WordPress site kullanıcılarınız işletmenize zarar verebilir mi?

Çalışanlarınız bir tehdit olabilir mi? Evet, çok mümkün, ama temelde bilinçsizce. Son zamanlarda en büyük WordPress güvenlik açığı kaynağını vurgulayan istatistikler hakkında yazdım. Bununla birlikte, bileşenlerin altyapınızdan oldukça büyük olan diğer kısımları, daha fazla değilse eşit derecede savunmasızdır ve çok sık kullanıcılarımızı görmezden geliyoruz-doğrudan kötü aktörler tarafından hedeflenen. İçerik Listesi
CIA’dan öğrenebileceğimiz dersler
Neden Saldırı? Neyi takip ediyorlar?
Nerede ve nasıl erişirler?
Bütün bunlar hakkında ne yapabilirim?
CIA yaklaşımından ne öğrenebiliriz?
Gizlilik
Giriş işlemini güçlendirerek başlayın
Güvenlik ve Güçlü Şifre Politikasını Uygulayın
Gizliliğin özelliklerine göre saklanan verilerin tanımlanması ve sınıflandırılması
Bütünlük
İzin ve ayrıcalıkları sınırlama
Kullanıcı Değişikliği Günlüğünü Kaydet
Kullanılabilirlik
Verilerinizi Rebill
Plan Arızaları
Verilerinizin kullanılabilirliği için güvenlik tehdidi
Önleyici bakım
Eğitim çalışması
Eve götür
CIA kimlik avı ve taklitten öğrenebileceğimiz dersler, siber alan suçluları tarafından kullanılan en çok tercih edilen iki taktiktir. Bu sosyal saldırı, kullanıcılarınıza giriş kimlik bilgilerini diğer kişisel bilgilerle birlikte göndermeye teşvik eder. Bu ayrıntılar daha sonra saldırı saldırılarında, güvenlik savunma ihlallerinizde, web uygulamanıza erişmek, sisteminize, verilerinizde kullanılır.
Diğerlerinin yanı sıra Twitter, T-Mobile, Marriot, Amtrak veya Ritz Hotel’e sorun. Her ne kadar ünlü markalar tüm manşetleri ve ilgiyi alsa da, ancak dört (%28) küçük işletmeden birden fazlasının doğrudan hedefler haline geldiğini ve başarılı bir şekilde tehlikeye atıldığını belirtmek endişeleniyor. Bunlar Verizon’un araştırmasından çıkan bazı bilgiler. 2020 için Veri İhlali Araştırma Raporu (DBIR), kötü aktörün yalanları, motivasyonu ve yöntemi üzerinde ayrıntılı bir adli spot ışığı verdi. Açıkça bir şeyi takip ediyorlar – verileriniz. Ancak bu da bize bu tür siber güvenlik ihlallerini azaltmak için savunmamızı nasıl planlayabileceğimizi de anlıyor. Neden saldırılar? Neyi takip ediyorlar? Basit cevap, saldırganın sahip olduğunuz bir şey ve değer – veriler istemesidir. Dokuzdan yaklaşık biri (%86) sistem ihlali finansal kârlarla başarıyla motive edildi. Bu miktarın çoğunluğu (%55), raporlarda ‘mafya değil süreçlerle suçlular’ olarak tanımlanan organize suç gruplarını içermektedir. “Finansal Motivasyon İhlallerinin% 86’sı” “Organize suç grupları tüm ihlallerin% 55’inin arkasında” “Dış aktörler tarafından gerçekleştirilen% 70” “% 30 iç aktörleri içeriyor”
Diğerleriyle aynı, işletmeniz müşteriler, tedarikçiler, ortaklar ve çalışanlar vb. Düzgün elektronik iş işlemeyi kolaylaştırmak için. Bu verilerin çoğu elbette kişisel ve hassastır. Kredi kartları ve diğer ödeme ayrıntıları, sosyal güvenlik detayları, e -posta adresleri, telefon numaraları, ev adresleri vb. Gibi kişisel kimlik bilgileri alınabilir, kullanılabilir ve para kazanılabilir. Bunun onlar için bir oyun olmadığını unutmayın. Bu verilerin kişisel ve korumalı kalmasını sağlama yükümlülüğünüz vardır. Ayrıca, GDPR gibi, verileri korumak için olası tüm işlemleri