Korzystanie z OWASP Top 10 w celu poprawy bezpieczeństwa WordPress
Opublikowany: 2018-08-23Bezpieczeństwo WordPressa może być tematem onieśmielającym dla tych, którzy są nowicjuszami w WordPressie i dla posiadania strony internetowej. Jednak dzięki zgodności i standardom, takim jak lista OWASP Top 10, można łatwo rozpocząć pracę z zabezpieczeniami WordPress.
Ten artykuł wyjaśnia, czym jest lista Top 10 OWASP. Wyjaśnia również, w jaki sposób administratorzy witryn WordPress mogą mieć witrynę WordPress zgodną z Owasp Top 10 .
Czym jest lista 10 najlepszych OWASP?
OWASP Top 10 to lista 10 najbardziej krytycznych zagrożeń bezpieczeństwa aplikacji internetowych. Jako taki nie jest to standard zgodności sam w sobie, ale wiele organizacji używa go jako wytycznej. Organizacja Open Web Application Security Project (OWASP) opublikowała pierwszą listę w 2003 roku. Teraz publikuje zaktualizowaną listę co trzy lata.
Jakie są 10 najczęstszych luk OWASP i zagrożeń bezpieczeństwa?
OWASP opublikowała najnowszą listę OWASP Top 10 w 2017 roku. Poniżej znajduje się lista zagrożeń bezpieczeństwa:
A1: Wtrysk
A2: Zepsute uwierzytelnianie
A3: Narażenie na wrażliwe dane
A4: Jednostki zewnętrzne XML
A5: Uszkodzona kontrola dostępu
A6: Błędna konfiguracja zabezpieczeń
O7: Skrypty między witrynami (XSS)
A8: Niebezpieczna deserializacja
O9: Korzystanie z komponentów ze znanymi lukami
A10: Niewystarczające rejestrowanie i monitorowanie
Stosowanie OWASP Top 10 Security na Twoim WordPressie
W tej sekcji wyjaśniono, co należy zrobić, aby upewnić się, że witryna WordPress nie jest podatna na żadną z 10 luk w zabezpieczeniach OWASP Top 10 i luk w zabezpieczeniach.
Adresowanie A1: Wstrzyknięcie w WordPress
SQL Injection to techniczna luka w zabezpieczeniach aplikacji, która jest zwykle spowodowana brakiem oczyszczenia danych wejściowych użytkownika. Wykorzystując go, złośliwi hakerzy mogą uzyskać dostęp do danych w bazie danych WordPress.
Główny zespół WordPressa zazwyczaj naprawia luki w zabezpieczeniach wstrzyknięć w ciągu kilku dni. To samo dotyczy większości twórców wtyczek WordPress. Dlatego ważne jest, aby zawsze używać dobrze utrzymanych wtyczek opracowanych przez responsywnych programistów.
Jedynym sposobem na upewnienie się, że rdzeń WordPressa, wtyczki i motywy nie są podatne na tego typu luki, jest aktualizowanie całego oprogramowania. Zawsze instaluj wszystkie poprawki bezpieczeństwa wydane przez programistów.
Adresowanie A2: Zepsute uwierzytelnianie w WordPress
Tego typu luki w zabezpieczeniach to także luki techniczne. Podatności te są wynikiem zepsutego projektu aplikacji internetowej, braku planowania. Atakujący mogą wykorzystać uszkodzone problemy z uwierzytelnianiem, aby uzyskać dostęp do poufnych danych.
Tylko programiści mogą rozwiązać te problemy. Dopóki korzystasz z najnowszej wersji rdzenia i wtyczek WordPress, Twoja witryna nie będzie podatna na takie luki. Oczywiście zakładając, że zawsze używasz dobrze utrzymanych wtyczek.
Choć skoro mówimy o uwierzytelnianiu, warto przypomnieć o wdrożeniu uwierzytelniania dwuskładnikowego na swojej stronie WordPress . Jeśli nie masz pewności, której wtyczki użyć, oto lista najlepszych wtyczek WordPress do uwierzytelniania dwuskładnikowego .
Adresowanie A3: Ekspozycja poufnych danych w WordPress
Zgodnie z RODO dane wrażliwe i osobowe to wszelkie dane dotyczące możliwego do zidentyfikowania użytkownika. Może to być nazwa Twoich klientów, ich dane rozliczeniowe i dane posiadacza karty w przypadku witryny e-commerce. W przypadku usług finansowych mogą to być również dane konta bankowego, aw przypadku opieki zdrowotnej może to być ich historia medyczna. Pamiętaj, że nawet jeśli adres IP można sklasyfikować jako dane wrażliwe, nadal możesz prowadzić dziennik aktywności WordPress , który pozwala śledzić wszystko, co dzieje się na Twoich stronach internetowych.
