Articolul Securitate CMS: Cum să vă păstrați site-ul în siguranță

Numărul de site-uri de pe web este în creștere, la fel ca și procentul de site-uri care sunt piratate în fiecare an. Ar putea fi un bot care încearcă să exploateze o vulnerabilitate cunoscută sau un atac direct, direcționat, asupra organizației dvs. În orice caz, ar trebui să adoptați mentalitatea că veți fi piratat . Gândirea în acest fel va încuraja un comportament proactiv și practici mai bune.

Dacă sunteți sceptic că cineva ar dori să vă pirateze site-ul, atunci aruncați o privire la jurnalele dvs. web cândva. Probabil veți găsi dovezi că cineva sau un bot a încercat să pirateze serverul dvs. web. Dacă organizația ta are un profil înalt, s-ar putea să descoperi că se întâmplă în fiecare zi. Este imperativ să știi în prealabil cum se pot produce hackurile, care ar putea fi impactul și cum să atenuezi daunele. Să aruncăm o privire la cum se întâmplă.

Vulnerabilitățile codului

Una dintre cele mai infame exploit-uri care a lovit web-ul a fost o vulnerabilitate în OpenSSL cunoscută sub numele de Heartbleed. OpenSSL este stratul de software care gestionează criptarea pe server pentru tranzacții securizate de date. Lui Heartbleed nu i-a păsat ce sistem de gestionare a conținutului (CMS) ați folosit, deoarece OpenSSL funcționează la un nivel inferior, împreună cu software-ul serverului web. A fost o simplă eroare introdusă de un programator foarte calificat și a fost tipul de greșeală pe care ar fi putut-o face oricine.

Ceea ce a făcut această greșeală atât de remarcabilă este faptul că mai mult de două treimi din toate site-urile web securizate au fost afectate. În ciuda celor peste 100 de colaboratori la OpenSSL și a peste 21.000 de contribuții distincte la cod, această vulnerabilitate simplă nu a fost prinsă și corectată timp de aproape trei ani.

Cele mai recente două exploit-uri de profil înalt, Spectre și Meltdown, ambele au profitat de vulnerabilitățile inerente majorității procesoarelor moderne de computer. Acestea permit utilizatorilor computerelor partajate (cum ar fi serverele web) să arunce o privire peste peretele virtual care separă mediul lor de alte site-uri care rulează pe același hardware.

Cu majoritatea site-urilor web depind de zeci de aplicații distincte, milioane de linii de cod și mii de dezvoltatori individuali (fără a lua în calcul codul site-ului dvs. în sine), putem presupune că există vulnerabilități în fiecare sistem de operare, server web, CMS. și site-ul web.

Configurație necorespunzătoare

Cel mai frecvent motiv pentru care un site va fi spart este configurația inițială slabă. Mulți administratori de site-uri pur și simplu nu sunt foarte experimentați și sunt foarte multe de știut. Configurarea utilizatorilor atât în ​​sistemul de operare, cât și în CMS, gestionarea permisiunilor acelor utilizatori, gestionarea regulilor firewall, configurarea serverului web – lista continuă. Dar toți acești factori sunt esențiali pentru securitate.

Multe articole și ghiduri de utilizare acoperă doar minimul necesar pentru a menține lucrurile simple pentru utilizatorii noi. Acest lucru poate fi bine pentru o persoană fizică sau o afacere de tip mama și pop, dar este inacceptabil pentru o corporație mare, deținută public. La acest nivel, hack-urile nu sunt doar un inconvenient; pot avea un impact grav asupra unei afaceri.

Lipsa de intretinere

Când vulnerabilitățile de cod sunt descoperite, se creează patch-uri și utilizatorilor li se oferă timp pentru a-și actualiza sistemele înainte ca vulnerabilitatea să fie anunțată publicului. Din păcate, multe site-uri web nu sunt corectate în mod regulat. Revenind la exemplul nostru Heartbleed, la mai bine de trei ani după lansarea patch-ului, mai existau încă peste 200.000 de servere web care rulau versiunea veche și vulnerabilă a OpenSSL.

