งช่วยให้คุณติดตามทุกสิ่งที่เกิดขึ้นบนเว็บไซต์ของคุณได้
เพื่อให้แน่ใจว่าเว็บไซต์ WordPress ของคุณเป็น ไปตามข้อกำหนด หากคุณจัดเก็บข้อมูลที่ละเอียดอ่อนบนเว็บไซต์ WordPress ของคุณ ตรวจสอบให้แน่ใจว่ามีเพียงผู้ใช้ที่จำเป็นต้องใช้ข้อมูลเท่านั้นที่สามารถเข้าถึงข้อมูลได้ และแน่นอนว่าข้อมูลนั้นควรได้รับการเข้ารหัส ใช้ผู้ใช้และบทบาทของ WordPress เสมอเพื่อจัดการสิทธิ์ของผู้ใช้และการเข้าถึงข้อมูลที่ละเอียดอ่อนได้ดียิ่งขึ้น
คุณควรจัดเก็บข้อมูลที่สำคัญบนเว็บไซต์ WordPress ของคุณหรือไม่?
ไม่มีคำตอบที่ชัดเจน ทั้งหมดขึ้นอยู่กับการตั้งค่าและทรัพยากร แม้ว่าโดยทั่วไปแล้วธุรกิจขนาดเล็กจะดีกว่าการจัดเก็บข้อมูลในผู้ให้บริการบุคคลที่สาม
ตัวอย่างเช่น ในกรณีของร้านค้าอีคอมเมิร์ซ มันง่ายกว่ามากที่จะใช้ระบบการชำระเงิน เช่น Stripe หรือ PayPal เพื่อจัดการและจัดเก็บข้อมูลผู้ถือบัตร พวกเขามีโครงสร้างพื้นฐานอยู่แล้ว ดูคำแนะนำเกี่ยวกับการรักษาความปลอดภัยอีคอมเมิร์ซสำหรับผู้ดูแลระบบ WordPress สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีรักษาและเรียกใช้ไซต์อีคอมเมิร์ซที่ปลอดภัย
เช่นเดียวกับที่อยู่อีเมลของลูกค้าและรายการจดหมายข่าว ตามหลักการแล้วคุณไม่ควรจัดเก็บข้อมูลดังกล่าวบนเว็บไซต์ของคุณ ใช้บริการของบุคคลที่สาม เช่น Mailchimp เพื่อจัดเก็บข้อมูลบนโครงสร้างพื้นฐานที่ปลอดภัยและเชื่อถือได้มากกว่าบนเว็บไซต์ WordPress ของคุณ
การกำหนดที่อยู่ A4: XML External Entities (XXE) ใน WordPress
นี่เป็นช่องโหว่ทางเทคนิคของซอฟต์แวร์ สิ่งนี้เกิดขึ้นเมื่อแอปพลิเคชันจัดการไฟล์และข้อมูล XML อย่างไม่ถูกต้อง การติดตั้ง WordPress แบบสำเร็จรูปไม่ได้เกี่ยวข้องกับไฟล์ XML ระยะไกลมากนัก แม้ว่าคุณอาจใช้ปลั๊กอินที่ใช้งานได้
เพื่อให้แน่ใจว่าเว็บไซต์ WordPress ของคุณไม่มีช่องโหว่ประเภทดังกล่าว ให้ใช้ WordPress core, ปลั๊กอิน และซอฟต์แวร์อื่นๆ เวอร์ชันล่าสุด ใช้ปลั๊กอินที่ได้รับการดูแลเสมอ พิจารณาเปลี่ยนปลั๊กอินที่คุณใช้ซึ่งไม่ได้รับการอัปเดตมานานกว่าหนึ่งปี
ระบุ A5: การควบคุมการเข้าถึงที่ใช้งานไม่ได้ใน WordPress
