Lista CISA a practicilor proaste care dăunează securității WordPress

Publicat: 2022-08-24

CISA, care înseamnă Cybersecurity & Infrastructure Security Agency, este o agenție federală din SUA care funcționează în subordinea Departamentului pentru Securitate Internă. Înființată în 2018, înlocuiește NPPD – Direcția Națională de Protecție și Programe și are sarcina de a îmbunătăți securitatea cibernetică împotriva atacurilor provenite atât de la hackeri privați, cât și de la stat.

CISA desfășoară multă muncă pentru a ajuta la asigurarea siguranței și securității infrastructurilor și sistemelor critice. În acest scop, publică mai multe ghiduri și liste pentru a ajuta entitățile guvernamentale și întreprinderile private să mențină bune practici de securitate și să rămână în siguranță online. Puteți aplica la fel de ușor ghidurile CISA pe site-ul dvs. WordPress personal sau de afaceri pentru securitate care este în conformitate cu standardele CISA.

O astfel de resursă pe care CISA o pune la dispoziția publicului este catalogul său de practici rele. Deși acest catalog este o lucrare în curs de desfășurare – și se va datora întotdeauna naturii dinamice și evolutive a amenințărilor – el ne oferă o perspectivă neprețuită asupra a ceea ce CISA consideră practici cu adevărat proaste.

Securitate CISA și WordPress

Practicile proaste ale CISA sunt adesea predominante în mediile WordPress, ceea ce face lista și mai relevantă pentru administratorii WordPress și proprietarii de site-uri web. Din fericire, eliminarea acestor practici proaste este ușoară și poate fi făcută în cel mai scurt timp.

Dacă doriți să vă duceți securitatea la următorul nivel, consultați ghidul de securitate WordPress pentru o listă completă și detaliată a tot ceea ce puteți face pentru a vă asigura că site-ul dvs. este sigur.
De asemenea, agenția a deschis o pagină GitHub unde administratorii și alți profesioniști IT își pot da părerea despre practicile proaste pentru includerea în catalog.

Riscul 1: Utilizarea de software neacceptat

În mod invariabil, software-ul vine cu erori – care este unul dintre motivele pentru care dezvoltatorii lansează actualizări. Actualizările nu numai că abordează erorile și găurile de securitate, dar adaugă și noi funcții și îmbunătățiri. Instalarea acestor actualizări cât mai curând posibil este foarte importantă pentru a vă menține infrastructura în siguranță.

Software-ul neacceptat, cum ar fi versiunile vechi, software-ul care a ajuns la sfârșitul duratei de viață și pluginurile anulate, nu primesc actualizări, ceea ce le face deosebit de periculoase, deoarece pot introduce vulnerabilități cunoscute în mediul dumneavoastră.
Atacatorii pot exploata aceste vulnerabilități pentru a obține acces neautorizat la sistemul dumneavoastră. La rândul său, acest lucru le permite să vă fure datele, să vă distrugă site-ul web și să facă o serie de alte activități rău intenționate.

Soluţie

Instalarea actualizărilor cât mai curând posibil poate minimiza semnificativ riscul asociat cu găurile și erorile de securitate. De asemenea, doriți să vă asigurați că furnizorii și dezvoltatorii pe care îi alegeți sunt receptivi și emit actualizări frecvent (și nu o dată pe an).

Când alegeți pluginuri, uitați-vă la istoricul versiunilor pentru a vedea cât de des sunt lansate actualizările. Actualizările zilnice nu sunt un semn bun; totuși, actualizările anuale pot indica, de asemenea, că ceva nu este în regulă. De asemenea, poate doriți să verificați comentariile utilizatorilor pentru a vedea cât de receptiv este dezvoltatorul la întrebările utilizatorilor.