Sistemele moderne de management al conținutului au straturi peste straturi de aplicații. O instalare tipică WordPress va avea un sistem de operare Linux, software de server web, PHP, MySQL și orice număr de plug-in-uri. Toate aceste lucruri trebuie monitorizate și întreținute în mod constant. Este un fapt că mulți furnizori de servicii pur și simplu nu pot ține pasul.

Oamenii fiind oameni

Vulnerabilitățile codului și lipsa de întreținere pot părea înfricoșătoare, dar pot păli în comparație cu riscurile aduse de lăsarea ființelor umane să utilizeze CMS-ul tău. Noi oameni sunt întotdeauna veriga cea mai slabă și agentul principal într-un atac țintit.

Toată lumea vrea să fie de ajutor și să pară deștepți, ceea ce ne face susceptibili în mod inerent la ingineria socială. Anumite solicitări ar trebui să facă să sune alarma, cum ar fi:

• „Bună, sunt Bob de la IT. Primim un trafic anormal care vine de la aparatul tău...”
• „O să-ți trimit niște instrumente de diagnosticare și...”
• „Ești unul dintre utilizatorii noștri cu putere, așa că mă poți ajuta cu...”

Din păcate, aceste tehnici funcționează adesea asupra persoanelor vulnerabile.

O altă capcană comună este practicile proaste pentru parole. Aruncă o privire rapidă la această listă de parole comune. Pare ceva familiar? Arata vreuna dintre acestea ca rădăcina parolei tale sau folosește o tehnică similară?

Dacă da, soluția dvs. nu este unică sau inteligentă și ar trebui să vă schimbați parolele acum! Un atac cu forță brută va începe cu o listă ca aceasta, va introduce variante și, eventual, va găsi parola în câteva minute.

Alături de săraci parola alegerea este reutilizarea aceluiași pe mai multe site-uri. Dacă parola dvs. este compromisă pe un site și ați folosit-o în alte locuri, aveți probleme.

Cum să vă păstrați site-ul în siguranță

Oricine spune „Nu putem fi piratați” este soarta tentant, dar poți minimiza semnificativ riscurile. Iată câteva măsuri de siguranță și procese de bază pe care le puteți pune în aplicare pentru a proteja site-urile de actorii răi.

Obiceiuri bune de securitate

Există câteva lucruri simple pe care utilizatorii dvs. le pot face pentru a reduce semnificativ riscul de a le compromite acreditările:

• Folosiți parole „de expresie”. Potrivit Institutului Național de Standarde și Tehnologii, fraze de acces sunt mai memorabile și mai sigure. Cerințele privind parola cu caractere și numere speciale nu sunt la fel de eficiente.
• Utilizați un manager de parole. Un manager de parole vă va asigura că utilizați parole unice pe fiecare site. De asemenea, puteți stabili și aplica propriile reguli pentru parole.
• Predați arta ingineriei sociale. Oferiți utilizatorilor cunoștințele necesare pentru a o recunoaște în timp ce se întâmplă și încrederea necesară pentru a o închide înainte de a reuși.

Întreținere periodică

Păstrați întotdeauna software-ul la zi cu patch-uri de securitate și versiuni noi. Dacă nu sunteți responsabil pentru întreținerea serverului dvs. web, apăsați pe toți furnizorii dvs. de servicii pentru detalii despre procesele lor, care să asigure stiva dvs. de tehnologie rulează cele mai recente corecții critice.

Acestea includ sisteme de operare, servicii web, partea de server analizatoare, sisteme de management al conținutului, baze de date și toate pluginurile.

Practicile bune de întreținere se extind la hardware-ul dincolo de web-ul dvs servere cum ar fi comutatoare și firewall-uri. Aceste dispozitive trebuie întreținute cu aceeași vigilență și atenție pe care o dedici serverului tău web.

