使用 OWASP Top 10 提高 WordPress 安全性

已發表: 2018-08-23

WordPress 安全性對於那些不熟悉 WordPress 和擁有網站的人來說可能是一個令人生畏的話題。 但是,通過 OWASP Top 10 列表等合規性和標準,企業可以輕鬆開始使用 WordPress 安全性。

本文解釋了什麼是 OWASP Top 10 列表。 它還解釋了 WordPress 站點管理員如何擁有符合Owasp 前 10 名的 WordPress網站。

OWASP 前 10 名是什麼?

OWASP Top 10 列出了 10 個最關鍵的 Web 應用程序安全風險。 因此,它本身不是合規標準,但許多組織將其用作指南。 開放 Web 應用程序安全項目 (OWASP) 組織於 2003 年發布了第一個列表。現在他們每三年發布一次更新列表。

OWASP 前 10 大漏洞和安全風險有哪些?

OWASP 在 2017 年發布了最新的 OWASP Top 10 列表。以下是其中的安全風險列表:

A1:注射
A2:認證失敗
A3:敏感數據暴露
A4:XML 外部實體
A5: 損壞的訪問控制
A6:安全配置錯誤
A7:跨站點腳本(XSS)
A8:不安全的反序列化
A9:使用具有已知漏洞的組件
A10:日誌記錄和監控不足

在您的 WordPress 上應用 OWASP Top 10 安全性

本節說明您需要做些什麼來確保您的 WordPress 網站不會受到任何 OWASP 十大漏洞和安全漏洞的影響。

解決 A1:WordPress 中的注入

SQL 注入是一種技術應用程序漏洞,通常是由於缺乏對用戶輸入的清理造成的。 通過利用它,惡意黑客可以訪問 WordPress 數據庫中的數據。

WordPress 核心團隊通常會在幾天內修復注入漏洞。 這同樣適用於大多數 WordPress 插件開發人員。 因此,為什麼始終使用由響應式開發人員開發的維護良好的插件很重要。

確保您的 WordPress 核心、插件和主題不受此類漏洞影響的唯一方法是使您的所有軟件保持最新。 始終安裝開發人員發布的所有安全補丁。

解決 A2:WordPress 中的身份驗證損壞

這些類型的安全漏洞也是技術漏洞。 這些漏洞是 Web 應用程序設計不完善、缺乏規劃的結果。 攻擊者可以利用破壞的身份驗證問題來訪問敏感數據。

只有開發人員才能解決這些問題。 只要您使用最新版本的 WordPress 核心和插件,您的網站就不會容易出現此類漏洞。 當然,假設您總是使用維護良好的插件。

雖然我們談論的是身份驗證,但值得提醒您在 WordPress 網站上實施兩因素身份驗證。 如果您不確定要使用哪個插件,這裡列出了一些最好的兩因素身份驗證 WordPress 插件

解決 A3:WordPress 中的敏感數據暴露

敏感數據和歐盟 敏感數據暴露已成為一個相當大的問題。 網絡安全新聞中幾乎每天都會出現數據洩露事件。 事實上,GDPR 和其他法規遵從性要求非常重視正確處理和存儲敏感數據和個人數據的必要性。

根據 GDPR,敏感和個人數據是與可識別用戶相關的任何數據。 如果是電子商務網站,它可能是您客戶的姓名、他們的賬單明細和持卡人數據。 在金融服務的情況下,它也可能是銀行賬戶的詳細信息,或者在醫療保健領域,它可能是他們的病史。 請注意,即使 IP 地址可以歸類為敏感數據,您仍然可以保留 WordPress 活動日誌,這樣您就可以跟踪網站上發生的一切。

為確保您的 WordPress 網站合規,如果您在 WordPress 網站上存儲敏感數據,請確保只有需要使用數據的用戶才能訪問它,當然,數據應該被加密。 始終使用 WordPress 用戶和角色來更好地管理用戶的權限和對敏感數據的訪問。

您應該在 WordPress 網站上存儲敏感數據嗎?

沒有確定的答案。 這完全取決於設置和資源。 儘管小型企業通常最好將數據存儲在第三方提供商上。

例如,在電子商務商店的情況下,使用 Stripe 或 PayPal 等支付系統來處理和存儲持卡人數據要容易得多。 他們已經有了基礎設施。 有關如何維護和運行安全電子商務網站的更多信息,請參閱我們的 WordPress 管理員電子商務安全指南。

這同樣適用於客戶的電子郵件地址和新聞通訊列表。 理想情況下,您不應將此類數據存儲在您的網站上。 使用 Mailchimp 等第三方服務將數據存儲在更安全可靠的基礎架構上,而不是在您的 WordPress 網站上。

解決 A4:WordPress 中的 XML 外部實體 (XXE)

這是一個技術軟件漏洞。 當應用程序錯誤地處理 XML 文件和數據時,就會發生這種情況。 開箱即用的 WordPress 安裝不會對遠程 XML 文件進行太多處理,但您可能會使用可以處理的插件。

為確保您的 WordPress 網站不受此類漏洞的影響,請使用最新版本的 WordPress 核心、插件和其他軟件。 始終使用維護的插件。 考慮更改您使用的任何超過一年未更新的插件。

