使用 OWASP Top 10 提高 WordPress 安全性

已发表: 2018-08-23

WordPress 安全性对于那些不熟悉 WordPress 和拥有网站的人来说可能是一个令人生畏的话题。 但是,通过 OWASP Top 10 列表等合规性和标准,企业可以轻松开始使用 WordPress 安全性。

本文解释了什么是 OWASP Top 10 列表。 它还解释了 WordPress 站点管理员如何拥有符合Owasp 前 10 名的 WordPress网站。

OWASP 前 10 名是什么?

OWASP Top 10 列出了 10 个最关键的 Web 应用程序安全风险。 因此,它本身不是合规标准,但许多组织将其用作指南。 开放 Web 应用程序安全项目 (OWASP) 组织于 2003 年发布了第一个列表。现在他们每三年发布一次更新列表。

OWASP 前 10 大漏洞和安全风险有哪些?

OWASP 在 2017 年发布了最新的 OWASP Top 10 列表。以下是其中的安全风险列表:

A1:注射
A2:认证失败
A3:敏感数据暴露
A4:XML 外部实体
A5: 损坏的访问控制
A6:安全配置错误
A7:跨站点脚本(XSS)
A8:不安全的反序列化
A9:使用具有已知漏洞的组件
A10:日志记录和监控不足

在您的 WordPress 上应用 OWASP Top 10 安全性

本节说明您需要做些什么来确保您的 WordPress 网站不会受到任何 OWASP 十大漏洞和安全漏洞的影响。

解决 A1:WordPress 中的注入

SQL 注入是一种技术应用程序漏洞,通常是由于缺乏对用户输入的清理造成的。 通过利用它,恶意黑客可以访问 WordPress 数据库中的数据。

WordPress 核心团队通常会在几天内修复注入漏洞。 这同样适用于大多数 WordPress 插件开发人员。 因此,为什么始终使用由响应式开发人员开发的维护良好的插件很重要。

确保您的 WordPress 核心、插件和主题不受此类漏洞影响的唯一方法是使您的所有软件保持最新。 始终安装开发人员发布的所有安全补丁。

解决 A2:WordPress 中的身份验证损坏

这些类型的安全漏洞也是技术漏洞。 这些漏洞是 Web 应用程序设计不完善、缺乏规划的结果。 攻击者可以利用破坏的身份验证问题来访问敏感数据。

只有开发人员才能解决这些问题。 只要您使用最新版本的 WordPress 核心和插件,您的网站就不会容易出现此类漏洞。 当然,假设您总是使用维护良好的插件。

虽然我们谈论的是身份验证,但值得提醒您在 WordPress 网站上实施两因素身份验证。 如果您不确定要使用哪个插件,这里列出了一些最好的两因素身份验证 WordPress 插件

解决 A3:WordPress 中的敏感数据暴露

敏感数据和欧盟 敏感数据暴露已成为一个相当大的问题。 网络安全新闻中几乎每天都会出现数据泄露事件。 事实上,GDPR 和其他法规遵从性要求非常重视正确处理和存储敏感数据和个人数据的必要性。

根据 GDPR,敏感和个人数据是与可识别用户相关的任何数据。 如果是电子商务网站,它可能是您客户的姓名、他们的账单明细和持卡人数据。 在金融服务的情况下,它也可能是银行账户的详细信息,或者在医疗保健领域,它可能是他们的病史。 请注意,即使 IP 地址可以归类为敏感数据,您仍然可以保留 WordPress 活动日志,这样您就可以跟踪网站上发生的一切。

为确保您的 WordPress 网站合规,如果您在 WordPress 网站上存储敏感数据,请确保只有需要使用数据的用户才能访问它,当然,数据应该被加密。 始终使用 WordPress 用户和角色来更好地管理用户的权限和对敏感数据的访问。

您应该在 WordPress 网站上存储敏感数据吗?

没有确定的答案。 这完全取决于设置和资源。 尽管小型企业通常最好将数据存储在第三方提供商上。

例如,在电子商务商店的情况下,使用 Stripe 或 PayPal 等支付系统来处理和存储持卡人数据要容易得多。 他们已经有了基础设施。 有关如何维护和运行安全电子商务网站的更多信息,请参阅我们的 WordPress 管理员电子商务安全指南。

这同样适用于客户的电子邮件地址和新闻通讯列表。 理想情况下,您不应将此类数据存储在您的网站上。 使用 Mailchimp 等第三方服务将数据存储在更安全可靠的基础架构上,而不是在您的 WordPress 网站上。

解决 A4:WordPress 中的 XML 外部实体 (XXE)

这是一个技术软件漏洞。 当应用程序错误地处理 XML 文件和数据时,就会发生这种情况。 开箱即用的 WordPress 安装不会对远程 XML 文件进行太多处理,但您可能会使用可以处理的插件。

为确保您的 WordPress 网站不受此类漏洞的影响,请使用最新版本的 WordPress 核心、插件和其他软件。 始终使用维护的插件。 考虑更改您使用的任何超过一年未更新的插件。

