您的 WordPress 網站用戶會損害您的業務嗎？

您的員工會成為威脅嗎？ 是的，很可能，但主要是在不知不覺中。

我最近寫了一篇關於突出 WordPress 漏洞最大來源的統計數據。

但是，您的基礎設施的另一個相當大的組成部分同樣容易受到攻擊，甚至更容易受到攻擊，而且我們經常忽略 - 我們的用戶 - 他們正被外面的不良行為者直接瞄準。

目錄

• 我們可以從中央情報局學到的教訓
• 為什麼要攻擊？ 他們追求什麼？
• 他們從哪里以及如何獲得訪問權限？
• 我能做些什麼呢？
• 我們可以從 CIA 的方法中學到什麼？
  • 保密
    • 從加強登錄流程開始
    • 實施強大的密碼安全和政策
    • 根據隱私屬性識別和分類存儲的數據
  • 正直
    • 限制權限和特權
    • 記錄用戶更改
  • 可用性
    • 備份您的數據
    • 計劃失敗
    • 對您的數據可用性的安全威脅
    • 預防性的維護
• 教育、培訓
• 外賣

我們可以從中央情報局學到的教訓

網絡釣魚和偽裝是網絡犯罪分子最常用的兩種策略。 這些社交攻擊會誘使您的用戶放棄他們的登錄憑據以及其他個人信息。 然後，這些詳細信息被用於黑客攻擊、破壞您的安全防禦、訪問您的 Web 應用程序、您的系統和您的數據。

只需詢問 Twitter、T-Mobile、Marriot、Amtrak 或 Ritz Hotel 等眾多其他公司。 雖然獲得所有頭條新聞和關注的是知名品牌，但令人震驚的是，超過四分之一 (28%) 的小企業成為直接目標，並被成功入侵。

這些是 Verizon 研究得出的一些見解。 他們的 2020 年數據洩露調查報告 (DBIR) 為謊言、動機和惡意行為者的方法提供了詳細的法醫探照燈。 他們顯然是在追求一件事——你的數據。

但它也讓我們了解如何規劃我們的防禦措施以減輕此類網絡安全漏洞。

為什麼要攻擊？ 他們追求什麼？

簡單的答案是，攻擊者想要你擁有的東西，並且這些東西是有價值的——數據。 幾乎九分之一 (86%) 的成功系統違規行為是出於經濟利益。 其中，大多數（55%）涉及有組織的犯罪集團，報告中將其定義為“有程序的犯罪分子，而不是黑手黨”。

“86% 的違規行為是出於經濟動機”

“有組織的犯罪集團是所有違規行為的 55% 的幕後黑手”

“70% 由外部行為者實施”

“30% 涉及內部參與者”

與其他人一樣，您的企業持有客戶、供應商、合作夥伴和員工等出於善意提供給您的各種數據，以促進電子商務的順利處理。 當然，這些數據中的大部分都是私密和敏感的。

信用卡和其他支付詳細信息、個人身份信息（例如社會保障詳細信息、電子郵件地址、電話號碼、家庭住址等）可以被收集、使用和貨幣化。 請記住，這不是他們的遊戲。

您有責任確保這些數據保持私密和受保護。 您還有隱私立法和行業監管合規義務，例如 GDPR，這要求您明顯地採取一切可能的措施來保護數據。

因此，任何制定的安全響應計劃都必須專注於保護數據。

他們從哪里以及如何獲得訪問權限？

那裡的犯罪分子知道，如果他們能夠獲得用戶的憑據，那麼他們的工作就會變得容易得多。 因此，他們花費巨大精力進行更複雜的網絡釣魚和藉口攻擊，試圖讓您的用戶放棄他們的系統登錄詳細信息和其他個人信息，也就不足為奇了。

“網絡釣魚占所有成功數據洩露的 22%”

“社交攻擊：“社交行​​為 96% 的時間都通過電子郵件發送。”

您的在線 Web 應用程序是最常見的攻擊媒介，攻擊者通過使用丟失或被盜的用戶登錄憑據或暴力攻擊（利用弱密碼）獲得進入權限。

“超過 90% 的攻擊專門針對您的 Web 應用程序 - 超過 80% 的黑客攻擊涉及暴力破解或使用丟失或被盜的憑據。”

我能做些什麼呢？

感謝 Verizon 為我們完成了分析，我們能夠更好地了解威脅和方法。 我們現在可以開始採取知情、衡量和合乎邏輯的方法來加強我們的安全響應，阻止這些攻擊並減輕任何損害。

我們可以從 CIA 的方法中學到什麼？

唉，我們這裡不是在談論中央情報局提供的一些新的世界級技術，我們可以用它來擊敗壞人。 我們談論的是一個優雅而靈活的框架，您可以使用它專注於保護您受到威脅的主要資產、您的數據，這就是這一切的意義所在。

CIA 框架包含三個核心基本原則，旨在減少對數據的意外和惡意訪問和修改，它們是：

• 保密
• 正直
• 可用性

保密

保密性詢問我們您可以採取哪些措施來確保您持有的數據的安全性——限制員工僅訪問使其能夠履行職責所需的信息。

請記住，超過 80% 的成功黑客攻擊使用丟失或被盜的用戶憑據，或暴力攻擊來利用弱密碼，例如“admin/admin”、“user/password”、“user/12345678”等。