Amintiți-vă, de fiecare dată când se descoperă o nouă exploatare, vă veți găsi fără să doriți într-o cursă cu băieții răi. Trebuie să puneți plasturii la locul lor înainte ca ei să vă găsească. Există multe acțiuni de întreprins și elemente de monitorizat, astfel încât întreținerea serverelor web este o muncă cu normă întreagă.

Păstrează-ți lista de utilizatori autorizați la zi și tăiați întotdeauna pe cei care au părăsit organizația dvs. Coordonați un plan pentru gestionarea rezilierii, deoarece lucrătorii nemulțumiți pot face multe daune în scurt timp.

Eliminați vectorii de atac

Fiecare strat care adaugă cod și complexitate site-ului dvs. web introduce, de asemenea, potențiale vulnerabilități, așa că păstrați stiva dvs. de tehnologie cât mai simplă și simplă posibil. Eliminați toate aplicațiile și serviciile care nu sunt necesare. Rulați numai serviciile care sunt necesare pentru ca site-ul dvs. web și CMS să funcționeze.

Permiteți numai trafic de intrare către serverul dvs. web pe porturile care sunt necesare pentru site-ul dvs. web, CMS sau alte servicii necesare. Nu are rost să expuneți serviciile pe care nu le utilizați.

Limitați accesul la CMS la utilizatorii din rețea sau VPN. Acest lucru vă poate afecta administratorii de conținut, așa că luați în considerare acest compromis cu atenție.

Continuați să rotiți copii de rezervă

Referindu-ne la un punct anterior, cea mai sigură mentalitate este să presupunem că veți fi piratat. Subliniază valoarea păstrării unor copii de rezervă bune. Un plan de backup amănunțit poate include păstrarea a șase backup-uri zilnice rotative, backup-uri la patru săptămâni, șase luni și anuale.

Deoarece hack-urile nu sunt întotdeauna descoperite imediat, nu știi niciodată cât de departe ar putea fi nevoie să mergi. O singură copie de rezervă zilnică este riscantă.

De asemenea, rețineți că simpla setare a planului de rezervă nu este suficientă. Trebuie să verificați în mod regulat dacă toate backup-urile rulează și că puteți recupera din oricare dintre acele copii de rezervă în timp util. Imaginați-vă că descoperiți că backup-urile dvs. nu funcționau doar după ce ați fost piratat... Nu este un scenariu în care oamenii ar vrea să se găsească.

Deci, ce zici de SAM?

Există unele proprietăți unice ale SAM care fac mai dificilă piratarea site-urilor construite cu acest instrument decât site-urile create cu alte sisteme de gestionare a conținutului.

SAM este o singură aplicație care trebuie să fie actualizată, deoarece nu are pluginuri și necesită doar serviciile de bază care sunt componente de bază ale sistemului de operare Windows Server. Dacă te bazezi pe Actualizările automate ale Microsoft, serverul tău va fi întotdeauna corelat.

Și mai demn de remarcat, SAM este un generator de site static. Majoritatea sistemelor de management al conținutului generează pagini la cerere atunci când un utilizator le solicită, dar un generator de site static funcționează prin generarea de pagini și publicarea lor în sistemul de fișiere ori de câte ori există o modificare a conținutului.

CMS-ul nu este necesar pentru ca utilizatorii să vizualizeze site-ul web live, iar SAM poate fi ascuns în rețeaua dvs. Cu alte cuvinte, nu există un CMS vizibil public de piratat! Majoritatea clienților noștri nu sunt niciodată conștienți de distincție, dar este o calitate care diferențiază cu adevărat SAM de mulțime.

Referințe și resurse

• Raport privind tendințele piratate pe site-ul web
• NoHacked: Un an în revizuire
• Securitatea site-urilor web: cum sunt piratate site-urile web?
• Cum vă hack site-ul: Prezentare generală a tehnicilor comune
• Noiembrie 2017 Web Server Survey
• The Heartbleed Bug
• Meltdown și Spectre
• Ghidurile NIST privind identitatea digitală
• Cele mai proaste parole din 2016