นี่เป็นช่องโหว่ทางเทคนิคของแอปพลิเคชัน ปัญหานี้เกิดขึ้นเมื่อแอปพลิเคชันไม่บังคับใช้ข้อจำกัดที่จำเป็นกับผู้ใช้ที่รับรองความถูกต้อง ดังนั้นเมื่อผู้โจมตีใช้ประโยชน์จากช่องโหว่ดังกล่าว พวกเขาสามารถเข้าถึงข้อมูลที่ละเอียดอ่อนได้
เฉพาะนักพัฒนาเท่านั้นที่สามารถแก้ไขปัญหาประเภทนี้ได้ เพื่อให้แน่ใจว่าเว็บไซต์ของคุณไม่มีช่องโหว่ ให้อัพเดทคอร์ WordPress ปลั๊กอิน และซอฟต์แวร์อื่นๆ ที่คุณใช้บนเว็บไซต์ของคุณให้เป็นปัจจุบัน
การจัดการกับ A6: การกำหนดค่าความปลอดภัยผิดพลาดในเว็บไซต์ WordPress
การกำหนดค่าความปลอดภัยผิดพลาดเป็นเรื่องปกติมากในเว็บไซต์ WordPress ซอฟต์แวร์ที่ไม่ได้รับการแก้ไขและการใช้ประโยชน์จากค่าเริ่มต้นเป็นการโจมตีเว็บไซต์ WordPress ที่ประสบความสำเร็จโดยทั่วไป ในช่วงไม่กี่ปีที่ผ่านมา ทีมงานหลักของ WordPress ได้ดำเนินการหลายอย่างเพื่อช่วยเหลือผู้ใช้ในการแก้ไขปัญหาดังกล่าว ตัวอย่างเช่น WordPress ไม่มีชื่อผู้ใช้ของผู้ ดูแลระบบ ที่เป็นค่าเริ่มต้นอีกต่อไป ซึ่งเป็นสาเหตุของการแฮ็ก WordPress จำนวนมาก
เพื่อให้แน่ใจว่าเว็บไซต์ WordPress ของคุณไม่มีการกำหนดค่าความปลอดภัยที่ผิดพลาด ให้เปลี่ยนค่าเริ่มต้นทั้งหมด สิ่งนี้ใช้กับ WordPress ปลั๊กอินและซอฟต์แวร์และอุปกรณ์อื่น ๆ ที่คุณใช้ ตัวอย่างเช่น หากปลั๊กอินมีชุดข้อมูลประจำตัวเริ่มต้น รหัสผ่านไม่ได้ป้องกันข้อมูลที่ละเอียดอ่อน หรือเก็บไว้ในตำแหน่งเริ่มต้น กำหนดค่าการตรวจสอบสิทธิ์ที่เข้มงวด และเปลี่ยนเส้นทางเริ่มต้น สิ่งนี้ใช้กับซอฟต์แวร์และอุปกรณ์อื่น ๆ ที่คุณใช้รวมถึงเราเตอร์อินเทอร์เน็ตที่บ้านของคุณซึ่งโดยทั่วไปจะมีข้อมูลรับรองเริ่มต้น
ระบุ A7: Cross-site Scripting (XSS) ใน WordPress
Cross-site Scripting หรือที่เรียกว่า XSS เป็นช่องโหว่ทางเทคนิคของแอปพลิเคชัน น่าจะเป็นช่องโหว่ทางเทคนิคที่พบบ่อยที่สุดจุดหนึ่ง ช่องโหว่ XSS เกิดขึ้นเมื่อข้อมูลที่ไม่น่าเชื่อถือไม่ได้รับการตรวจสอบและหลบหนี เมื่อผู้โจมตีที่ประสงค์ร้ายใช้ช่องโหว่ในการเขียนสคริปต์ข้ามไซต์ พวกเขาสามารถขโมยคุกกี้ของผู้ใช้ที่เข้าสู่ระบบและปลอมแปลงพวกเขา พวกเขายังสามารถจี้เซสชันของพวกเขาได้อีกด้วย