Riscul 2: Parole greșite

Parolele greșite includ parole implicite, parole reciclate, parole care au fost scurse anterior și parole slabe. Parolele greșite pot fi foarte ușor de spart, oferind atacatorilor o rută ușoară către sistemele dvs. Partajarea parolei este o altă practică proastă care apare adesea în mediile WordPress și nu numai. Parolele partajate cresc foarte mult riscul de scurgere a parolelor și fac dificilă urmărirea problemelor și tragerea la răspundere a echipei. Wpassword Artwork

Soluţie

O politică puternică de parole WordPress vă ajută în mare măsură să eliminați parolele proaste. WPassword este un plugin WordPress care oferă administratorilor control granular asupra modului în care utilizatorii își configurează politicile de parole, asigurându-se că sunt folosite parole sigure și eficiente.

Riscul 3: Autentificare cu un singur factor

Autentificarea cu un singur factor este al treilea și ultimul risc care ajunge în catalogul CISA de practici proaste. În setările de autentificare cu un singur factor, utilizatorii se pot conecta doar cu numele de utilizator și parola. În mediile de autentificare cu doi factori (2FA) sau MFA, utilizatorii trebuie să se autentifice printr-o a doua (sau mai multe) metodă.

Autentificarea cu un singur factor poate fi deosebit de problematică dacă parolele sunt scurse și, în timp ce o politică bună de parole contribuie în mare măsură la minimizarea riscului, un factor de autentificare secundar crește foarte mult securitatea generală a site-ului dvs. WordPress.

2FA devine rapid standardul de aur pentru autentificare. Deși premisa sa este destul de simplă, poate opri cele mai comune atacuri în urma lor. Acest lucru îl face favorit printre giganții din industrie, pasionații și toată lumea între ele.

Soluţie

WordPress nu oferă 2FA imediat din cutie. Cu toate acestea, implementarea 2FA pe site-ul dvs. WordPress este ușoară, datorită WP 2FA. Acest plugin WordPress 2FA vine cu mai multe opțiuni decât poți să treci cu un băț, asigurându-se că toți utilizatorii tăi pot profita de 2FA pentru un WordPress mai sigur.

Un plan de acțiune de securitate WordPress pentru a pune în pat practicile proaste

Sfaturi de securitate Practicile proaste sunt ca obiceiurile proaste. Acestea trebuie ținute sub control în timp pentru a se asigura că nimic nu cade prin crăpături. Acesta este motivul pentru care securitatea WordPress este un proces iterativ; una la care trebuie să ne ocupăm din când în când pentru a ne asigura că respectăm cele mai bune practici în orice moment.

Deși, fără îndoială, există și alte practici proaste care nu au intrat pe lista CISA, ceea ce oferă acestea este un bun punct de plecare. A recapitula,

  1. Instalați actualizările de îndată ce acestea devin disponibile. Dacă sunteți îngrijorat de actualizările care vă distrug site-ul, instalați un mediu de testare pentru a testa actualizările înainte de a le lansa în mediul live.
  2. Implementați o politică puternică de parole WordPress folosind WPassword pentru a elimina parolele slabe din mediul dvs. Încurajați utilizatorii să folosească un manager de parole pentru a atenua apelurile de asistență pentru parolele uitate care sunt prea complexe.
  3. Activați și utilizați politici pentru a solicita autentificarea cu doi factori WordPress pentru toți utilizatorii. Utilizați WP 2FA pentru a profita de numeroasele sale caracteristici, care includ integrarea Authy, perioadele de grație și etichetarea albă, printre multe altele.

Deși lista CISA reprezintă un bun punct de plecare, securizarea site-ului dvs. WordPress necesită o abordare mai cuprinzătoare. De la asigurarea parolelor puternice până la consolidarea WordPress, există multe pe care le puteți face singur, urmând ghidurile WP White Security pentru o securitate excelentă pentru WordPress.

PS Vă recomandăm să configurați un mediu de testare WordPress dacă aveți experiență limitată în securizarea site-urilor web WordPress.