Какие факторы безопасности следует учитывать при выборе хостинг-провайдера WodPress?

Опубликовано: 2021-12-03

Из-за растущей популярности WordPress по всем направлениям возникает все больше и больше инцидентов безопасности, затрагивающих различные компании, предоставляющие хостинг веб-сайтов WordPress.

GoDaddy — самый свежий пример, так как недавно у них была брешь в системе безопасности в среде хостинга WordPress. На прошлой неделе компания объявила о несанкционированном доступе третьих лиц к ее среде управляемого хостинга WordPress, что затронуло данные до 1,2 миллиона активных и неактивных клиентов .

Нарушение безопасности WordPress на GoDaddy

Директор по информационной безопасности (CISO) Деметриус Комес объявил 22 ноября в документе, поданном в Комиссию по ценным бумагам и биржам (SEC), что 17 ноября они обнаружили несанкционированный доступ к управляемым серверам WordPress от GoDaddy. Они определили, что инцидент начался 6 сентября 2021 года и раскрыл данные 1,2 миллиона активных и неактивных клиентов управляемого WordPress. Они обнаружили подозрительную активность в среде управляемого хостинга WordPress и немедленно начали расследование с помощью ИТ-криминалистической фирмы и связались с правоохранительными органами. Скомпрометированный пароль предоставил злоумышленникам доступ к их системам.

В объявлении указывалось, что:

  • Адреса электронной почты и номера клиентов были раскрыты до 1,2 миллиона активных и неактивных клиентов управляемого WordPress. Раскрытие адресов электронной почты представляет риск фишинговых атак.
  • Исходный пароль администратора WordPress, который был установлен во время подготовки, был раскрыт. Если эти учетные данные все еще используются, они сбрасывают эти пароли.
  • Для активных клиентов были раскрыты имена пользователей и пароли sFTP и базы данных. Они сбрасывают оба пароля.
  • Для подмножества активных клиентов был раскрыт закрытый ключ SSL. Они находятся в процессе выпуска и установки новых сертификатов для этих клиентов.

Наконец, Comes добавил: «Мы искренне сожалеем об этом инциденте и беспокойстве, которое он вызывает у наших клиентов. Мы, руководство и сотрудники GoDaddy, очень серьезно относимся к защите данных наших клиентов и никогда не хотим их подводить. Мы извлечем уроки из этого инцидента и уже предпринимаем шаги по усилению нашей системы обеспечения дополнительными уровнями защиты».

Как вы можете себе представить, в Интернете есть множество сообщений с критикой GoDaddy не только за то, что потребовалось 5 дней, чтобы сообщить о взломе, но и за то, что потребовалось более 2 месяцев, чтобы обнаружить указанную атаку, поскольку она предположительно имела место 6 сентября. Вы также найдете дополнительную информацию о том, какие действия вы должны предпринять как с технической, так и с юридической точки зрения, если вы являетесь затронутым клиентом. Я даже не хочу думать о том, что это за беспорядок для GoDaddy и всех тех клиентов, которые могли быть затронуты!

Важность безопасности при выборе хостинговой компании

Когда мы говорим о ключевых требованиях для выбора хостинга WordPress, мы рассматриваем целый набор факторов: совместимость с различными версиями PHP, функции и инструменты, которые он предлагает для простого управления установкой WordPress, быстрая скорость загрузки наших страниц, эффективная поддержка. обслуживание, и, конечно же, приемлемая стоимость.

Но давайте не будем обманывать себя: мы часто заканчиваем тем, что отодвигаем аспект безопасности на задний план наших приоритетов. Почему? Во-первых, потому что безопасность нашего хостинг-провайдера является чем-то само собой разумеющимся. Но это абсурд, потому что если и есть что-то, что мы знаем наверняка, так это то, что ни одна компьютерная система не защищена на 100%. Во-вторых, безопасность трудно оценить быстро и легко. Только когда происходит нарушение безопасности, мы узнаем о возможных уязвимостях.

Безопасность вашего сайта немного похожа на ваше здоровье. Если ты в порядке, ты не задумываешься об этом. Но в тот день, когда вы заболеете, мир обрушится на вас. Часто болезнь неизбежна, но профилактика и раннее выявление могут избавить вас от горя. То же самое и с безопасностью. Если ваш веб-сайт взломан, не только ваш бизнес может разориться, но вы также можете столкнуться с юридическими проблемами из-за того, что не приняли надлежащие меры безопасности.

Если мы хотим попытаться предотвратить нарушение безопасности, чего нам следует ожидать от нашего хостинг-провайдера?

Безопасность программного обеспечения

Нам всем надоедает обновлять программное обеспечение, которое мы используем на наших компьютерах. Но это очень важно, так как большинство обновлений предназначены именно для защиты от известных уязвимостей!

По этой причине, когда вы размещаете веб-сайт WordPress в хостинговой компании, убедитесь, что он соответствует требованиям совместимости и последним обновлениям программного обеспечения, рекомендованным WordPress. Взгляните на официальный сайт WordPress, чтобы узнать их. На момент написания этого поста рекомендуемые требования были такими:

  • PHP 7.4 или новее.
  • MySQL 5.6 или новее или MariaDB 10.1 или новее.
  • HTTPS

Моя рекомендация: даже не рассматривайте любую хостинговую компанию, которая не соответствует этим требованиям.

Доступность и поддержка SSL

Протокол передачи гипертекста ( Протокол передачи гипертекста или HTTP ) — это протокол , используемый в сетевых системах, разработанный с целью определения и стандартизации синтаксиса и семантики транзакций, которые происходят между различными компьютерами, составляющими сеть. . Другими словами, он описывает способ взаимодействия веб-сервера с веб-браузерами, такими как Google Chrome или Mozilla Firefox.

