ArticleCMS Security: Jak zapewnić bezpieczną witrynę?
Opublikowany: 2022-08-12Liczba witryn w sieci rośnie, podobnie jak odsetek witryn, które każdego roku padają ofiarą hakerów. Może to być bot próbujący wykorzystać znaną lukę w zabezpieczeniach lub bezpośredni, ukierunkowany atak na Twoją organizację. Tak czy inaczej, powinieneś przyjąć nastawienie, że zostaniesz zhakowany . Myślenie w ten sposób zachęci do proaktywnego zachowania i lepszych praktyk.
Jeśli jesteś sceptyczny, czy ktoś chciałby zhakować Twoją witrynę, zajrzyj kiedyś do swoich dzienników internetowych. Prawdopodobnie znajdziesz dowody na to, że ktoś lub jakiś bot próbuje włamać się na Twój serwer internetowy. Jeśli Twoja organizacja jest głośna, może się okazać, że dzieje się to każdego dnia. Konieczna jest wiedza z wyprzedzeniem, w jaki sposób mogą wystąpić włamania, jaki może być ich wpływ i jak złagodzić szkody. Przyjrzyjmy się, jak one się zdarzają.
Luki w kodzie
Jednym z najbardziej niesławnych exploitów, które trafiły do sieci, była luka w OpenSSL znana jako Heartbleed. OpenSSL to warstwa oprogramowania, która obsługuje szyfrowanie na serwerze w celu zapewnienia bezpiecznych transakcji danych. Heartbleed nie dbał o używany system zarządzania treścią (CMS), ponieważ OpenSSL działa na niższym poziomie w połączeniu z oprogramowaniem serwera WWW. Był to prosty błąd wprowadzony przez bardzo wykwalifikowanego programistę i był to rodzaj błędu, który mógł popełnić każdy.
Tym, co sprawiło, że ten błąd jest tak godny uwagi, jest to, że dotyczyło to ponad dwóch trzecich wszystkich bezpiecznych stron internetowych. Pomimo ponad 100 współtwórców OpenSSL i ponad 21 000 odrębnych wkładów kodu, ta prosta luka nie została wyłapana i załatana przez prawie trzy lata.
Dwa najnowsze głośne exploity, Spectre i Meltdown, wykorzystywały luki w zabezpieczeniach większości nowoczesnych procesorów komputerowych. Umożliwiają użytkownikom współdzielonych komputerów (takich jak serwery internetowe) podglądanie przez wirtualną ścianę oddzielającą ich środowisko od innych witryn działających na tym samym sprzęcie.
W przypadku większości witryn zależnych od dziesiątek różnych aplikacji, milionów linijek kodu i tysięcy indywidualnych programistów (nie licząc kodu dla samej witryny), możemy założyć, że w każdym systemie operacyjnym, serwerze WWW, CMS są luki.
Nieprawidłowa konfiguracja
Najczęstszym powodem ataku hakera na witrynę jest nieprawidłowa konfiguracja początkowa. Wielu administratorów witryn po prostu nie jest zbyt doświadczonych, a jest bardzo dużo do poznania. Konfiguracja użytkowników zarówno w systemie operacyjnym jak i CMS, zarządzanie uprawnieniami tych użytkowników, zarządzanie regułami firewalla, konfiguracja serwera WWW – lista jest długa. Ale wszystkie te czynniki mają kluczowe znaczenie dla bezpieczeństwa.
Wiele artykułów i poradników obejmuje tylko absolutne minimum, aby ułatwić nowym użytkownikom. Może to być w porządku dla osoby fizycznej lub firmy typu mom-and-pop, ale jest nie do przyjęcia dla dużej, publicznej korporacji. Na tym poziomie hacki to nie tylko niedogodność; mogą mieć poważny wpływ na biznes.
Brak konserwacji
Gdy luki w kodzie zostaną wykryte, tworzone są łatki, a użytkownicy mają czas na zaktualizowanie swoich systemów, zanim luka zostanie ogłoszona publicznie. Niestety wiele stron internetowych nie jest regularnie aktualizowanych. Wracając do naszego przykładu Heartbleed, ponad trzy lata po opublikowaniu łaty, wciąż istniało ponad 200 000 serwerów sieciowych ze starą, podatną na ataki wersją OpenSSL.