Aby upewnić się, że Twoja witryna WordPress jest zgodna , jeśli przechowujesz poufne dane na swojej witrynie WordPress, upewnij się, że tylko użytkownicy, którzy muszą z nich korzystać, mają do nich dostęp i oczywiście dane powinny być zaszyfrowane. Zawsze używaj użytkowników i ról WordPress, aby lepiej zarządzać uprawnieniami użytkowników i dostępem do wrażliwych danych.
Czy powinieneś przechowywać poufne dane na swojej stronie WordPress?
Nie ma ostatecznej odpowiedzi. Wszystko zależy od konfiguracji i zasobów. Chociaż małe firmy zazwyczaj lepiej przechowują dane u dostawcy zewnętrznego.
Na przykład w przypadku sklepu e-commerce znacznie łatwiej jest wykorzystać systemy płatności takie jak Stripe czy PayPal do obsługi i przechowywania danych posiadacza karty. Mają już na miejscu infrastrukturę. Zapoznaj się z naszym przewodnikiem dotyczącym bezpieczeństwa handlu elektronicznego dla administratorów WordPress, aby uzyskać więcej informacji na temat utrzymywania i prowadzenia bezpiecznej witryny handlu elektronicznego.
To samo dotyczy adresów e-mail i list biuletynów klientów. Najlepiej nie przechowywać takich danych na swojej stronie. Skorzystaj z usługi innej firmy, takiej jak Mailchimp, aby przechowywać dane w bezpieczniejszej i bardziej niezawodnej infrastrukturze, a nie w witrynie WordPress.
Adresowanie A4: zewnętrzne jednostki XML (XXE) w WordPress
Jest to usterka techniczna oprogramowania. Dzieje się tak, gdy aplikacja nieprawidłowo obsługuje pliki i dane XML. Gotowa instalacja WordPressa nie radzi sobie zbytnio ze zdalnymi plikami XML, chociaż możesz używać wtyczek, które to robią.
Aby upewnić się, że Twoja witryna WordPress nie jest podatna na tego typu luki, użyj najnowszej wersji rdzenia WordPress, wtyczki i innego oprogramowania. Zawsze używaj utrzymywanych wtyczek. Rozważ zmianę każdej używanej wtyczki, która nie była aktualizowana od ponad roku.
Adresowanie A5: zepsuta kontrola dostępu w WordPress
Jest to usterka techniczna aplikacji. Ten problem występuje, gdy aplikacja nie wymusza niezbędnych ograniczeń uwierzytelnionych użytkowników. Dlatego, gdy atakujący wykorzystują takie luki, mogą uzyskać dostęp do wrażliwych danych.
Tylko programiści mogą rozwiązać ten rodzaj problemu. Aby upewnić się, że Twoja witryna nie jest zagrożona, aktualizuj swój rdzeń WordPress, wtyczki i inne oprogramowanie, z którego korzystasz w swojej witrynie.
Adresowanie A6: Błędna konfiguracja zabezpieczeń w witrynach WordPress
Błędy w konfiguracji zabezpieczeń są bardzo częste w witrynach WordPress. Niezałatane oprogramowanie i wykorzystywanie ustawień domyślnych to dwa z najczęstszych udanych ataków na witryny WordPress. W ciągu ostatnich kilku lat główny zespół WordPressa zrobił wiele, aby pomóc użytkownikom w rozwiązywaniu takich problemów. Na przykład WordPress nie ma już domyślnej nazwy użytkownika administratora , która była przyczyną wielu hacków WordPress.
Aby upewnić się, że Twoja witryna WordPress nie zawiera żadnych błędnych konfiguracji zabezpieczeń, zmień wszystkie ustawienia domyślne. Dotyczy to WordPressa, wtyczek oraz każdego innego oprogramowania i urządzenia, z którego korzystasz. Na przykład, jeśli wtyczka ma domyślny zestaw poświadczeń, nie chroni hasłem wrażliwych danych lub przechowuje je w domyślnej lokalizacji, skonfiguruj silne uwierzytelnianie i zmień domyślne ścieżki. Dotyczy to każdego innego używanego oprogramowania i urządzenia, w tym domowego routera internetowego, który zazwyczaj ma domyślne dane uwierzytelniające.
Adresowanie A7: Cross-site Scripting (XSS) w WordPress
Cross-site Scripting, znany również jako XSS , to usterka aplikacji technicznej. Jest to najprawdopodobniej jedna z najczęstszych luk technicznych. Luka XSS pojawia się, gdy niezaufane dane nie są sprawdzane i nie są chronione. Gdy złośliwy atakujący wykorzysta lukę w zabezpieczeniach cross-site scripting, może ukraść plik cookie zalogowanego użytkownika i podszywać się pod niego. Mogą również przejąć swoją sesję.
Główny zespół WordPressa zazwyczaj zajmuje się zgłoszonymi problemami XSS w rdzeniu w ciągu zaledwie kilku dni. Aby więc upewnić się, że rdzeń witryny WordPress, wtyczki i motywy nie są podatne na tego typu luki, zawsze używaj najnowszej wersji oprogramowania. Ponadto zawsze używaj utrzymywanych wtyczek.