您可以採取多種措施來確保數據的機密性：

從加強登錄流程開始

實施兩因素身份驗證。 2FA 通過將物理設備合併到用戶帳戶登錄過程中添加了額外的安全層。

除了標準的用戶名和密碼憑證外，登錄過程還需要一個唯一的、有時間限制的一次性 PIN 以允許訪問。

因此，即使登錄憑據被洩露，攻擊者也無法訪問物理設備，僅需要 PIN 的行為就足以阻止攻擊。

實施強大的密碼安全和政策

超過 35% 的用戶帳戶將使用很容易被暴力攻擊工具破解的弱密碼。

因此，強大的密碼安全性和策略是必須的。 實施密碼強度策略，以及密碼歷史和過期策略。 您現在強制執行的這些強密碼將需要及時過期。

因此，如果您的用戶憑據確實被洩露，它們只有在密碼有效時才有用。 因此，更改密碼將阻止任何未來的惡意行為。

與雙因素身份驗證方法一起，強密碼實施可提供相當強大的防禦。

根據隱私屬性識別和分類存儲的數據

對每個角色的當前訪問控制列表進行審查，然後使用最小權限原則適當地分配所需的數據訪問權限。

對私人和敏感數據的訪問應限制在需要知道的基礎上，並要求員工履行其職責。

例如，您的客戶支持代表可能需要訪問訂單歷史記錄、運輸詳細信息、聯繫方式等。他們是否需要了解客戶的信用卡詳細信息、社會安全號碼或其他敏感或個人身份信息？

或者問問自己，你會向普通員工提供公司的銀行賬戶餘額和詳細信息嗎？ 還是公司的當前和歷史財務賬戶？ 我們會認為這是一個不。

正直

完整性要求我們考慮通過控制和了解誰可以更改數據以及在什麼情況下可以採取哪些步驟來保證數據的有效性。 為確保您的數據的完整性：

限制權限和特權

限制用戶的權限，重點關注可能需要修改的數據項。

您的大部分數據永遠不會或很少需要修改。 有時稱為最小權限原則，它是最有效的安全最佳實踐之一，也是一種通常被忽視但很容易應用的方法。

如果攻擊成功訪問您的系統帳戶，通過對數據實施限制性權限，任何數據洩露和任何由此造成的損害都將受到限制。

記錄用戶更改

如果對現有數據進行了更改，您如何知道哪些更改、何時以及由誰更改？ 你能確定嗎？ 修改是否授權且有效？

擁有全面的實時活動日誌將使您能夠全面了解在所有 WordPress 系統中執行的所有操作，並且是良好安全實踐的基礎。

此外，對任何和所有活動進行歸檔和報告，將有助於您遵守您所在轄區的隱私法和監管合規義務。

可用性

可用性迫使我們專注於保持我們的數據易於且可靠地訪問。 從而確保業務持續不間斷，使員工能夠履行職責，您的客戶下訂單，您可以以安全的方式履行和運送這些訂單。

停機不僅與潛在的收入損失有關，還與您的用戶、訂閱者、客戶、合作夥伴和員工的信心受損有關，因為您的系統不可用。

備份您的數據

定期備份您的數據，同時考慮將這些備份存儲在異地。 這是一篇很好的文章，它開發了這個主題並討論了在現場存儲 WordPress 備份文件和舊文件的安全風險。

計劃失敗

查看您的業務所依賴的基礎架構組件； 網絡、服務器、應用程序等，並有一個補救行動計劃，因此如果這些組成部分中的任何一個單獨或集體出現故障，您可以快速恢復。

您很可能正在使用託管公司來託管您的 WordPress 網站，他們將代表您處理其中的許多任務。 但是，必須提出相關問題以確定他們為您提供的流程和服務水平，以及它們是否符合您的業務需求。

例如，嘗試恢復您的 WordPress 備份、測試您的安全系統並模擬災難恢復過程。

對您的數據可用性的安全威脅

從安全角度來看，報告中記錄的所有事件中排名第一的威脅是分佈式拒絕服務 (DDoS) 攻擊，主要是為了破壞，而不是試圖獲得訪問權限（黑客攻擊）。

許多 WordPress 託管公司為這些類型的攻擊提供了足夠的防禦。 儘管如此，調查他們提供的外圍安全服務以及這些措施是否足夠或者您是否應該加強防禦始終是謹慎的。

預防性的維護

維護在可用性方面起著至關重要的作用，確保您的 WordPress 網站和相關插件及時更新，最好是自動更新，以修復任何現有的已知漏洞，從而形成更強大的安全防禦。

教育、培訓

正如本傑明富蘭克林曾經說過的“一盎司的預防勝過一磅的治療”，這在今天和以往一樣真實。

讓您的用戶了解潛在的陷阱並識別確實存在的威脅，是一項關鍵的預防措施。

• 對員工進行相關培訓，讓他們了解規定的安全政策的重要性，以及公司實施此類政策的原因。
• 幫助他們了解安全風險，特別關注社會威脅，例如我們討論過的網絡釣魚和偽裝。 他們會為此感謝你的！

外賣

讓用戶訪問所有內容似乎要容易得多，這確實可以確保他們始終可以訪問他們需要的信息，而很多他們不需要。 此級別的權限通常授予用戶以阻止更改訪問權限和特權的潛在請求。 但這沒有抓住重點。

通過實施 CIA 建議，您將通過限制對私人和敏感數據的任何訪問（機密性）和修改（完整性）來減輕和限制系統破壞時的任何損害。 並幫助您履行法律和合規義務。

1. 強密碼； 降低蠻力攻擊的成功率。
2. 雙重身份驗證； 妨礙使用被盜憑據
3. 最小特權原則； 在需要知道的基礎上限制對數據的訪問，並限制對此類數據的修改。
4. 活動記錄； 讓您隨時了解任何訪問、修改和系統更改。
5. 確保所有系統和插件自動保持最新。

最後，我想藉此機會感謝 Verizon 團隊為編制年度 Verizon 數據洩露調查報告 (DBIR) 所做的一切努力。