CISA 的损害 WordPress 安全性的不良做法列表
已发表: 2022-08-24CISA 代表网络安全和基础设施安全局,是美国国土安全部下属的联邦机构。 它成立于 2018 年,取代了 NPPD——国家保护和计划局,其任务是提高网络安全性,以抵御来自私人和国家支持的黑客的攻击。
CISA 开展了大量工作来帮助确保关键基础设施和系统的安全性。 为此,它发布了一些指南和列表,以帮助政府实体和私营企业保持良好的安全实践并保持在线安全。 您可以轻松地将 CISA 的指南应用于您的个人或企业 WordPress 网站,以获得符合 CISA 标准的安全性。
CISA 向公众提供的其中一项资源是其不良做法目录。 虽然这个目录是一项正在进行的工作——并且总是由于威胁的动态和不断变化的性质——它让我们对 CISA 认为真正的不良做法有宝贵的洞察力。
CISA 和 WordPress 安全性
CISA 的不良做法通常在 WordPress 环境中普遍存在,这使得该列表与 WordPress 管理员和网站所有者更加相关。 幸运的是,消除这些不良做法很容易,而且可以立即完成。
如果您希望将您的安全性提升到一个新的水平,请参阅 WordPress 安全指南以获取完整且详细的列表,其中列出了您可以采取的所有措施以确保您的网站安全。
该机构还开设了一个 GitHub 页面,管理员和其他 IT 专业人员可以在该页面上就不良做法发表意见,以便将其纳入目录。
风险 1:使用不受支持的软件
软件总是带有错误——这也是开发人员发布更新的原因之一。 更新不仅解决了错误和安全漏洞,还添加了新功能和改进。 尽快安装这些更新对于确保您的基础架构安全非常重要。
不受支持的软件,例如旧版本、已达到其生命周期的软件和无效插件,不会收到更新,这使得它们特别危险,因为它们可能会给您的环境带来已知的漏洞。
攻击者可以利用这些漏洞未经授权访问您的系统。 反过来,这使他们能够窃取您的数据、关闭您的网站并进行许多其他恶意活动。
解决方案
尽快安装更新可以显着降低与安全漏洞和错误相关的风险。 同样,您希望确保您选择的供应商和开发人员能够及时响应并经常发布更新(而不是一年一次)。
选择插件时,请查看版本历史记录以了解更新发布的频率。 每日更新不是一个好兆头; 但是,因此每年的更新也可能表明有问题。 您可能还想查看用户评论以了解开发人员对用户问题的响应程度。
风险2:密码错误
不良密码包括默认密码、回收密码、之前泄露的密码和弱密码。 错误的密码很容易被破解,为攻击者提供了进入您系统的简单途径。 密码共享是另一种在 WordPress 环境及其他环境中经常发生的不良做法。 共享密码极大地增加了密码泄露的风险,使追踪问题和追究团队责任变得困难。
解决方案
强大的 WordPress 密码策略在帮助您排除错误密码方面大有帮助。 WPassword 是一个 WordPress 插件,它为管理员提供对用户如何设置密码策略的精细控制,确保使用安全有效的密码。
风险 3:单因素身份验证
单因素身份验证是进入 CISA 不良做法目录的第三个也是最后一个风险。 在单因素身份验证设置中,用户只需使用其用户名和密码即可登录。 在双重身份验证 (2FA) 或 MFA 环境中,用户必须通过第二种(或更多)方法进行身份验证。
如果密码泄露,单因素身份验证可能会特别成问题,虽然良好的密码策略在最大限度地降低风险方面大有帮助,但二级身份验证因素大大提高了 WordPress 网站的整体安全性。
2FA 正迅速成为身份验证的黄金标准。 虽然它的前提非常简单,但它可以阻止大多数最常见的攻击。 这使其成为行业巨头、爱好者以及介于两者之间的所有人的最爱。
解决方案
WordPress 不提供开箱即用的 2FA。 但是,由于 WP 2FA,在您的 WordPress 网站上实施 2FA 很容易。 这个 WordPress 2FA 插件提供了比您无法动摇的更多选项,确保您的所有用户都可以利用 2FA 来获得更安全的 WordPress。
一个 WordPress 安全行动计划,以消除不良做法
坏习惯就像坏习惯。 必须随着时间的推移对其进行检查,以确保没有任何东西从裂缝中掉下来。 这就是为什么 WordPress 安全是一个迭代过程的原因; 我们必须经常注意这一点,以确保我们始终遵循最佳做法。
虽然毫无疑问还有其他没有列入 CISA 名单的不良做法,但它们提供的内容是一个很好的起点。 回顾一下,
- 更新可用时立即安装。 如果您担心更新会破坏您的站点,请在将更新发布到实时环境之前安装一个临时环境来测试更新。
- 使用 WPassword 实施强大的 WordPress 密码策略,从您的环境中清除弱密码。 鼓励用户使用密码管理器来减少对过于复杂的忘记密码的支持请求。
- 启用和使用策略以要求对所有用户进行 WordPress 双重身份验证。 使用 WP 2FA 来利用其许多功能,其中包括 Authy 集成、宽限期和白标等。
虽然 CISA 的列表是一个很好的起点,但保护您的 WordPress 网站需要更全面的方法。 从确保强密码到强化 WordPress,您可以按照 WP White Security 的指南来做很多事情,以获得出色的 WordPress 安全性。
PS 如果您在保护 WordPress 网站方面的经验有限,我们建议您设置一个 WordPress 测试环境。