• Pagina principala
  • Articole
  • Ghid
  • Ce factori de securitate ar trebui să luați în considerare atunci când vă alegeți furnizorul dvs. de găzduire WodPress?

Ce factori de securitate ar trebui să luați în considerare atunci când vă alegeți furnizorul dvs. de găzduire WodPress?

Publicat: 2021-12-03

Datorită popularității în creștere a WordPress la nivel general, există tot mai multe incidente de securitate care afectează diferite companii de găzduire a site-urilor WordPress.

GoDaddy este cel mai recent exemplu, deoarece au avut recent o breșă de securitate în mediul său de găzduire WordPress. Săptămâna trecută, a anunțat că a existat acces neautorizat de terți la mediul său de găzduire WordPress gestionat, afectând datele a până la 1,2 milioane de clienți activi și inactivi .

Încălcarea securității WordPress pe GoDaddy

Chief Information Security Officer (CISO), Demetrius Comes, a anunțat pe 22 noiembrie, într-un dosar la Securities and Exchange Commission (SEC), că pe 17 noiembrie au descoperit acces neautorizat la serverele GoDaddy Managed WordPress. Ei au stabilit că incidentul a început pe 6 septembrie 2021 și au expus datele a 1,2 milioane de clienți activi și inactivi ai WordPress gestionat. Ei identificaseră activitate suspectă în mediul de găzduire WordPress gestionat și au început imediat o investigație cu ajutorul unei firme de criminalistică IT și au contactat autoritățile legale. O parolă compromisă a permis atacatorilor acces la sistemele lor.

Anunțul indica că:

  • Până la 1,2 milioane de clienți WordPress gestionați activi și inactivi au avut adresa de e-mail și numărul de client expuse. Expunerea adreselor de e-mail prezintă riscul unor atacuri de tip phishing.
  • Parola de administrator WordPress inițială care a fost setată în momentul furnizării a fost expusă. Dacă acele acreditări erau încă utilizate, resetau acele parole.
  • Pentru clienții activi, au fost expuse nume de utilizator și parole pentru sFTP și baze de date. Ei resetau ambele parole.
  • Pentru un subset de clienți activi, cheia privată SSL a fost expusă. Sunt în proces de emitere și instalare de noi certificate pentru acești clienți.

În cele din urmă, Comes a adăugat: „Ne pare sincer rău pentru acest incident și îngrijorarea pe care o provoacă clienților noștri. Noi, conducerea și angajații GoDaddy, ne luăm responsabilitatea de a proteja datele clienților noștri foarte în serios și nu vrem să-i dezamăgim niciodată. Vom învăța din acest incident și luăm deja măsuri pentru a ne consolida sistemul de aprovizionare cu straturi suplimentare de protecție.”

După cum vă puteți imagina, există o mulțime de mesaje pe Internet care îl critică pe GoDaddy, nu numai pentru că i-a luat 5 zile pentru a raporta încălcarea, ci și pentru că a avut nevoie de mai mult de 2 luni pentru a detecta atacul, deoarece probabil a avut loc pe 6 septembrie. Veți găsi, de asemenea, informații suplimentare despre acțiunile pe care ar trebui să le luați atât din punct de vedere tehnic, cât și din punct de vedere legal, dacă sunteți un client afectat. Nici nu vreau să mă gândesc la ce mizerie este asta pentru GoDaddy și toți acei clienți care ar fi putut fi afectați!

Importanța securității atunci când alegeți o companie de găzduire

Când vorbim despre cerințele cheie pentru alegerea găzduirii WordPress, luăm în considerare un întreg set de factori: compatibilitatea cu diferite versiuni de PHP, ce caracteristici și instrumente le oferă pentru a gestiona cu ușurință instalarea WordPress, viteza rapidă de încărcare a paginilor noastre, suport eficient serviciu și, desigur, un cost rezonabil.

Dar să nu ne păcălim: de multe ori ajungem să relegăm aspectul de securitate în fundul priorităților noastre. De ce? În primul rând, pentru că securitatea furnizorului nostru de găzduire este ceva pe care îl considerăm de la sine înțeles. Dar acest lucru este absurd, pentru că dacă există un lucru pe care îl știm sigur, este că niciun sistem informatic nu este 100% sigur. În al doilea rând, securitatea este dificil de evaluat rapid și ușor. Doar atunci când apare o breșă de securitate, devenim conștienți de posibile vulnerabilități.

