Usando o OWASP Top 10 para melhorar a segurança do WordPress
Publicados: 2018-08-23A segurança do WordPress pode ser um assunto intimidador para quem é novo no WordPress e para quem tem um site. No entanto, com conformidade e padrões como a lista OWASP Top 10, as empresas podem facilmente começar a usar a segurança do WordPress.
Este artigo explica o que é a lista OWASP Top 10. Ele também explica como os administradores do site WordPress podem ter um site WordPress compatível com Owasp Top 10 .
O que é a lista dos 10 melhores da OWASP?
O OWASP Top 10 é uma lista dos 10 riscos de segurança de aplicativos Web mais críticos. Como tal, não é um padrão de conformidade em si, mas muitas organizações o usam como diretriz. A organização Open Web Application Security Project (OWASP) publicou a primeira lista em 2003. Agora eles lançam uma lista atualizada a cada três anos.
Quais são as 10 principais vulnerabilidades e riscos de segurança do OWASP?
O OWASP publicou a lista OWASP Top 10 mais recente em 2017. A seguir está a lista de riscos de segurança:
A1: Injeção
A2: Autenticação quebrada
A3: Exposição a Dados Sensíveis
A4: Entidades Externas XML
A5: Controle de acesso quebrado
A6: Configuração incorreta de segurança
A7: Script entre sites (XSS)
A8: desserialização insegura
A9: Usando componentes com vulnerabilidades conhecidas
A10: Registro e monitoramento insuficientes
Aplicando a segurança OWASP Top 10 no seu WordPress
Esta seção explica o que você precisa fazer para garantir que seu site WordPress não seja vulnerável a nenhuma das 10 principais vulnerabilidades e falhas de segurança do OWASP.
Endereçando A1: Injeção no WordPress
SQL Injection é uma vulnerabilidade técnica do aplicativo que normalmente é causada pela falta de sanitização da entrada do usuário. Ao explorá-lo, hackers maliciosos podem obter acesso a dados no banco de dados do WordPress.
A equipe principal do WordPress normalmente corrige vulnerabilidades de injeção em poucos dias. O mesmo se aplica à maioria dos desenvolvedores de plugins do WordPress. Por isso, é importante sempre usar plugins bem mantidos que são desenvolvidos por desenvolvedores responsivos.
A única maneira de garantir que seu núcleo, plugins e temas do WordPress não sejam vulneráveis a esse tipo de vulnerabilidade é mantendo todo o seu software atualizado. Sempre instale todos os patches de segurança lançados pelos desenvolvedores.
Endereçando A2: Autenticação quebrada no WordPress
Esses tipos de falhas de segurança também são vulnerabilidades técnicas. Essas vulnerabilidades são resultado de um design quebrado da aplicação web, falta de planejamento. Os invasores podem explorar problemas de autenticação quebrados para acessar dados confidenciais.
Somente desenvolvedores podem resolver esses problemas. Contanto que você use a versão mais recente do núcleo e dos plugins do WordPress, seu site não estará propenso a essas vulnerabilidades. Claro, supondo que você sempre use plugins bem mantidos.
No entanto, já que estamos falando de autenticação, vale a pena lembrá-lo de implementar a autenticação de dois fatores em seu site WordPress . Se você não tem certeza de qual plugin usar, aqui está uma lista de alguns dos melhores plugins WordPress de autenticação de dois fatores .
Abordando A3: Exposição de Dados Sensíveis no WordPress
De acordo com o GDPR, dados confidenciais e pessoais são quaisquer dados relacionados a um usuário identificável. Pode ser o nome de seus clientes, seus detalhes de cobrança e dados do titular do cartão no caso de um site de comércio eletrônico. No caso de serviços financeiros, também pode ser os dados da conta bancária ou, no caso da saúde, pode ser o histórico médico. Observe que, embora um endereço IP possa ser classificado como dados confidenciais, você ainda pode manter um log de atividades do WordPress , que permite acompanhar tudo o que está acontecendo em seus sites.