โดยทั่วไปแล้ว ทีมงานหลักของ WordPress จะจัดการกับปัญหา XSS ที่รายงานเป็นแกนหลักภายในเวลาเพียงไม่กี่วัน ดังนั้นเพื่อให้แน่ใจว่าแกนหลักของเว็บไซต์ WordPress ของคุณ ปลั๊กอินและธีมจะไม่เสี่ยงต่อช่องโหว่ประเภทนี้ ให้ใช้ซอฟต์แวร์เวอร์ชันล่าสุดเสมอ ใช้ปลั๊กอินที่ได้รับการดูแลเสมอ
ระบุ A8: Deserialization ที่ไม่ปลอดภัยใน WordPress
Deserialization ที่ไม่ปลอดภัยเป็นช่องโหว่ทางเทคนิคของแอปพลิเคชัน ช่องโหว่นี้สามารถเกิดขึ้นได้เมื่อแอปพลิเคชันใช้วัตถุที่เป็นอนุกรมจากแหล่งที่ไม่น่าเชื่อถือโดยไม่ต้องทำการตรวจสอบความสมบูรณ์
โดยทั่วไปแล้ว ทีมงานหลักของ WordPress จะจัดการปัญหาประเภทนี้ภายในสองสามวัน ดังนั้นเพื่อให้แน่ใจว่าแกนหลักของเว็บไซต์ WordPress ของคุณ ปลั๊กอินและธีมจะไม่เสี่ยงต่อช่องโหว่ประเภทนี้ ให้ใช้ซอฟต์แวร์เวอร์ชันล่าสุดเสมอ
การจัดการกับ A9: การใช้ส่วนประกอบที่มีช่องโหว่ที่ทราบบนเว็บไซต์ WordPress
การไม่ใช้ซอฟต์แวร์และเว็บแอปพลิเคชันที่มีช่องโหว่ที่ทราบอาจดูเหมือนชัดเจน แม้ว่าน่าเสียดายที่มันไม่ใช่ มูลนิธิ WordPress ได้ทำสิ่งต่างๆ มากมายในเรื่องนี้ พวกเขามีการอัปเดตอัตโนมัติสำหรับแกน WordPress ทีมตรวจสอบปลั๊กอินของ WordPress ติดแท็กปลั๊กอินบนที่เก็บที่ไม่ได้รับการอัปเดตมาระยะหนึ่งว่าไม่ปลอดภัย
อย่างไรก็ตาม ไม่ใช่เรื่องง่ายสำหรับธุรกิจที่จะใช้ซอฟต์แวร์เวอร์ชันล่าสุดและปลอดภัยที่สุดเสมอไป หลายคนใช้ซอฟต์แวร์รุ่นเก่าและเว็บแอปพลิเคชันที่ไม่รองรับ WordPress เวอร์ชันล่าสุดหรือปลั๊กอินอื่นๆ ดังนั้นพวกเขาจึง ต้อง ใช้ WordPress และปลั๊กอินเวอร์ชันเก่าและมีความเสี่ยง ในกรณีดังกล่าว หากเป็นไปได้ โปรดติดต่อนักพัฒนาเพื่ออัปเดตโค้ด
เพื่อให้แน่ใจว่าเว็บไซต์ของคุณเป็น ไปตามนโยบาย การดำเนินการนี้จะต้องดำเนินการเสมอ: ใช้แกนและปลั๊กอินของ WordPress เวอร์ชันล่าสุดเสมอ นอกจากนี้ สิ่งสำคัญคือต้องปิดใช้งานและถอนการติดตั้งปลั๊กอิน สคริปต์ และธีมที่ไม่ได้ใช้ออกจากเว็บไซต์ของคุณ ตัวอย่างเช่น ผู้ดูแลไซต์จำนวนมากไม่ลบธีมและปลั๊กอินของ WordPress เริ่มต้น หากคุณไม่ได้ใช้ ให้ลบออก