HTTPS относится к использованию HTTP через уровень защищенных сокетов (SSL) или соединение с безопасностью транспортного уровня (TLS) и отвечает за шифрование всех сообщений HTTP, чтобы их передача была безопасной. Когда пользователь отправляет информацию на веб-сервер, SSL, по сути, обеспечивает целый набор уровней защиты:

  • шифрование : если злоумышленнику удастся перехватить эту информацию, она будет бесполезна, так как он не будет знать, как ее расшифровать (но вы это сделаете).
  • целостность данных : злоумышленники не смогут «модифицировать» содержимое отправленного сообщения.
  • аутентификация : избегаются фишинговые атаки или атаки «человек посередине», при которых пользователь предоставляет информацию третьим лицам, когда они считают, что разговаривают с кем-то другим.

Таким образом, например, вы гарантируете, что данные о покупках, сделанных на вашем веб-сайте, не могут быть прочитаны и/или изменены преступниками.

Если ваш веб-сайт использует SSL, большинство браузеров будут отображать URL-адрес веб-сайта, начинающийся с https:// , и значок замка где-то рядом или в адресной строке, предоставляя посетителям визуальное представление о безопасности текущего веб-сайта.

Изображение URL-адреса Нелио, отображаемое в браузере
Изображение URL-адреса Нелио, отображаемое в браузере.

При поиске поставщика услуг хостинга убедитесь, что он поддерживает SSL, и проверьте, насколько легко его настроить.

Резервное копирование и восстановление

Если вы когда-нибудь подвергнетесь атаке вредоносного ПО на ваш WordPress, вам, скорее всего, придется восстановить старую резервную копию, свободную от зараженного кода. По этой причине убедитесь, что ваш хостинг-провайдер выполняет регулярное и автоматическое резервное копирование вашего веб-сайта WordPress .

Убедитесь, что вы знаете:

  • Частота резервного копирования,
  • Сколько резервных копий вашего сайта у вас есть,
  • Можете ли вы легко восстановить их все самостоятельно или вы должны запросить восстановление и оплатить услугу,
  • Можете ли вы выполнять частичное восстановление файлов, папок, учетных записей электронной почты или баз данных,
  • Можете ли вы получить доступ к истории восстановления.

Защита от DDoS-атак

Атака распределенного отказа в обслуживании (DDoS) — это тип атаки, которая пытается вывести из строя веб-сервер, инициируя «тонну» запросов, пока сервер не перегрузится и не выйдет из строя.

Иллюстрация DDoS-атаки
Иллюстрация DDoS-атаки (источник: Anti DDoS)

Чтобы предотвратить их, некоторые хостинг-провайдеры, такие как SiteGround и Bluehost, работают с сетями доставки контента (CDN), такими как Cloudflare. CDN управляют глобальными серверными сетями, которые упрощают и ускоряют обслуживание данных и поглощают ресурсоемкие атаки, такие как DDoS. Это помогает хостинговым компаниям снизить нагрузку на собственные серверы без необходимости вкладывать значительные средства в дополнительную инфраструктуру. Настоятельно рекомендуется проверить, работает ли ваша хостинговая компания с CDN.

Также убедитесь, что у них есть протоколы, подготовленные для этого типа атаки, такие как:

  • Аппаратный брандмауэр, фильтрующий флуд-трафик,
  • Программный брандмауэр на базе iptables со сложными функциями и мониторингом трафика,
  • Они ограничивают количество подключений, которые могут быть установлены удаленно,
  • Они проверяют большое количество неудачных попыток подключения с хостов и выполняют фильтрацию.

Сканирование вредоносных программ

Вредоносное ПО, как мы видели в случае с GoDaddy, — это вредоносное программное обеспечение, которое может влиять на серверы. Они могут вызвать незначительное заражение, например, кражу определенных данных или уничтожение всей базы данных.

Важно знать, как ваш хостинг-провайдер контролирует и проверяет этот тип атак. Как часто они проводят сканирование? Есть ли у них система изоляции аккаунта, чтобы в случае заражения его сдержать?

Доступность и время безотказной работы

Три столпа информационной безопасности известны как триада ЦРУ (конфиденциальность, целостность и доступность). Доступность и время безотказной работы вашего веб-сайта (процент времени, в течение которого веб-сайт активен и доступен) имеют решающее значение для любого веб-сайта.

У хостинговых компаний есть много способов обеспечить эту доступность. Например, некоторые используют технологию RAID, резервирование оборудования, резервирование сети и даже альтернативные расположения зеркал. Убедитесь, что ваш хостинг-провайдер гарантирует вам минимальную доступность в соглашении об уровне обслуживания (SLA) своих условий. Например, в случае с Siteground они гарантируют:

5.2. Мы гарантируем безотказную работу сети на уровне 99,9% в год. Если мы упадем ниже гарантированного времени безотказной работы сети, мы компенсируем вам следующим образом ;

  • 99,9% – 99,00% безотказной работы: 1 месяц бесплатного хостинга
  • Дополнительный месяц бесплатного хостинга за каждый 1% времени безотказной работы ниже 99,00% .

SLA — это еще один показатель инвестиций в инфраструктуру, сделанных вашим хостинг-провайдером, и обязательств, которые они берут на себя, чтобы гарантировать обслуживание.

Заключение

Безопасность, как я уже говорил, подобна здоровью. Хотя вы никогда не можете гарантировать абсолютный контроль над ним, чем меньше вы рискуете, тем лучше. Защита вашего сайта и забота о его безопасности могут предотвратить серьезные нежелательные последствия. И эта защита начинается с выбора хорошего хостинг-провайдера для вашего сайта WordPress.

Избранное изображение Лиама Такера на Unsplash.