Securitatea site-ului tău web este un pic ca sănătatea ta. Dacă ești bine, nu te gândești prea mult la asta. Dar în ziua în care nu ești bine, lumea se prăbușește peste tine. Adesea, îmbolnăvirea este inevitabil, dar prevenirea și depistarea precoce vă pot scuti de multă durere. La fel este și cu securitatea. Dacă site-ul dvs. este spart, nu numai că afacerea dvs. poate distruge, dar puteți ajunge și într-o problemă legală pentru că nu ați luat măsurile de securitate corespunzătoare.

Dacă vrem să încercăm să prevenim o încălcare a securității, la ce ar trebui să ne așteptăm de la furnizorul nostru de găzduire?

Securitate software

Ceva care ne plictisește pe toți este nevoia de a actualiza software-ul pe care îl folosim pe computerele noastre. Dar este destul de important să facem, deoarece majoritatea actualizărilor sunt tocmai pentru a le proteja de vulnerabilitățile cunoscute!

Din acest motiv, atunci când găzduiți un site web WordPress cu o companie de găzduire, asigurați-vă că îndeplinește cerințele de compatibilitate și cele mai recente actualizări de software recomandate de WordPress. Aruncă o privire pe site-ul oficial WordPress pentru a le cunoaște. La momentul scrierii acestei postări, cerințele recomandate erau:

  • PHP 7.4 sau mai nou.
  • MySQL 5.6 sau mai nou sau MariaDB 10.1 sau mai nou.
  • HTTPS

Recomandarea mea: nici măcar nu luați în considerare nicio companie de hosting care nu îndeplinește aceste cerințe.

Disponibilitate și asistență SSL

Hypertext Transfer Protocol ( H yper T ext T ransfer Protocol sau HTTP ) este un protocol utilizat în sistemele de rețea, conceput cu scopul de a defini și standardiza sintaxa și semantica tranzacțiilor care au loc între diferitele computere care alcătuiesc o rețea. . Cu alte cuvinte, descrie modul în care un server web comunică cu browsere web precum Google Chrome sau Mozilla Firefox.

HTTPS se referă la utilizarea HTTP peste un Secure Sockets Layer (SSL) sau o conexiune cu Transport Layer Security (TLS) și este responsabil de criptarea tuturor mesajelor HTTP, astfel încât transmiterea lor să fie sigură. Când un utilizator trimite informații către un server web, SSL oferă în esență un întreg set de straturi de protecție:

  • criptare : dacă un atacator reușește să intercepteze acea informație, aceasta va fi inutilă, deoarece nu va ști să o decripteze (dar tu vei ști).
  • integritatea datelor : atacatorii nu vor putea „modifica” conținutul mesajului trimis.
  • autentificare : sunt evitate atacurile de tip phishing sau man-in-the-middle, în care un utilizator oferă informații unor terțe părți atunci când cred că vorbește cu altcineva.

În acest fel, de exemplu, vă asigurați că datele achizițiilor efectuate pe site-ul dvs. nu pot fi citite și/sau modificate de către infractorii.

Dacă site-ul dvs. folosește SSL, majoritatea browserelor vor afișa adresa URL web începând cu https:// și o pictogramă de lacăt undeva lângă sau în bara de adrese, oferind vizitatorilor un indiciu vizual despre siguranța site-ului actual.

Imagine cu adresa URL a lui Nelio afișată în browser
Imagine cu adresa URL a lui Nelio afișată în browser.

Când căutați un furnizor de servicii de găzduire, asigurați-vă că acesta acceptă SSL și verificați cât de ușor este să îl configurați.

Backup și restaurare

Dacă suferiți vreodată un atac de malware asupra WordPress, este foarte posibil să aveți nevoie să restaurați o copie de rezervă veche care nu conține cod infectat. Din acest motiv, asigurați-vă că furnizorul dvs. de găzduire efectuează copii de siguranță regulate și automate ale site-ului dvs. WordPress .