açıkça yerine getirmenizi talep eden GDPR gibi endüstriyel düzenlemelerin gizlilik yasasına ve yükümlülüklerine de sahipsiniz. Bu nedenle, uygulanan herhangi bir güvenlik müdahale planının veri korumasına odaklanması gerekir. Nerede ve nasıl erişirler? Dışarıdaki suçlu aktörler, kullanıcı kimlik bilgilerinizi alabilirlerse, işlerinin daha kolay hale geldiğini biliyorlar. Bu nedenle, gittikçe daha karmaşık bir kimlik avı ve bahane saldırıları için büyük bir çaba göstermeleri şaşırtıcı değildir, kullanıcılarınızın sistem giriş bilgilerini ve diğer kişisel bilgilerini göndermelerini sağlamaya çalışırlar. “Kimlik avı tüm başarılı veri ihlallerinin% 22’sine katkıda bulundu” “Sosyal Saldırılar:” Sosyal Eylem istediği zaman% 96 e -postayla geliyor. ”
Çevrimiçi web uygulamanız en yaygın saldırı vektörüdür ve saldırgan, kayıp veya çalınan bir kullanıcı giriş kimlik bilgisi veya kaba bir kuvvet saldırısı (zayıf bir şifreden yararlanarak) kullanarak bir giriş alır. “Web uygulamanız özellikle saldırıların% 90’ından fazlasını hedeflemektedir – saldırıdaki ihlallerin% 80’inden fazlası şiddet veya kayıp veya çalıntı kimlik bilgilerinin kullanımını içerir.” Bütün bunlar hakkında ne yapabilirim? Bizim için bir analiz yapan Verizon’a teşekkür ederiz, tehditleri ve yöntemleri anlamak için daha iyi bir konumdayız. Artık güvenlik yanıtımızı güçlendirmek, bu saldırıyı engellemek ve herhangi bir hasarı azaltmak için bilinçli, ölçülebilir ve mantıklı bir yaklaşım almaya başlayabiliriz. CIA yaklaşımından ne öğrenebiliriz? Ne yazık ki, kötü insanları yenmek için kullanabileceğimiz Merkezi İstihbarat Ajansı tarafından sağlanan yeni dünya yenme teknolojilerinden bazıları hakkında konuşmuyoruz. Tehdit altındaki ana varlıklarınızın, tüm bunların özü olan verilerinizin korunmasına odaklanan zarif ve esnek bir çerçeveden bahsediyoruz. CIA çerçevesi, kazara ve tehlikeli erişimi azaltmak için tasarlanmış üç temel temel ilkeden oluşur ve verileriniz bunlar:
Gizlilik
Bütünlük
Kullanılabilirlik
Gizlilik gizliliği, tasarruf ettiğiniz verilerin güvenliğini sağlamak için hangi işlemleri yapabileceğinizi sorar – çalışanların yalnızca rollerini yerine getirmelerini sağlamak için gereken bilgilere erişimini sınırlar. Kayıp veya çalınan kullanıcı kimlik bilgilerini kullanmayı başaran hack ihlallerinin% 80’inden fazlasının veya ‘yönetici/admin’, ‘kullanıcılar/şifre’, ‘kullanıcılar/12345678’ vb. Verilerinizin gizliliğini sağlamak için yapabileceğiniz bazı eylemler vardır: İki faktörün kimlik doğrulamasını uygulayarak giriş işlemini güçlendirerek başlayın. 2FA, kullanıcının hesap giriş işlemine fiziksel bir cihaz ekleyerek ek bir güvenlik katmanı ekler. Erişime izin vermek için kullanıcı adı ve standart şifre kimlik bilgilerine ek olarak giriş işlemi tarafından benzersiz, sınırlı bir süre olan bir zaman PIN gerekli olacaktır. Bu nedenle, giriş kimlik bilgileri tehlikeye atılsa bile, saldırganların fiziksel cihazlara erişimi olmadan, tek başına pin gerektiren eylemler saldırıları hayal kırıklığına uğratmak için yeterlidir. Güvenlik ve Güçlü Şifre Politikalarını Uygula Kullanıcı hesabının% 35’inden fazlası, kaba bir kuvvet saldırısı aracı tarafından kolayca hacklenebilecek zayıf bir şifre kullanacaktır.
