WordPress хакна от SA3D и как да го предотврати

През последните месеци може да сте виждали съобщението отляво в мрежата. Какво стана? По-новите версии на WordPress включват REST API, който предлага много мощни нови функции и интеграции.

За съжаление бяха идентифицирани сериозни заплахи за сигурността и много администратори на WordPress бавно реагираха на сигналите за сигурност. Google все още показва 236 000+ резултати по целия свят и 900+ хакерски резултати с .fi домейн - най-сигурният домейн в света, включително много технологични компании. Бързо актуализиране на ядрото на WordPress би предотвратило тази атака.

Популярността на WordPress (1/3 от топ милиона сайтове) има значение. Още по-лошото е, че минималистичният подход на WordPress го кара да разчитат много на (често безплатни) приставки с различно качество. Всеки от плъгините може да се използва като атакуваща повърхност, а някои плъгини исторически са имали сериозни проблеми (например плъзгач на банера, позволяващ влизане в системата като администратор).

Сигурността в мрежата изисква внимание. За щастие, той не е твърде сложен.

Основните практики за сигурност преминават дълъг път. Имайте силна парола. Нямате потребителски имена с „Админ“, уебсайт или име на фирма. Използвайте системата при най-малко необходими привилегии. Актуализирайте редовно (или автоматично) и незабавно при всички основни сигнали за сигурност. Настройте друг сайт за тестване на нови плъгини и теми. Имайте отделна база данни и потребител за всеки сайт. И така нататък…

Определете отговорността за поддръжката. Кой е отговорен за прегледа на сигналите за сигурност? Кой е отговорен за споделянето на информация за сигурност в организацията? Кой изисква техническите актуализации? Първа помощ може да бъде делегирането на първия отговор на облачните бази на защитни стени, които имат актуална информация за сигурност от милиони сайтове и могат да блокират много заплахи.

Планирането и тестване на възстановяването е важно, тъй като всеки плъгин може да попречи на сайта да се зарежда в допълнение към заплахите за сигурността (по подразбиране всички плъгини се зареждат при всяко зареждане на страница). Има много добри безплатни резервни приставки за WordPress, които могат автоматично да се архивират в Dropbox или Google Drive. Облачните платформи като Microsoft Azure също могат да направят възстановяването бързо и лесно. (Само не забравяйте да активирате архивирането)

Включете планирането на почистване в възстановяването - какво се случва, когато подозирате, че сигурността на вашия сайт е нарушена? Смяна на пароли, проверка на потребителски имена, проверка на файлове и бази данни и т.н. Не забравяйте да тествате възстановяването, така че няма да е първият път, когато всъщност трябва да го направите.

Следвайте сигналите за сигурност на вашия доставчик на хостинг услуги, доставчици на операционни сървъри и уеб платформите, които използвате. Сигналите за WordPress са в блога им. Тук във Финландия имаме един от най-добрите национални органи за комуникация, който върши чудесна работа за идентифициране на големи заплахи: https://www.viestintavirasto.fi/en/

Правете тестове за сигурност по време на изграждане и актуализации. Можете също да правите тестове извън спринтове за разработка, но може да имате ограничени възможности за откриване на проблеми с коригирането. Безплатен общ инструмент за тестване е OWASP ZAP - можете да проверите и нашия YouTube канал за бързо ръководство за стартиране.

Използвайте автоматизирано наблюдение. Регистрирайте се в конзолата за търсене на Google, за да получавате сигнали от Google за проблеми на вашия сайт. Помислете да използвате търговски автоматизирани инструменти за мониторинг, като Pingdom.

Незадължително и препоръчително: Използвайте уеб партньор със сертифициран процес на защита :) Една такава компания за уеб разработки идва на ум с името Kwork Innovations. Добрият партньор ще се увери, че уебсайтът е изграден и одитиран правилно, ще даде съвети за по-нататъшно развитие, ще гарантира, че хостинг средата е настроена правилно и ще отговаря на сигналите за сигурност.

Сигурността е едно от (много свързани с цифровизацията) неща близо до сърцето ми. Чат, туитър, имейл или обаждане - antti@kwork.me +358 44 323 7002

Kwork Innovations беше първият, който получи сертификат за сигурно разработване на софтуер от Финландската софтуерна индустрия на годишната среща на технологичната индустрия и софтуерната индустрия - Digi Date - на 29 септември 2016 г.