Zagrożenia wewnętrzne i zapobieganie utracie danych. Przewodnik po witrynach Big Media na WordPress

WordPress jest jednym z najpopularniejszych systemów zarządzania treścią i nie bez powodu. Jest łatwy w użyciu, można go używać z tysiącami dostępnych motywów i wtyczek, a także można za jego pomocą stworzyć dowolny rodzaj strony internetowej. Nic dziwnego, że WordPress obsługuje 40,5% wszystkich witryn w sieci.

Ale ta popularność ma swoją cenę. WordPress jest często atakowany przez hakerów i insiderów. Jeśli więc pracownik, który niedawno złożył wniosek o przejście na emeryturę, zacznie kopiować duże ilości danych z firmowej sieci na swój dysk USB, w rzeczywistości może nie być planowanej złośliwości. Może ta osoba po prostu musi zapisać kilka przydatnych plików informacyjnych potrzebnych do następnej pracy. Niestety dość popularne są również sytuacje, w których odchodzący pracownik udostępnia poufne informacje o produktach, ważne dane prawne, dane osobowe pracowników lub tajemnice handlowe konkurencji.

Niektóre firmy mogą mieć trudności z wykryciem takich wewnętrznych zagrożeń, nie mówiąc już o rozróżnieniu między rutynowym zachowaniem pracowników a anomaliami, które zagrażają przewadze konkurencyjnej lub reputacji firmy.

Dzisiaj przyjrzymy się, w jaki sposób można znacznie zmniejszyć prawdopodobieństwo wycieku danych z witryny WP media i zapobiegać zagrożeniom wewnętrznym. Pamiętaj, że niektóre wtyczki, takie jak chatboty AI, przechowują dane poza Twoją witryną WP i nie są zagrożone.

Dowiedz się, jak publikować w kilka sekund, a nie godzin

Zarejestruj się teraz, aby uzyskać wyłączny dostęp do Wordable, a także dowiedzieć się, jak przesyłać, formatować i optymalizować zawartość w ciągu kilku sekund, a nie godzin.

Rozpocznij publikację

Informacje o zagrożeniach wewnętrznych

Prawdopodobnie słyszałeś o tej historii z wtyczką WordPress WPML, gdy w 2019 roku były pracownik użył starego hasła SSH, aby uzyskać dostęp do prawdziwego adresu WPML i wysłał wiadomość e-mail o „lukach bezpieczeństwa” do wszystkich użytkowników wtyczki. Jednak w rzeczywistości nie było żadnych „dziur” ani żadnej luki. To było tylko typowe zagrożenie ze strony nieszczęśliwego pracownika.

Zagrożenia wewnętrzne zdarzają się częściej, niż mogłoby się wydawać. Według niedawnego sondażu 55% respondentów stwierdziło, że ich organizacja padła ofiarą ataku wewnętrznego w 2020 roku. Insiderzy biorą udział w nieco mniej niż jednej trzeciej wszystkich cyberprzestępczości. Ankieta PwC wykazała, że ​​dostawcy usług, pracownicy szeregowi i kontrahenci są odpowiedzialni za ogromną liczbę naruszeń bezpieczeństwa. Jedna trzecia kadry kierowniczej poinformowała, że ​​ataki sieciowe dokonywane przez zaufanych (przeszkolonych) insiderów przyniosły ogromne straty (zarówno finansowe, jak i wizerunkowe) dla ich firmy.

Przed zagrożeniami wewnętrznymi trudno się chronić. Wykonywanie swojej pracy wymaga od pracowników pewnego poziomu zaufania. Jeśli zdecydują się nadużyć tego zaufania, właściciel niewiele może zrobić, dopóki szkoda nie zostanie faktycznie wyrządzona. Istnieje jednak kilka sposobów, które właściciele firm dbający o bezpieczeństwo mogą podjąć, aby zmniejszyć ryzyko zagrożeń wewnętrznych w swoich witrynach multimedialnych WordPress.