解决 A5:WordPress 中的访问控制损坏

这是一个技术应用漏洞。 当应用程序未对经过身份验证的用户实施必要的限制时,会出现此问题。 因此,当攻击者利用此类漏洞时,他们可以访问敏感数据。

只有开发人员可以解决此类问题。 为确保您的网站不易受到攻击,请保持您在网站上使用的 WordPress 核心、插件和其他软件处于最新状态。

解决 A6:WordPress 网站中的安全配置错误

安全错误配置在 WordPress 网站中非常常见。 未打补丁的软件和利用默认值是对 WordPress 网站最常见的两种成功攻击。 在过去几年中,WordPress 核心团队为帮助用户解决此类问题做了很多工作。 例如,WordPress 不再有默认管理员用户名,这是许多 WordPress 黑客攻击的罪魁祸首。

为确保您的 WordPress 网站没有任何安全错误配置,请更改所有默认设置。 这适用于 WordPress、插件和您使用的任何其他软件和设备。 例如,如果插件有一组默认凭据,没有密码保护敏感数据,或者将其存储在默认位置,则配置强身份验证并更改默认路径。 这适用于您使用的任何其他软件和设备,包括通常具有默认凭据的互联网家庭路由器。

解决 A7:WordPress 中的跨站点脚本 (XSS)

跨站点脚本,也称为XSS是一种技术应用程序漏洞。 它很可能是最常见的技术漏洞之一。 当不受信任的数据未经验证和转义时,就会出现 XSS 漏洞。 当恶意攻击者利用跨站点脚本漏洞时,他们可以窃取登录用户的 cookie 并冒充他们。 他们还可以劫持他们的会话。

WordPress 核心团队通常会在几天内解决核心报告的 XSS 问题。 因此,为确保您的 WordPress 网站核心、插件和主题不受此类漏洞的影响,请始终使用最新版本的软件。 此外,始终使用维护的插件。

解决 A8:WordPress 中不安全的反序列化

不安全的反序列化是一个技术应用漏洞。 当应用程序使用来自不受信任来源的序列化对象而不进行完整性检查时,可能会出现此漏洞。

WordPress 核心团队通常会在几天内解决此类问题。 因此,为确保您的 WordPress 网站核心、插件和主题不受此类漏洞的影响,请始终使用最新版本的软件。

解决 A9:在 WordPress 网站上使用具有已知漏洞的组件

不使用存在已知漏洞的软件和 Web 应用程序听起来很明显。 虽然不幸的是它不是。 WordPress 基金会在这方面做了很多工作。 他们有 WordPress 核心的自动更新。 WordPress 插件审查团队将存储库中一段时间​​未更新的插件标记为不安全。

然而,企业使用最新和最安全的软件版本并不总是那么容易。 许多人使用与最新版本的 WordPress 或其他插件不兼容的旧版软件和 Web 应用程序。 所以他们必须使用旧的易受攻击版本的 WordPress 和插件。 在这种情况下,如果可能,请联系开发人员更新代码。

为确保您的网站合规,不言而喻:始终使用最新版本的 WordPress 核心和插件。 此外,从您的网站停用和卸载任何未使用的插件、脚本和主题也很重要。 例如,许多站点管理员不会删除默认的 WordPress 主题和插件。 如果您不使用它们,请删除它们。

这也适用于新软件:在寻找新插件时,一定要研究它。 阅读我们关于如何选择 WordPress 插件的指南,了解更多关于在寻找新的 WordPress 插件时应该做什么的信息。

解决 A10:WordPress 上的日志记录和监控不足

日志记录和监控对于您的 WordPress 网站和多站点网络的安全至关重要。 WordPress 活动日志还可以帮助您更好地管理您的网站,在可疑行为成为问题之前识别它,确保用户工作效率等等。 详细了解保留 WordPress 活动日志(审核日志)的好处

WordPress 活动日志

为确保您的 WordPress 网站合规,请安装 WP 安全审核日志,这是最全面的 WordPress 活动日志插件。 它将在活动日志中记录您的 WordPress 网站和多站点网络上发生的所有事情。 有关如何解决 OWASP 前 10 名列表的这一部分的更多详细信息,请参阅使用 WordPress 活动日志插件解决日志记录不足的问题

使用 OWASP Top 10 构建符合OWASP 的 WordPress 网站

WordPress 安全性可能很复杂,尤其是在处理大型设置时。 正如本文重点介绍的那样,尽管入门和涵盖基础知识并不难。 通过注意以下基础,您可以拥有一个符合OWASP 前 10 名的 WordPress 网站:

  • 使用最新版本的 WordPress 核心、插件和主题,
  • 确保更改 WordPress 核心和插件中的所有默认值,
  • 执行强密码策略,
  • 使用双因素身份验证 WordPress 插件启用 2FA,
  • 适当地使用 WordPress 用户和角色,
  • 在 WordPress 活动日志中记录您网站上发生的一切

通过使用此 OWASP 前 10 名列表作为指南来提高 WordPress 网站的安全性。 有关更多详细信息,请参阅官方 OWASP Top 10 页面。