สิ่งนี้ใช้ได้กับซอฟต์แวร์ใหม่เช่นกัน: เมื่อมองหาปลั๊กอินใหม่ ให้ค้นคว้าอยู่เสมอ อ่าน คำแนะนำเกี่ยวกับวิธีการเลือกปลั๊กอิน WordPress สำหรับข้อมูลเพิ่มเติมเกี่ยวกับสิ่งที่คุณควรทำเมื่อมองหาปลั๊กอิน WordPress ใหม่
การจัดการกับ A10: การบันทึกและการตรวจสอบไม่เพียงพอบน WordPress
การบันทึกและการตรวจสอบมีความสำคัญต่อความปลอดภัยของเว็บไซต์ WordPress และเครือข่ายหลายไซต์ของคุณ บันทึกกิจกรรมของ WordPress ยังช่วยให้คุณจัดการเว็บไซต์ของคุณได้ดียิ่งขึ้น ระบุพฤติกรรมที่น่าสงสัยก่อนที่จะกลายเป็นปัญหา รับประกันประสิทธิภาพการทำงานของผู้ใช้ และอื่นๆ อีกมากมาย เรียนรู้เพิ่มเติมเกี่ยวกับ ประโยชน์ของการเก็บบันทึกกิจกรรมของ WordPress (บันทึกการตรวจสอบ)
เพื่อให้แน่ใจว่าเว็บไซต์ WordPress ของคุณเป็น ไปตามข้อกำหนด ให้ ติดตั้งบันทึกการตรวจสอบความปลอดภัย WP ซึ่ง เป็นปลั๊กอินบันทึกกิจกรรม WordPress ที่ครอบคลุมที่สุด จะเก็บบันทึกทุกสิ่งที่เกิดขึ้นบนเว็บไซต์ WordPress และเครือข่ายหลายไซต์ของคุณในบันทึกกิจกรรม อ้างถึงการ จัดการกับการบันทึกที่ไม่เพียงพอด้วยปลั๊กอินบันทึกกิจกรรมของ WordPress สำหรับข้อมูลโดยละเอียดเพิ่มเติมเกี่ยวกับวิธีการจัดการกับส่วนนี้ของรายการ OWASP 10 อันดับแรก
การสร้างเว็บไซต์ WordPress ที่รองรับ OWASP ด้วย OWASP Top 10
ความปลอดภัยของ WordPress อาจซับซ้อน โดยเฉพาะอย่างยิ่งเมื่อต้องรับมือกับการตั้งค่าขนาดใหญ่ แม้ว่าการเริ่มต้นและครอบคลุมพื้นฐานจะไม่ใช่เรื่องยากอย่างที่บทความนี้เน้นย้ำ คุณสามารถมีเว็บไซต์ WordPress ที่เข้ากันได้กับ OWASP Top 10 โดยดูแลพื้นฐานเหล่านี้:
- ใช้เวอร์ชันล่าสุดของแกน WordPress ปลั๊กอินและธีม
- ตรวจสอบให้แน่ใจว่าคุณเปลี่ยนค่าเริ่มต้นทั้งหมดในคอร์และปลั๊กอิน WordPress ของคุณ
- บังคับใช้นโยบายรหัสผ่านที่รัดกุม
- เปิดใช้งาน 2FA ด้วยปลั๊กอิน WordPress การตรวจสอบสิทธิ์สองปัจจัย
- ใช้ผู้ใช้และบทบาท WordPress อย่างเหมาะสม
- บันทึกทุกสิ่งที่เกิดขึ้นบนเว็บไซต์ของคุณในบันทึกกิจกรรมของ WordPress
เพิ่มความปลอดภัยให้กับเว็บไซต์ WordPress ของคุณโดยใช้รายการ OWASP Top 10 นี้เป็นแนวทาง อ้างถึงหน้า 10 อันดับแรกของ OWASP อย่างเป็นทางการสำหรับข้อมูลรายละเอียดเพิ่มเติม