解決 A5:WordPress 中的訪問控制損壞

這是一個技術應用漏洞。 當應用程序未對經過身份驗證的用戶實施必要的限制時,會出現此問題。 因此,當攻擊者利用此類漏洞時,他們可以訪問敏感數據。

只有開發人員可以解決此類問題。 為確保您的網站不易受到攻擊,請保持您在網站上使用的 WordPress 核心、插件和其他軟件處於最新狀態。

解決 A6:WordPress 網站中的安全配置錯誤

安全錯誤配置在 WordPress 網站中非常常見。 未打補丁的軟件和利用默認值是對 WordPress 網站最常見的兩種成功攻擊。 在過去幾年中,WordPress 核心團隊為幫助用戶解決此類問題做了很多工作。 例如,WordPress 不再有默認管理員用戶名,這是許多 WordPress 黑客攻擊的罪魁禍首。

為確保您的 WordPress 網站沒有任何安全錯誤配置,請更改所有默認設置。 這適用於 WordPress、插件和您使用的任何其他軟件和設備。 例如,如果插件有一組默認憑據,沒有密碼保護敏感數據,或者將其存儲在默認位置,則配置強身份驗證並更改默認路徑。 這適用於您使用的任何其他軟件和設備,包括通常具有默認憑據的互聯網家庭路由器。

解決 A7:WordPress 中的跨站點腳本 (XSS)

跨站點腳本,也稱為XSS是一種技術應用程序漏洞。 它很可能是最常見的技術漏洞之一。 當不受信任的數據未經驗證和轉義時,就會出現 XSS 漏洞。 當惡意攻擊者利用跨站點腳本漏洞時,他們可以竊取登錄用戶的 cookie 並冒充他們。 他們還可以劫持他們的會話。

WordPress 核心團隊通常會在幾天內解決核心報告的 XSS 問題。 因此,為確保您的 WordPress 網站核心、插件和主題不受此類漏洞的影響,請始終使用最新版本的軟件。 此外,始終使用維護的插件。

解決 A8:WordPress 中不安全的反序列化

不安全的反序列化是一個技術應用漏洞。 當應用程序使用來自不受信任來源的序列化對象而不進行完整性檢查時,可能會出現此漏洞。

WordPress 核心團隊通常會在幾天內解決此類問題。 因此,為確保您的 WordPress 網站核心、插件和主題不受此類漏洞的影響,請始終使用最新版本的軟件。

解決 A9:在 WordPress 網站上使用具有已知漏洞的組件

不使用存在已知漏洞的軟件和 Web 應用程序聽起來很明顯。 雖然不幸的是它不是。 WordPress 基金會在這方面做了很多工作。 他們有 WordPress 核心的自動更新。 WordPress 插件審查團隊將存儲庫中一段時間未更新的插件標記為不安全。

然而,企業使用最新和最安全的軟件版本並不總是那麼容易。 許多人使用與最新版本的 WordPress 或其他插件不兼容的舊版軟件和 Web 應用程序。 所以他們必須使用舊的易受攻擊版本的 WordPress 和插件。 在這種情況下,如果可能,請聯繫開發人員更新代碼。

為確保您的網站合規,不言而喻:始終使用最新版本的 WordPress 核心和插件。 此外,從您的網站停用和卸載任何未使用的插件、腳本和主題也很重要。 例如,許多站點管理員不會刪除默認的 WordPress 主題和插件。 如果您不使用它們,請刪除它們。

這也適用於新軟件:在尋找新插件時,一定要研究它。 閱讀我們關於如何選擇 WordPress 插件的指南,了解更多關於在尋找新的 WordPress 插件時應該做什麼的信息。

解決 A10:WordPress 上的日誌記錄和監控不足

日誌記錄和監控對於您的 WordPress 網站和多站點網絡的安全至關重要。 WordPress 活動日誌還可以幫助您更好地管理您的網站,在可疑行為成為問題之前識別它,確保用戶工作效率等等。 詳細了解保留 WordPress 活動日誌(審核日誌)的好處

WordPress 活動日誌

為確保您的 WordPress 網站合規,請安裝 WP 安全審核日誌,這是最全面的 WordPress 活動日誌插件。 它將在活動日誌中記錄您的 WordPress 網站和多站點網絡上發生的所有事情。 有關如何解決 OWASP 前 10 名列表的這一部分的更多詳細信息,請參閱使用 WordPress 活動日誌插件解決日誌記錄不足的問題

使用 OWASP Top 10 構建符合OWASP 的 WordPress 網站

WordPress 安全性可能很複雜,尤其是在處理大型設置時。 正如本文重點介紹的那樣,儘管入門和涵蓋基礎知識並不難。 通過注意以下基礎,您可以擁有一個符合OWASP 前 10 名的 WordPress 網站:

  • 使用最新版本的 WordPress 核心、插件和主題,
  • 確保更改 WordPress 核心和插件中的所有默認值,
  • 執行強密碼策略,
  • 使用雙因素身份驗證 WordPress 插件啟用 2FA,
  • 適當地使用 WordPress 用戶和角色,
  • 在 WordPress 活動日誌中記錄您網站上發生的一切

通過使用此 OWASP 前 10 名列表作為指南來提高 WordPress 網站的安全性。 有關更多詳細信息,請參閱官方 OWASP Top 10 頁面。