Para garantir que seu site WordPress seja compatível , se você armazenar dados confidenciais em seu site WordPress, certifique-se de que apenas os usuários que precisam usar os dados tenham acesso a eles e, é claro, os dados devem ser criptografados. Sempre use os usuários e funções do WordPress para gerenciar melhor os privilégios dos usuários e o acesso a dados confidenciais.
Você deve armazenar dados confidenciais em seu site WordPress?
Não há uma resposta definitiva. Tudo depende da configuração e dos recursos. Embora as pequenas empresas normalmente seriam melhores armazenando dados em um provedor de terceiros.
Por exemplo, no caso de uma loja de comércio eletrônico, é muito mais fácil usar sistemas de pagamento como Stripe ou PayPal para manipular e armazenar os dados do titular do cartão. Eles já têm a infraestrutura instalada. Consulte nosso guia sobre segurança de comércio eletrônico para administradores do WordPress para obter mais informações sobre como manter e administrar um site de comércio eletrônico seguro.
O mesmo se aplica aos endereços de e-mail do cliente e às listas de boletins informativos. Idealmente, você não deve armazenar esses dados em seu site. Use um serviço de terceiros, como o Mailchimp, para armazenar os dados em uma infraestrutura mais segura e confiável, em vez de no seu site WordPress.
Endereçando A4: XML External Entities (XXE) no WordPress
Esta é uma vulnerabilidade técnica de software. Isso acontece quando o aplicativo manipula incorretamente arquivos e dados XML. Uma instalação pronta para uso do WordPress não lida muito com arquivos XML remotos, embora você possa usar plugins que o façam.
Para garantir que seu site WordPress não seja vulnerável a esse tipo de vulnerabilidade, use a versão mais recente do núcleo do WordPress, plugin e outros softwares. Sempre use plugins que são mantidos. Considere alterar qualquer plug-in que você use que não tenha sido atualizado em mais de um ano.
Endereçando A5: controle de acesso quebrado no WordPress
Esta é uma vulnerabilidade técnica do aplicativo. Esse problema ocorre quando o aplicativo não impõe as restrições necessárias aos usuários autenticados. Portanto, quando os invasores exploram essas vulnerabilidades, eles podem acessar dados confidenciais.
Somente desenvolvedores podem corrigir esse tipo de problema. Para garantir que seu site não seja vulnerável, mantenha seu núcleo do WordPress, plugins e outros softwares que você usa em seu site atualizados.
Endereçando A6: Configuração incorreta de segurança em sites WordPress
As configurações incorretas de segurança são muito comuns em sites WordPress. Software sem patches e exploração de padrões são dois dos ataques bem-sucedidos mais comuns em sites WordPress. Nos últimos anos, a equipe principal do WordPress fez muito para ajudar os usuários a resolver esses problemas. Por exemplo, o WordPress não tem mais um nome de usuário de administrador padrão, que foi o culpado de muitos hacks do WordPress.
Para garantir que seu site WordPress não tenha configurações incorretas de segurança, altere todos os padrões. Isso se aplica ao WordPress, plugins e qualquer outro software e dispositivo que você use. Por exemplo, se um plug-in tiver um conjunto padrão de credenciais, não proteger dados confidenciais com senha ou armazená-los em um local padrão, configure uma autenticação forte e altere os caminhos padrão. Isso se aplica a qualquer outro software e dispositivo que você use, incluindo seu roteador doméstico de Internet, que normalmente possui credenciais padrão.
Endereçando A7: Cross-site Scripting (XSS) no WordPress
Cross-site Scripting, também conhecido como XSS , é uma vulnerabilidade técnica do aplicativo. É provavelmente uma das vulnerabilidades técnicas mais comuns. Uma vulnerabilidade XSS ocorre quando dados não confiáveis não são validados e escapados. Quando um invasor mal-intencionado explora uma vulnerabilidade de script entre sites, ele pode roubar o cookie dos usuários conectados e se passar por eles. Eles também podem sequestrar sua sessão.
