WordPress napadl SA3D a jak tomu zabránit

V posledních měsících jste možná viděli zprávu vlevo po webu. Co se stalo? Novější verze WordPress zahrnují REST API, které nabízí mnoho nových výkonných funkcí a integrací.

Bohužel byly zjištěny vážné bezpečnostní hrozby a mnoho správců WordPress reagovalo na bezpečnostní upozornění pomalu. Google stále zobrazuje 236 000+ výsledků po celém světě a 900+ hackovaných výsledků s doménou .fi - nejbezpečnější doménou na světě, včetně mnoha technologických společností. Rychlá aktualizace jádra WordPress by tomuto útoku zabránila.

Popularita WordPressu (1/3 z top miliónů stránek) dělá rozdíl. Ještě horší je, že díky minimalistickému přístupu WordPress se do značné míry spoléhá na (často zdarma) pluginy s různou kvalitou. Každý z těchto pluginů lze použít jako útočný povrch a některé pluginy měly v minulosti závažné problémy (například správce posuvníku povolil přihlášení jako správce).

Zabezpečení webu vyžaduje pozornost. Naštěstí to není příliš složité.

Základní bezpečnostní postupy jdou dlouhou cestou. Mít silné heslo. Nemáte uživatelská jména s názvem „Správce“, web ani název společnosti. Používejte systém pod nejméně potřebnými oprávněními. Aktualizujte pravidelně (nebo automaticky) a okamžitě všechny hlavní výstrahy zabezpečení. Nastavit další web pro testování nových pluginů a motivů. Mít samostatnou databázi a uživatele pro každý web. A tak dále…

Definujte odpovědnost za údržbu. Kdo je zodpovědný za kontrolu bezpečnostních upozornění? Kdo je zodpovědný za sdílení bezpečnostních informací v rámci organizace? Kdo vyžaduje technické aktualizace? První pomoci může být delegování první reakce na společnosti firewall na bázi cloudu, které mají aktuální bezpečnostní informace z milionů webů a mohou blokovat mnoho hrozeb.

Plánování a testování obnovy je důležité, protože jakýkoli plugin může bránit načtení webu kromě bezpečnostních hrozeb (ve výchozím nastavení jsou všechny pluginy načteny při každém načtení stránky). Existuje mnoho dobrých bezplatných zálohovacích pluginů pro WordPress, které lze automaticky zálohovat do Dropboxu nebo na Disk Google. Cloudové platformy, jako je Microsoft Azure, mohou také urychlit a usnadnit obnovu. (Nezapomeňte povolit zálohování)

Zahrnout plánování obnovy do obnovy - co se stane, když máte podezření, že byla narušena bezpečnost vašeho webu? Změna hesel, kontrola uživatelských jmen, ověřování souborů a databází atd. Nezapomeňte otestovat obnovení, takže to nebude poprvé, kdy to skutečně potřebujete.

Postupujte podle bezpečnostních upozornění vašeho poskytovatele hostingu, dodavatelů OS serverů a webových platforem, které používáte. Upozornění WordPress jsou na jejich blogu. Zde ve Finsku máme jeden z nejlepších vnitrostátních orgánů pro komunikaci, který odvádí skvělou práci při určování hlavních hrozeb: https://www.viestintavirasto.fi/en/

Během výstavby a aktualizací proveďte testování zabezpečení. Můžete také provádět testování mimo vývojové sprinty, ale možná máte omezené možnosti, jak odhalit problémy s opravou. Bezplatným obecným testovacím nástrojem je OWASP ZAP - můžete si také prohlédnout náš kanál YouTube, kde najdete rychlou úvodní příručku.

Používejte automatizované monitorování. Zaregistrujte se do konzoly Vyhledávání Google a získejte upozornění Google na problémy na vašem webu. Zvažte použití komerčních automatizovaných monitorovacích nástrojů, jako je Pingdom.

Volitelné a doporučené: Použijte webového partnera s certifikovaným zabezpečovacím procesem :) Jedna taková společnost pro vývoj webových stránek přichází na mysl pod názvem Kwork Innovations. Dobrý partner zajistí, že web bude správně vytvořen a podroben auditu, poskytne rady ohledně dalšího vývoje, zajistí správné nastavení hostitelského prostředí a bude reagovat na bezpečnostní upozornění.

Zabezpečení je jednou z věcí souvisejících s mnoha digitalizacemi v mém srdci. Chat, pípání, e-mail nebo volání - antti@kwork.me +358 44 323 7002

Společnost Kwork Innovations jako první obdržela finský softwarový průmysl certifikaci Process Software Process Process na výročním zasedání technologického průmyslu a softwarového průmyslu - datum Digi - 29. září 2016.