Nowoczesne systemy zarządzania treścią składają się z warstw aplikacji. Typowa instalacja WordPressa będzie miała system operacyjny Linux, oprogramowanie serwera WWW, PHP, MySQL i dowolną liczbę wtyczek. Wszystkie te rzeczy muszą być stale monitorowane i utrzymywane. To fakt, że wielu dostawców usług po prostu nie nadąża.
Ludzie są ludźmi
Luki w kodzie i brak konserwacji mogą wydawać się przerażające, ale mogą blednąć w porównaniu z ryzykiem związanym z umożliwieniem ludziom korzystania z CMS. My
Każdy chce być pomocny i wyglądać mądrze, co sprawia, że jesteśmy z natury podatni na socjotechnikę. Niektóre żądania powinny wywoływać dzwonki alarmowe, takie jak:
- „Cześć, tu Bob z działu IT. Odbieramy nietypowy ruch pochodzący z twojego komputera...”
- „Wyślę ci narzędzia diagnostyczne i…”
- "Jesteś jednym z naszych zaawansowanych użytkowników, więc czy mógłbyś mi pomóc..."
Niestety, te techniki często działają na wrażliwych ludzi.
Inną częstą pułapką są złe praktyki dotyczące haseł. Rzuć okiem na tę listę popularnych haseł. Czy coś wygląda znajomo? Czy któryś z nich wygląda jak katalog główny hasła lub używa podobnej techniki?
Jeśli tak, Twoje rozwiązanie nie jest wyjątkowe ani sprytne i powinieneś zmienić swoje hasła już teraz! Atak typu brute force rozpocznie się od takiej listy, wprowadzi odmiany i być może w ciągu kilku minut znajdzie hasło.
Obok biednych
Jak zapewnić bezpieczną witrynę?
Każdy, kto mówi „nie da się nas zhakować”, kusi los, ale można znacznie zminimalizować ryzyko. Oto kilka podstawowych zabezpieczeń i procesów, które możesz wprowadzić, aby chronić witryny przed złymi podmiotami.
Dobre nawyki bezpieczeństwa
Jest kilka prostych rzeczy, które użytkownicy mogą zrobić, aby znacznie zmniejszyć ryzyko narażenia ich danych logowania:
- Używaj haseł „frazowych”. Według Narodowego Instytutu Standardów i Technologii,
hasła są bardziej zapadające w pamięć i bezpieczne. Wymagania dotyczące hasła ze znakami specjalnymi i cyframi nie są tak skuteczne. - Użyj menedżera haseł. Menedżer haseł pomoże zapewnić, że używasz unikalnych haseł w każdej witrynie. Możesz także ustanowić i egzekwować własne wytyczne dotyczące haseł.
- Naucz sztuki socjotechniki. Daj użytkownikom wiedzę umożliwiającą rozpoznanie tego, gdy się dzieje, i pewność, że wyłączą go, zanim się powiedzie.
Regularna konserwacja
Zawsze aktualizuj oprogramowanie za pomocą poprawek zabezpieczeń i nowych wersji. Jeśli nie jesteś odpowiedzialny za utrzymanie serwera internetowego, naciśnij wszystkich dostawców usług, aby uzyskać szczegółowe informacje na temat ich procesów, które zapewniają, że Twój stos technologiczny uruchamia najnowsze krytyczne poprawki.
Obejmuje to systemy operacyjne, usługi sieciowe,
Dobre praktyki konserwacyjne obejmują sprzęt poza siecią
Pamiętaj, że za każdym razem, gdy zostanie odkryty nowy exploit, niechętnie zaczniesz ścigać się ze złymi facetami. Musisz nałożyć łatki, zanim cię znajdą. Istnieje wiele działań do wykonania i elementów do monitorowania, więc utrzymanie serwerów internetowych to praca na cały etat.
