Список плохих практик CISA, которые наносят ущерб безопасности WordPress

CISA, расшифровывающееся как Агентство по кибербезопасности и безопасности инфраструктуры, является федеральным агентством США, действующим при Министерстве внутренней безопасности. Созданный в 2018 году, он заменяет NPPD — Управление национальной защиты и программ, и ему поручено улучшать кибербезопасность от атак, исходящих как от частных, так и от государственных хакеров.

CISA проводит большую работу по обеспечению безопасности критически важных инфраструктур и систем. С этой целью он публикует несколько руководств и списков, чтобы помочь государственным организациям и частным предприятиям придерживаться передовых методов безопасности и оставаться в безопасности в Интернете. Вы можете так же легко применить руководства CISA к своему личному или корпоративному веб-сайту WordPress для обеспечения безопасности, соответствующей стандартам CISA.

Одним из таких ресурсов, который CISA делает доступным для общественности, является его каталог плохих практик. Хотя этот каталог находится в стадии разработки — и всегда будет из-за динамичного и развивающегося характера угроз — он дает нам бесценную информацию о том, что CISA считает действительно плохой практикой.

Безопасность CISA и WordPress

Плохая практика CISA часто распространена в средах WordPress, что делает список еще более актуальным для администраторов WordPress и владельцев веб-сайтов. К счастью, избавиться от этих плохих практик легко и можно сделать в кратчайшие сроки.

Если вы хотите поднять свою безопасность на новый уровень, обратитесь к руководству по безопасности WordPress, чтобы получить полный и подробный список всего, что вы можете сделать, чтобы обеспечить безопасность вашего веб-сайта.
Агентство также открыло страницу GitHub, где администраторы и другие ИТ-специалисты могут высказать свое мнение о плохих практиках для включения в каталог.

Риск 1: использование неподдерживаемого программного обеспечения

Программное обеспечение неизменно содержит ошибки — это одна из причин, по которой разработчики выпускают обновления. Обновления не только устраняют ошибки и дыры в безопасности, но также добавляют новые функции и улучшения. Установка этих обновлений как можно скорее очень важна для обеспечения безопасности вашей инфраструктуры.

Неподдерживаемое программное обеспечение, такое как старые версии, программное обеспечение с истекшим сроком службы и обнуленные подключаемые модули, не получают обновлений, что делает их особенно опасными, поскольку они могут создавать известные уязвимости в вашей среде.
Злоумышленники могут использовать эти уязвимости для получения несанкционированного доступа к вашей системе. В свою очередь, это позволяет им красть ваши данные, отключать ваш веб-сайт и выполнять множество других вредоносных действий.

Решение

Установка обновлений как можно скорее может значительно минимизировать риск, связанный с дырами в безопасности и ошибками. Точно так же вы хотите убедиться, что выбранные вами поставщики и разработчики реагируют на запросы и выпускают обновления часто (а не раз в год).

При выборе плагинов смотрите историю версий, чтобы узнать, как часто выпускаются обновления. Ежедневные обновления — плохой знак; однако ежегодные обновления также могут указывать на то, что что-то не так. Вы также можете проверить комментарии пользователей, чтобы увидеть, насколько разработчик отвечает на вопросы пользователей.

Риск 2: неверные пароли

К неверным паролям относятся пароли по умолчанию, повторно используемые пароли, ранее просочившиеся пароли и слабые пароли. Неверные пароли очень легко взломать, предоставляя злоумышленникам легкий доступ к вашим системам. Совместное использование пароля — еще одна плохая практика, которая часто встречается в среде WordPress и за ее пределами. Общие пароли значительно увеличивают риск утечки паролей и затрудняют отслеживание проблем и привлечение к ответственности команды.

Решение

Надежная политика паролей WordPress имеет большое значение, помогая вам избавиться от неверных паролей. WPassword — это плагин WordPress, который предлагает администраторам детальный контроль над тем, как пользователи настраивают свои политики паролей, обеспечивая использование безопасных и эффективных паролей.

Риск 3: однофакторная аутентификация

Однофакторная аутентификация — это третий и последний риск, попадающий в список недопустимых практик CISA. В настройках однофакторной аутентификации пользователи могут войти в систему, используя только свое имя пользователя и пароль. В средах двухфакторной аутентификации (2FA) или MFA пользователи должны проходить аутентификацию с помощью второго (или нескольких) метода.

Однофакторная аутентификация может быть особенно проблематичной в случае утечки паролей, и хотя хорошая политика паролей имеет большое значение для минимизации рисков, вторичный фактор аутентификации значительно повышает общую безопасность вашего веб-сайта WordPress.

2FA быстро становится золотым стандартом аутентификации. Хотя его предпосылка довольно проста, он может остановить большинство наиболее распространенных атак. Это делает его фаворитом среди гигантов индустрии, любителей и всех, кто между ними.

Решение

WordPress не предлагает 2FA прямо из коробки. Однако реализовать 2FA на вашем веб-сайте WordPress легко благодаря WP 2FA. Этот плагин WordPress 2FA поставляется с большим количеством опций, чем вы можете себе представить, гарантируя, что все ваши пользователи могут воспользоваться преимуществами 2FA для более безопасного WordPress.

План действий по обеспечению безопасности WordPress, чтобы положить конец плохим практикам

Плохие привычки подобны плохим привычкам. Их нужно держать под контролем с течением времени, чтобы ничего не провалилось. Вот почему безопасность WordPress — это повторяющийся процесс; мы должны уделять внимание время от времени, чтобы убедиться, что мы всегда следуем лучшим практикам.

Хотя, несомненно, есть и другие плохие практики, которые не вошли в список CISA, то, что они предлагают, является хорошей отправной точкой. Подводя итог,

1. Устанавливайте обновления, как только они станут доступны. Если вы беспокоитесь о том, что обновления нарушат работу вашего сайта, установите промежуточную среду, чтобы протестировать обновления, прежде чем внедрять их в рабочую среду.
2. Внедрите надежную политику паролей WordPress с помощью WPassword, чтобы отсеять слабые пароли из вашей среды. Поощряйте пользователей использовать диспетчер паролей, чтобы уменьшить количество обращений в службу поддержки по поводу забытых паролей, которые слишком сложны.
3. Включите и используйте политики, требующие двухфакторной аутентификации WordPress для всех пользователей. Используйте WP 2FA, чтобы использовать его многочисленные функции, в том числе интеграцию Authy, льготные периоды и белые метки, среди многих других.

Хотя список CISA является хорошей отправной точкой, защита вашего веб-сайта WordPress требует более комплексного подхода. От обеспечения надежных паролей до повышения безопасности WordPress — вы можете многое сделать самостоятельно, следуя руководствам WP White Security для превосходной безопасности WordPress.

PS Мы рекомендуем настроить тестовую среду WordPress, если у вас ограниченный опыт защиты веб-сайтов WordPress.