Adresowanie A8: Niebezpieczna deserializacja w WordPress
Niebezpieczna deserializacja to usterka aplikacji technicznej. Ta luka może wystąpić, gdy aplikacja korzysta z serializowanych obiektów z niezaufanych źródeł bez przeprowadzania kontroli integralności.
Główny zespół WordPressa zazwyczaj zajmuje się tego typu problemem w ciągu kilku dni. Aby więc upewnić się, że rdzeń witryny WordPress, wtyczki i motywy nie są podatne na tego typu luki, zawsze używaj najnowszej wersji oprogramowania.
Adresowanie A9: Używanie komponentów ze znanymi lukami w witrynie WordPress
Niekorzystanie z oprogramowania i aplikacji internetowych, które mają znane luki w zabezpieczeniach, może brzmieć jak coś oczywistego. Chociaż niestety tak nie jest. Fundacja WordPressa zrobiła w tym zakresie bardzo dużo. Mają automatyczne aktualizacje rdzenia WordPress. Zespół ds. przeglądu wtyczek WordPress oznacza wtyczki w repozytorium, które nie były aktualizowane od jakiegoś czasu, jako niebezpieczne.
Jednak firmom nie zawsze jest łatwo korzystać z najnowszej i najbezpieczniejszej wersji oprogramowania. Wiele z nich korzysta ze starszego oprogramowania i aplikacji internetowych, które nie są zgodne z najnowszą wersją WordPressa lub innymi wtyczkami. Muszą więc używać starej i wrażliwej wersji WordPressa i wtyczek. W takich przypadkach, jeśli to możliwe, skontaktuj się z programistami, aby zaktualizować kod.
Aby upewnić się, że Twoja witryna jest zgodna, jest to oczywiste: zawsze używaj najnowszej wersji rdzenia i wtyczek WordPress. Ponadto ważne jest, aby dezaktywować i odinstalować wszelkie nieużywane wtyczki, skrypty i motywy ze swojej witryny. Na przykład wielu administratorów witryn nie usuwa domyślnych motywów i wtyczek WordPress. Jeśli ich nie używasz, usuń je.
Dotyczy to również nowego oprogramowania: szukając nowej wtyczki, zawsze ją badaj. Przeczytaj nasz przewodnik, jak wybrać wtyczkę WordPress, aby uzyskać więcej informacji na temat tego, co powinieneś zrobić, gdy szukasz nowej wtyczki WordPress.
Adresowanie A10: Niewystarczające rejestrowanie i monitorowanie w WordPress
Rejestrowanie i monitorowanie ma kluczowe znaczenie dla bezpieczeństwa Twojej witryny WordPress i sieci wielostanowiskowej. Dzienniki aktywności WordPressa pomagają również lepiej zarządzać witryną, identyfikować podejrzane zachowanie, zanim stanie się ono problemem, zapewnić produktywność użytkowników i wiele więcej. Dowiedz się więcej o korzyściach z prowadzenia dziennika aktywności WordPressa (dziennika audytu) .
Aby upewnić się, że Twoja witryna WordPress jest zgodna , zainstaluj dziennik audytu bezpieczeństwa WP, najbardziej wszechstronną wtyczkę dziennika aktywności WordPress . Będzie rejestrował wszystko, co dzieje się w Twojej witrynie WordPress i sieci wielostanowiskowej w dzienniku aktywności. Więcej szczegółowych informacji o tym, jak rozwiązać tę część listy OWASP Top 10, można znaleźć w sekcji Rozwiązywanie problemów z niewystarczającym rejestrowaniem za pomocą wtyczki WordPress Activity log .
Budowanie witryny WordPress zgodnej z OWASP za pomocą OWASP Top 10
Bezpieczeństwo WordPressa może być złożone, zwłaszcza w przypadku dużych konfiguracji. Chociaż rozpoczęcie pracy i omówienie podstaw nie jest takie trudne, jak podkreślono w tym artykule. Możesz mieć witrynę WordPress zgodną z OWASP Top 10, dbając o następujące podstawy:
- Korzystaj z najnowszej wersji rdzenia WordPressa, wtyczek i motywów,
- Upewnij się, że zmieniłeś wszystkie ustawienia domyślne w rdzeniu WordPress i wtyczkach,
- Egzekwuj zasady silnych haseł,
- Włącz 2FA za pomocą wtyczki WordPress do uwierzytelniania dwuskładnikowego,
- Używaj odpowiednio użytkowników i ról WordPress,
- Rejestruj wszystko, co dzieje się w Twojej witrynie, w dzienniku aktywności WordPressa .
Zwiększ bezpieczeństwo swojej witryny WordPress, korzystając z tej listy 10 najlepszych OWASP jako przewodnika. Więcej szczegółowych informacji można znaleźć na oficjalnej stronie OWASP Top 10.