Shumë kompani operojnë nën supozimin se faqet e tyre në WordPress janë të sigurta – dhe kjo është larg së vërtetës.
Faqet WordPress përbëjnë më shumë se një të tretën e të gjitha faqeve në internet, duke përfshirë disa nga faqet më me trafik dhe faqe të shumta ecommerce . Këto përbejnë arsye pse kompanitë duhet të shpenzojnë shumë kohë dhe burime për të mbrojtur sigurinë e faqes, apo jo?
Fatkeqësisht, thotë Ted Harrington, partneri ekzekutiv në Independent Security Evaluators (ISE), shumë organizata besojnë se për shkak se WordPress është open source , është natyrshëm i sigurt.
“Supozimet që shumë njerëz kanë është se për shkak se është open source, hakerat më të mirë etikë do të punojnë për të gjetur dobësitë e sigurisë dhe ne nuk kemi nevojë të përqendrohemi te siguria”, thotë Harrington.
Në të vërtetë, gjatë vitit të kaluar, u zbuluan dobësi kritike që ndikuan në më shumë se 1.5 milion faqe WordPress dhe shpesh ishin të lidhura me një nga 50,000 plugins e WordPress.
Shtatë këshilla që vijojnë janë bazat e nevojshme për të shmangur vulnerabilitetet në faqet e tyre.
- Zhvilloni një Threat Model ( 1 )
Pak kompani mendojnë se çfarë u duhet vërtet për të mbrojtur, Filloni duke zhvilluar një Threat Model për faqen tuaj WordPress. Cilat të dhëna i duhen ndërmarrjes për të mbrojtur? Nga cilët po i mbrojnë? Nga cilat sulme kanë nevojë për t’u mbrojtur?
“Mendojeni në terma futbolli”. “Këtë fundjavë skuadra X luan luam me skuadrën Y. Ata nuk do të futeshin në lojë pa vlerësuar kundërshtimin dhe analizuar atë që duhet të bëjnë për të mposhtur këtë kundërshtar specifik. E njëjta gjë vlen edhe për sigurinë.”
- Merrni të gjithë Patches dhe Update ( 2 )
Sipas hulumtimit të Institutit Ponemon, 60% e janë shkak i updateve dhe patches të pa aplikuara. Administratorët e WordPress duhet të azhurnojnë rregullisht sistemin operativ, serverin në internet dhe vetë WordPress.
Kompanitë duhet të kene gjithmonë versionin më të fundit të WordPress dhe cilëndo prej plugins që ata përdorin. Administratorët gjithashtu duhet të fshijnë plugins që nuk po përdorn. Ata janë vetëm vektorë për të iniciuar sulme.
-
Menaxhoni fjalëkalimet dhe aksesin e website ( 3 )
Filloni duke ndryshuar fjalëkalimin në mënyrë periodike kohore dhe duke përdorur një fjalëkalim më kompleks – sigurisht jo 1234567.
Fjalëkalimet duhet të jenë gjithmonë unikë.
Administratorët gjithashtu duhet të përdorin Two Step Verification. Mund të jetë Google Authenticator, SMS ose email. Gjatë dy viteve të fundit, shumë konsumatorë kanë përdorur mjete si Google Authenticator.
-
Dyfishoni sigurinë e website ( 4 )
Plugins e WordPress janë zakonisht në PHP, një gjuhë veçanërisht e ndjeshme ndaj renditjes OWASP Top 10 të rreziqeve të sigurisë .
Shumë nga dobësitë kritike që janë identifikuar në WordPress janë të kuptuara mirë, të tilla si ross-site scripting (XSS) and remote code execution (RCE). Studiuesit e sigurisë e konsiderojnë RCE një nga dobësitë më të rrezikshme sepse i jep sulmuesit aftësinë për të ekzekutuar pothuajse çdo kod në një faqe të hackuar. Disa nga shkeljet më të mëdha të të dhënave të kaluara, si Equifax attack, filluan me një sulm RCE. Gjithastu dhe XSS, e cila qëndron në numrin 7 në Top 10 të OWASP.
-
Rishikoni udhëzimet e reja NIST SP 800-53 ( 5 )
Rishikuar shtatorin e kaluar, NIST SP 800-53 përfshin dy azhornime të mëdha që ofrojnë njohuri se si security pros mund të zbatojnë sigurinë e aplikacioneve, duke përfshirë faqet WordPress. Kuadri i ri përfshin kërkesat për runtime application self-protection (RASP) dhe interactive application security testing (IAST).
Ndryshe nga zgjidhjet e sigurisë siç janë firewall-et e aplikacioneve (WAF), RASP qëndrojnë në të njëjtin server me aplikacionin dhe ofrojnë siguri të vazhdueshme për aplikacionin . Duke qëndruar në të njëjtin server, RASP kuptojnë kontekstin e ndërveprimeve të aplikacionit.
-
Projektimi, Skanimi, Kontrolli ( 6 )
Kompanitë nuk kanë gjithmonë një mënyrë sistematike për të menaxhuar faqet e tyre në WordPress, e një strategji të tillë është n Hackable: Si të Bëni Aplikim e Sigurisë në mënyren e duhur.
Skanimet janë efikase, ofrojnë informacion që ndihmon në fazat e mëvonshme të vlerësimit. Shumica e sulmuesve kryejnë skanime para, kështu që është mirë të bësh të njëjtën gjë në mënyrë që të shohësh se çfarë shohin hakerat.
Shembujt përfshijnë cross-site scripting (XSS), i cili lejon sulmuesit të injektojnë skripte në website; cross-site request forgery (CSRF), në këtë sulm një attacker merr të dhëna nga përdoruesit e web nëpërmjet një faqe te injektuar në browser; broken access control, një sulm për të verifikuar identitetin e përdoruesit. Nëse kompania nuk ka ekspertizë për të ndërmarrë këto procese, një ekspert i sigurisë mund t’i drejtojë këto procese në vend të tyre.
-
Mendoni jashtë kornizës ( 7 )
Këtu preken të gjitha brand që e përdorin WordPress eCommerce dhe funksione të tjera të rëndësishme. Kështu përdorini e funksionalitetit të website për të kryer një sulm kundër vetvetes. Për shembull, nëse fusha e emrit të përdoruesit pranon deri në 20 karaktere, futni diçka si 2,000. Ose nëse fusha e login pranon karaktere alfanumerike, futni një komandë dhe shikoni se si sistemi përgjigjet kur sulmohet. Sistemi synon të bëjë X, por çka nëse përpiqemi ta bëjmë atë të bëjë Y në vend të kësaj?
Ekipet e sigurisë gjithashtu duhet të kuptojnë se si mund të kombinohen dobësitë e ndryshme dhe pastaj t’i rregullojnë ato për të minimizuar shfrytëzueshmërinë. Për shembull, të kuptuarit se si funksionojnë predictable account IDs and broken authorization (aftësia për të rivendosur fjalëkalimet vetëm me ID-në e llogarisë) tregon se çfarë të bëni për këtë: Randomizoni ID-të dhe kërkoni më shumë sesa ID-në e llogarisë për të ndryshuar kredencialet. Duke vepruar kështu,sulmi neutralizohet.