Co to jest ochrona witryny

Ochrona witryny to złożony proces, dlatego musisz zastosować jak najwięcej metod ochrony. Powiedzielibyśmy, że pod tym względem trzeba być nawet trochę paranoikiem. Innymi słowy, jeśli zastosujesz 1 lub 2 metody, to oczywiście poprawi sytuację, ale tylko nieznacznie. Co więcej – nawet jeśli zastosujesz absolutnie wszystkie metody, nie zabezpieczy to w pełni Twojej witryny przed włamaniem, chociaż znacznie zmniejszy prawdopodobieństwo ataku hakerskiego. Właśnie tego potrzebujesz.

Oto ładny przykład hackowania, który odzwierciedla całą istotę ochrony. Hakowanie ma miejsce wtedy, gdy coś zostaje zhakowane (duh) lub zepsute, tj. jest coś do złamania. W przeciwnym razie, np. gdy nie ma nic do złamania, to już nie jest hack.

Jeśli, powiedzmy, zostawiłeś drzwi do mieszkania otwarte lub zostawiłeś w nich klucze i zostałeś okradziony, to twoje mieszkanie nie było tak naprawdę włamane – po prostu weszli do niego, zabrali to, czego potrzebowali, i wyszli. To samo dotyczy strony internetowej – jeśli nie podjęłeś żadnych działań w celu zabezpieczenia swojej witryny, to jeśli coś pójdzie z nią nie tak, nie będzie to włamanie. Dlatego, aby utrudnić intruzom lub osobom wtajemniczonym włamanie się lub kradzież danych, należy przynajmniej „zamknąć drzwi”.

Edukacja pracowników i inżynieria społeczna

Twoi pracownicy muszą być świadomi swojej prywatności, tzn. muszą znać podstawowe zasady bezpieczeństwa, aby zapobiec wyciekom danych. Dlatego musisz przynajmniej zabronić im udostępniania swoich haseł lub jakichkolwiek danych uwierzytelniających, nawet jeśli wydaje im się to wygodne.

Chociaż oprogramowanie chroniące przed złośliwym oprogramowaniem, oprogramowanie antywirusowe i narzędzia do wyszukiwania wiadomości e-mail mogą pomóc w identyfikacji takich złośliwych wiadomości e-mail, najlepiej radzić sobie z socjotechniką poprzez edukację pracowników.

Inżynieria społeczna , w kontekście bezpieczeństwa informacji, to psychologiczna manipulacja ludźmi w celu podjęcia określonych działań lub ujawnienia poufnych informacji.

Pracownicy powinni być edukowani, w jaki sposób mogą się do nich zwracać intruzi z zewnątrz i jak powinni reagować na różne podejrzane prośby. Aby temu zapobiec, konieczne jest zrozumienie socjotechniki. Pracownicy powinni również zostać przetestowani, aby zidentyfikować wszelkie potencjalne słabości wśród pracowników.

Zespoły Twojej firmy muszą również unikać używania podejrzanych motywów WP i zawsze starać się minimalizować liczbę używanych wtyczek.

Zminimalizuj swoje wtyczki WP

W tej chwili istnieje ogromna liczba różnych wtyczek WP, które rozwiązują prawie każdy problem.

Ale im więcej wtyczek jest zainstalowanych w Twojej witrynie multimedialnej, tym większa jest jej podatność. Czemu? Sprawdź następujące powody:

• Wtyczki WP mogą być napisane przez niewykwalifikowanego programistę i zawierać krytyczne błędy, które wpływają na bezpieczeństwo witryny;
• Wtyczki WP mogą zostać „porzucone” przez programistę, czyli pozostawione na długo przestarzałe, przez co są mniej bezpieczne. Wtyczki, a także silnik, muszą być regularnie aktualizowane, aby zmniejszyć ryzyko wystąpienia luk;
• Wtyczki WP mogą ze sobą kolidować, powodując błędy.

Powiedzmy, że potrzebujesz formularza zwrotnego na swojej stronie – zamiast wstawiać 2-3 wtyczki lub jakiś ContactForm 7, możesz utworzyć formularz „ręcznie”.

Oczywiście są wtyczki, bez których po prostu nie można się obejść – rada nie polega na tym, aby całkowicie je porzucić, ale wybrać tylko sprawdzone rozwiązania, a jeśli to możliwe, obejść się bez nich.