Aktualizuj listę autoryzowanych użytkowników i zawsze przycinaj tych, którzy opuścili Twoją organizację. Skoordynuj plan obsługi wypowiedzeń, ponieważ niezadowoleni pracownicy mogą w krótkim czasie wyrządzić wiele szkód.
Wyeliminuj wektory ataku
Każda warstwa, która dodaje kod i złożoność do Twojej witryny, wprowadza również potencjalne luki w zabezpieczeniach, więc utrzymuj stos technologii tak oszczędny i prosty, jak to tylko możliwe. Usuń wszystkie aplikacje i usługi, które nie są potrzebne. Uruchamiaj tylko te usługi, które są wymagane do działania Twojej witryny i systemu CMS.
Zezwalaj tylko na ruch przychodzący do serwera WWW na portach, które są wymagane dla Twojej witryny, CMS lub innych niezbędnych usług. Nie ma sensu ujawniać usług, z których nie korzystasz.
Ogranicz dostęp do systemu CMS do użytkowników w Twojej sieci lub VPN. Może to mieć wpływ na administratorów treści, więc rozważ ten kompromis ostrożnie.
Kontynuuj rotację kopii zapasowych
Odnosząc się do wcześniejszego punktu, najbezpieczniejszym sposobem myślenia jest założenie, że zostaniesz zhakowany. Podkreśla wartość utrzymywania dobrych kopii zapasowych. Szczegółowy plan tworzenia kopii zapasowych może obejmować przechowywanie sześciu rotacyjnych codziennych kopii zapasowych, kopii zapasowych czterotygodniowych, sześciomiesięcznych i rocznych.
Ponieważ hacki nie zawsze są wykrywane od razu, nigdy nie wiadomo, jak daleko wstecz trzeba się cofnąć. Pojedyncza dzienna kopia zapasowa jest ryzykowna.
Pamiętaj też, że samo ustawienie planu tworzenia kopii zapasowych nie wystarczy. Należy regularnie sprawdzać, czy wszystkie kopie zapasowe są uruchomione i czy można je odzyskać w odpowiednim czasie. Wyobraź sobie, że odkrywasz, że kopie zapasowe nie działały dopiero po zhakowaniu... To nie jest scenariusz, w którym ludzie chcą się znaleźć.
Więc co z SAMem?
Istnieją pewne unikalne właściwości SAM, które utrudniają hakowanie witryn zbudowanych za pomocą tego narzędzia niż witryn zbudowanych za pomocą innych systemów zarządzania treścią.
SAM to pojedyncza aplikacja, którą można aktualizować, ponieważ nie zawiera wtyczek i wymaga tylko podstawowych usług, które są podstawowymi składnikami systemu operacyjnego Windows Server. Jeśli polegasz na automatycznych aktualizacjach firmy Microsoft, Twój serwer będzie zawsze załatany.
Co jeszcze bardziej godne uwagi, SAM jest statycznym generatorem witryn. Większość systemów zarządzania treścią generuje strony na żądanie, gdy użytkownik ich zażąda, ale statyczny generator witryn działa poprzez generowanie stron i publikowanie ich w systemie plików po każdej zmianie treści.
CMS nie jest wymagany, aby użytkownicy mogli oglądać witrynę na żywo, a SAM można ukryć w sieci. Innymi słowy, nie ma publicznie widocznego CMS do zhakowania! Większość naszych klientów nigdy nie zdaje sobie sprawy z tego wyróżnienia, ale jest to jakość, która naprawdę wyróżnia SAM z tłumu.
Referencje i zasoby
- Raport o trendach dotyczących ataków na witrynę internetową
- NoHacked: roczny przegląd
- Bezpieczeństwo witryny: w jaki sposób strony internetowe są hackowane?
- Jak włamują się do Twojej witryny: przegląd popularnych technik
- Ankieta dotycząca serwerów internetowych z listopada 2017 r.
- Błąd Krwawienia Serca
- Meltdown i Spectre
- Wytyczne NIST dotyczące tożsamości cyfrowej
- Najgorsze hasła 2016