Bu nedenle, güvenlik ve güçlü şifre politikası bir zorunluluktur. Şifre gücü politikasını, aynı zamanda şifrelerin geçmişini ve son kullanma politikalarını da uygulayın. Şimdi uyguladığınız güçlü şifreden zamanında sona ermesi istenecektir.
Dolayısıyla, kullanıcınızın kimlik bilgileri tehlikeye atılırsa, yalnızca kelimeler geçerli olduğu sürece kullanışlıdır. Bu nedenle, şifreyi değiştirmek gelecekte kötü eylemleri engelleyecektir. İki faktör kimlik doğrulama yöntemi ile birlikte, güçlü şifre uygulaması çok güçlü bir savunma üretir. Gizliliğin özelliklerine uygun olarak saklanan verilerin tanımlanması ve sınıflandırılması Her bir rol için geçerli erişim kontrol listesinin gözden geçirilmesini yürütür, daha sonra en küçük ayrıcalık prensibini kullanarak verilere düzgün bir şekilde erişme hakkını belirleyin. Kişisel ve hassas verilere erişim olmalıdır. Sınırlı, çalışanların rollerini yerine getirmeleri için bilme ve ihtiyaç duyma ihtiyacına dayanmaktadır. Örneğin, müşteri destek temsilcileriniz sipariş geçmişine, nakliye bilgilerine, iletişim bilgilerine vb. Erişim gerektirebilir. Müşteri kredi kartı detayları, sosyal güvenlik numarası veya diğer hassas bilgiler veya kişisel kimliğin görünürlüğüne ihtiyaçları var mı? Ya da kendinize sorun, genel çalışanlara şirketin banka hesabının dengesi ve ayrıntılarını sağlayacak mısınız? Yoksa mevcut şirketin finansal hesabı ve tarihsel mi? Bunu düşünmeyeceğiz. Dürüstlük Integrity, verilerde kimin değişiklik yapabileceğini ve hangi koşullar altında değişiklik yapabileceğini kontrol ederek ve bilerek veri geçerliliğini garanti etmek için hangi adımları atabileceğimizi düşünmemizi ister. Veri bütünlüğünüzü sağlamak için: İzni sınırlayın ve
Hangi veri öğelerinin değişiklik gerektirebileceğine odaklanarak kullanıcı izninizi sınırlandırma ayrıcalığı.Verilerinizin çoğu asla olmayacak veya çok nadir olmayacaktır.Bazen buna en küçük ayrıcalık prensibi denir, bu en etkili güvenliğin en iyi uygulamalarından biridir ve genellikle göz ardı edilir ancak uygulanması kolaydır.Ve saldırı, sistem hesabınıza erişmeyi başarırsa, verilere sınırlı bir izin uygulayarak, veri ihlali ve neden olan hasar sınırlı olacaktır.Kullanıcı Değişikliği Günlüğünü Kaydet Mevcut verilerde değişiklikler yapılırsa, hangi değişiklikleri, ne zaman ve kim tarafından nasıl bilirsiniz?Emin olabilir misin?Değişiklik geçerli ve geçerli mi?Kapsamlı ve gerçek zamanlı bir etkinlik günlüğüne sahip olmak, tüm WordPress sistemlerinizde alınan tüm eylemlerin tam görünürlüğünü sağlayacaktır ve iyi güvenlik uygulamalarının temelidir.