Asigurați-vă că știți:

  • Frecvența backup-urilor,
  • La câte copii de siguranță ale site-ului dvs. aveți acces,
  • Indiferent dacă le puteți restaura cu ușurință pe toate pe cont propriu sau trebuie să solicitați o restaurare și să plătiți pentru serviciu,
  • Indiferent dacă puteți efectua restaurări parțiale de fișiere, foldere, conturi de e-mail sau baze de date,
  • Dacă puteți accesa istoricul restaurărilor.

Protecție împotriva atacurilor DDoS

Un atac Distributed Denial of Service (DDoS) este un tip de atac care încearcă să distrugă serverul web prin declanșarea „o tone” de solicitări până când serverul se supraîncărcă și se blochează.

Ilustrație de atac DDoS
Ilustrație de atac DDoS (sursa: Anti DDoS)

Pentru a le preveni, unii furnizori de găzduire, cum ar fi SiteGround și Bluehost, lucrează cu rețele de livrare de conținut (CDN) precum Cloudflare. CDN-urile operează rețele globale de servere care facilitează furnizarea mai rapidă a datelor și absorb atacurile care consumă mult resurse, cum ar fi DDoS. Acest lucru ajută companiile de găzduire să reducă sarcina de pe propriile servere fără a fi nevoie să investească masiv în infrastructură suplimentară. Este foarte recomandat să verificați dacă compania dvs. de găzduire funcționează cu CDN-uri.

De asemenea, asigurați-vă că au protocoale pregătite pentru acest tip de atac, cum ar fi:

  • Hardware firewall care filtrează traficul de inundații,
  • Software firewall bazat pe iptables cu funcții complexe și monitorizare a traficului,
  • Ele limitează numărul de conexiuni care pot fi stabilite de la distanță,
  • Ei verifică numărul mare de încercări eșuate de conectare de la gazde și pentru a efectua filtrarea.

Scanare malware

Malware, așa cum am văzut în cazul GoDaddy, este un software rău intenționat care poate afecta serverele. Acestea pot provoca o infecție minoră, cum ar fi furtul anumitor date sau pot șterge o întreagă bază de date.

Este important să știți cum controlează și verifică furnizorul dvs. de găzduire acest tip de atacuri. Cât de des efectuează scanări? Au un sistem de izolare a conturilor pentru ca, in caz de infectie, sa fie cuprins?

Disponibilitate și Uptime

Cei trei piloni ai securității informațiilor sunt cunoscuți ca triada CIA (Confidențialitate, Integritate și Disponibilitate). Disponibilitatea și timpul de funcționare al site-ului dvs. (procentul de timp în care un site este activ și disponibil) sunt esențiale pe orice site.

Companiile de găzduire au multe modalități de a asigura această disponibilitate. De exemplu, unii folosesc tehnologia RAID, redundanțe hardware, redundanțe de rețea și chiar locații alternative de oglindă. Asigurați-vă că furnizorul dvs. de găzduire vă garantează disponibilitatea minimă în acordul de nivel de serviciu (SLA) al termenilor și condițiilor acestora. De exemplu, în cazul Siteground, acestea garantează:

5.2. Garantăm funcționarea rețelei 99,9% pe o bază anuală. Dacă scadem sub timpul de funcționare garantat al rețelei, vă vom compensa după cum urmează ;

  • 99,9% – 99,00% timp de funcționare: 1 lună de găzduire gratuită
  • O lună suplimentară de găzduire gratuită pentru fiecare 1% din timpul de funcționare pierdut sub 99,00% .

SLA este un alt indicator al investiției în infrastructură făcută de furnizorul dvs. de găzduire și al angajamentului pe care și-l asumă pentru a garanta serviciul.

Concluzie

Securitatea, așa cum am menționat deja, este ca sănătatea. Deși nu poți garanta niciodată controlul absolut asupra acesteia, cu cât îți asumi mai puține riscuri, cu atât mai bine. Protejarea site-ului dvs. și îngrijirea securității acestuia poate preveni consecințe nedorite majore. Și această protecție începe cu selectarea unui furnizor de găzduire bun pentru site-ul dvs. WordPress.

Imagine prezentată a lui Liam Tucker pe Unsplash.