A equipe principal do WordPress normalmente aborda os problemas de XSS relatados no núcleo em apenas alguns dias. Portanto, para garantir que o núcleo do seu site WordPress, plugins e temas não sejam vulneráveis a esse tipo de vulnerabilidade, sempre use a versão mais recente do software. Além disso, sempre use plugins mantidos.
Abordando A8: desserialização insegura no WordPress
A desserialização insegura é uma vulnerabilidade de aplicativo técnico. Essa vulnerabilidade pode ocorrer quando o aplicativo usa objetos serializados de fontes não confiáveis sem fazer verificações de integridade.
A equipe principal do WordPress normalmente resolve esse tipo de problema em alguns dias. Portanto, para garantir que o núcleo do seu site WordPress, plugins e temas não sejam vulneráveis a esse tipo de vulnerabilidade, sempre use a versão mais recente do software.
Abordando A9: Usando Componentes com Vulnerabilidades Conhecidas em um Site WordPress
Não usar softwares e aplicativos da Web com vulnerabilidades conhecidas pode parecer algo óbvio. Embora infelizmente não seja. A fundação WordPress tem feito muito nesse sentido. Eles têm atualizações automáticas para o núcleo do WordPress. A equipe de revisão de plug-ins do WordPress marca os plug-ins no repositório que não são atualizados há algum tempo como inseguros.
No entanto, nem sempre é fácil para as empresas usar a versão mais recente e segura de um software. Muitos usam software legado e aplicativos da web que não são compatíveis com a versão mais recente do WordPress ou outros plugins. Portanto, eles precisam usar a versão antiga e vulnerável do WordPress e plugins. Nesses casos, se possível, entre em contato com os desenvolvedores para atualizar o código.
Para garantir que seu site esteja em conformidade, não é preciso dizer: sempre use a versão mais recente do núcleo e dos plugins do WordPress. Além disso, é importante desativar e desinstalar quaisquer plugins, scripts e temas não utilizados do seu site. Por exemplo, muitos administradores de sites não excluem os temas e plugins padrão do WordPress. Se você não os estiver usando, exclua-os.
Isso também se aplica a novos softwares: ao procurar um novo plugin, pesquise-o sempre. Leia nosso guia sobre como escolher um plug-in do WordPress para obter mais informações sobre o que você deve fazer ao procurar um novo plug-in do WordPress.
Abordando A10: Registro e monitoramento insuficientes no WordPress
O registro e o monitoramento são vitais para a segurança do seu site WordPress e da rede multisite. Os logs de atividades do WordPress também ajudam você a gerenciar melhor seu site, identificar comportamentos suspeitos antes que se tornem um problema, garantir a produtividade do usuário e muito mais. Saiba mais sobre os benefícios de manter um log de atividades do WordPress (log de auditoria) .
Para garantir que seu site WordPress seja compatível , instale o log de auditoria de segurança WP, o plug-in de log de atividades do WordPress mais abrangente . Ele manterá um registro de tudo o que acontece em seu site WordPress e rede multisite em um log de atividades. Consulte endereçamento de log insuficiente com um plug-in de log de atividades do WordPress para obter informações mais detalhadas sobre como abordar essa parte da lista OWASP Top 10.
Construindo um site WordPress compatível com OWASP com o OWASP Top 10
A segurança do WordPress pode ser complexa, especialmente ao lidar com grandes configurações. Embora começar e cobrir o básico não seja tão difícil, como este artigo destaca. Você pode ter um site WordPress compatível com OWASP Top 10, cuidando destes conceitos básicos:
- Use a versão mais recente do núcleo do WordPress, plugins e temas,
- Certifique-se de alterar todos os padrões em seu núcleo e plugins do WordPress,
- Aplique políticas de senha fortes,
- Habilite 2FA com um plugin WordPress de autenticação de dois fatores,
- Use usuários e funções do WordPress adequadamente,
- Mantenha um registro de tudo o que acontece em seu site em um log de atividades do WordPress .
Aumente a segurança do seu site WordPress usando esta lista OWASP Top 10 como guia. Consulte a página oficial do OWASP Top 10 para obter informações mais detalhadas.