Buna ek olarak, her biri ve tüm faaliyetler hakkında arşivleme ve raporlama, yetkinizdeki kurallara ilişkin gizlilik yasasına ve uyum yükümlülüklerine uymanıza yardımcı olacaktır. Kullanılabilirlik Kullanılabilirliği Bizi verilerimizi hazır tutmaya odaklanmaya zorlar ve güvenilir bir şekilde erişilebilir. Böylece, işletmenin kesintisiz devam etmesini sağlamak, çalışanların işlerini yapmasına, müşterilerinizin sipariş vermesine izin verir ve siparişi güvenli bir şekilde yerine getirip gönderebilirsiniz. Durma süresi sadece potansiyel gelir kaybı ile değil, aynı zamanda sisteminizin neden olduğu kullanıcılardan, müşterilerden, müşterilerden ve çalışanlarınızdan güven erozyonu ile ilgilidir. Verilerinizi düzenli olarak yapmak için verilerinizi tavsiye edin, bu yedeklemeyi ofis dışında saklamayı da düşünün. İşte bu temayı geliştiren ve WordPress dosyalarını ve eski dosyaları yerinde saklama güvenlik risklerini tartışan iyi bir makale. İşletmeniz tarafından dayanan altyapı bileşenini gözden geçirmemesini planlayın;
Ağ, sunucu, uygulama vb. Ve planlanan bir eylem planına sahip olun, bu nedenle bu integral öğelerden biri ayrı ayrı veya toplu olarak başarısız olursa, hızlı bir şekilde iyileşebilirsiniz. WordPress web sitenizi sakladığınız ve bu görevlerin çoğunu adınıza kimin halledeceği bir barındırma şirketi kullanabilirsiniz. Bununla birlikte, size sağladıkları süreç ve hizmet düzeyini ve bunların işletme ihtiyaçlarınıza uygun olup olmadıklarını sağlamak için ilgili sorular sormak önemlidir. Örneğin, WordPress yedeklemenizi, güvenlik sistemi testinizi geri yüklemeyi ve felaket kurtarma sürecini simüle etmeyi deneyin. Güvenlik Tehditleri Verilerinizin kullanılabilirliğine ilişkin güvenlik perspektifinden, raporda kaydedilen tüm olayların 1 numaralı tehdidi, çoğunlukla rahatsızlıklar için tasarlanmış ve erişim elde etme çabaları olmayan dağıtılmış Hizmet Reddi (DDOS) saldırısıdır (hackleme ). Birçok WordPress barındırma şirketi bu tür saldırılar için yeterli savunma sağlar. Bununla birlikte, hangi çevre güvenlik hizmetini sunduklarını ve bu eylemin yeterli olup olmadığını veya savunmanızı güçlendirmeniz gerekip gerekmediğini araştırmak her zaman akıllıca olacaktır. Bakım Önleyici Bakım, WordPress web sitenizin ve ilgili eklentilerinizin bilinen güvenlik açığını artırmak için ideal olarak otomatik olarak, daha güçlü güvenlik savunmasına neden olan zamanında güncellenmesini sağlayarak kullanılabilirlikte önemli bir rol oynar. Benjamin Franklin gibi eğitim eğitimi bir zamanlar ‘bir kiloluk tedaviye değecek bir ons önleme’ dedi

, bugün eskisi gibi de geçerli. Ve kullanıcılarınızı tuzakların potansiyeli hakkında eğitmek ve mevcut tehditleri tanımlamak önemli bir önlemdir. Çalışanlar için ilgili eğitimi öğretmek, belirtilen güvenlik politikalarının önemi ve şirketlerin politikayı neden uyguladığı konusunda eğitmek.
Tartıştığımız kimlik avı ve bahane gibi sosyal tehditlere odaklanarak güvenlik risklerini anlamalarına yardımcı olun. Bunun için minnettar olacaklar!
Eve getirmek, kullanıcılara her şeye erişim sağlamak çok daha kolay görünüyor, bu da her zaman ihtiyaç duydukları bilgilere erişeceklerini ve birçoğunun olmamasını sağlıyor. Bu izin düzeyi genellikle erişim haklarını ve ayrıcalıkları değiştirme potansiyel talebini önlemek için kullanıcılara verilir. Ama bu önemli değil. CIA önerileri uygulayarak, erişim (gizlilik) ve modifikasyonu (bütünlük) kişisel ve hassas verilerle sınırlandırarak bir sistem ihlali sistemi varsa, herhangi bir hasarı azaltmak ve sınırlamak için çok ileri gideceksiniz. Ve yasal yükümlülüklerinizi ve uyumluluğunuzu yerine getirmenize yardımcı olur.
Güçlü şifre; Kaba kuvvet saldırılarının başarısını azaltmak.
İki faktör kimlik doğrulaması; çalınan kimlik bilgilerinin kullanımını engeller
En küçük ayrıcalık prensibi; Verilere erişimi sınırlamak ve verilerin değiştirilmesini sınırlamak ve sınırlamak.
Faaliyetlerin kaydedilmesi; Herhangi bir sistemdeki erişim, değişiklik ve değişiklikler hakkında size bilgi verin.
Tüm sistemlerin ve eklentilerin her zaman otomatik olarak güncellendiğinden emin olun.