Zapobiegaj zewnętrznemu udostępnianiu danych

Niestety wykształcenie pracowników może być niewystarczające. Udostępnianie poufnych danych pracowników publicznie lub stronom trzecim spoza firmy może być katastrofalne. Zwykle dzieje się to nieumyślnie, np. mogą użyć przycisku „Odpowiedz wszystkim” zamiast zwykłego „Odpowiedz”. Następnie informacje są wysyłane na niewłaściwe adresy e-mail lub coś jest nieumyślnie ujawniane publicznie.

Nie można zapobiec takim incydentom poprzez edukację, ponieważ są to po prostu ludzkie błędy, na które wszyscy jesteśmy narażeni. Oprogramowanie niestandardowe, np. narzędzia do zapobiegania utracie danych (DLP), może pomóc organizacjom w śledzeniu poufnych danych i zapewnić, że ich transmisja, czy to za pośrednictwem poczty elektronicznej, czy innych usług internetowych, jest ograniczona lub całkowicie zablokowana.

Zapobiegaj zagrożeniom informatycznym w cieniu

Nieautoryzowane oprogramowanie, aplikacje lub usługi internetowe innych firm są często trudne do wyśledzenia przez dział IT, stąd termin „utajone IT”. Przyczyny rozpowszechnienia shadow IT są dość proste: pracownicy korzystają z popularnych aplikacji (takich jak śledzenie poczty e-mail) ze względu na przyzwyczajenie, ponieważ zwiększają ich wydajność i zmniejszają obciążenie lub są bardziej przyjazne dla użytkownika niż alternatywy zatwierdzone przez firmę.

Może to stać się dość problematyczne, ponieważ firmy przez większość czasu są nieświadome, tworząc w zasadzie martwy punkt w strategiach cyberbezpieczeństwa. Innym zagrożeniem jest niski poziom bezpieczeństwa tych usług stron trzecich, co może prowadzić do wycieków danych.

Shadow IT zwykle wynika z niemożności zapewnienia pracownikom przez firmę narzędzi, których potrzebują do wykonywania swojej pracy. Organizacje powinny prowadzić otwarty dialog ze swoimi pracownikami, aby zrozumieć ich potrzeby technologiczne i zrobić, co w ich mocy, aby im sprostać. Wysokiej jakości narzędzia DLP mogą również pomóc firmom zapobiegać przesyłaniu przez pracowników poufnych informacji do tych nieautoryzowanych usług, a poprzez monitorowanie tych prób lepiej zrozumieć ukryte IT w ich organizacji.

Oto lista niezawodnych narzędzi i usług DLP, których możesz użyć do ochrony danych firmy:

BezpieczneZaufanie

McAfee

Ochrona punktów końcowych

Symantec

Wiatry słoneczne

Punkt kontrolny

Trend Micro

Avanan

Skaler Z

Korzystaj z oddzielnych kont dla pracowników

Brak współdzielonych kont. Każdy członek Twojego zespołu potrzebuje do wszystkiego własnego konta użytkownika. Jeśli oczywiście w ogóle ich potrzebują. Chodzi o to, że nikt nie może używać starych haseł, gdy nie jest już w zespole.

Innymi słowy, musisz upewnić się, że żaden z byłych pracowników nie będzie mógł uzyskać dostępu do swojego starego konta i wykraść danych Twojej firmy.

Używaj złożonych haseł

Podaliśmy już analogię (w twoich drzwiach musi być zamek). Jeśli twoje hasło jest proste, w tym przypadku nie ma zamka, a dokładniej, intruzi mają klucz. Dlatego zdecydowanie zalecamy używanie silnych haseł i najlepiej przechowywać je tylko w głowie. Nie zapomnij o okresowej zmianie haseł wszędzie, zwłaszcza jeśli Twoja witryna WP została już wcześniej zhakowana.

Odnosi się to do złożonych haseł dostępu do panelu administracyjnego, kontroli hostingu, konta osobistego, bazy danych itp. Innymi słowy, Twoje hasła muszą być z konieczności skomplikowane.

Złożony hasło ma co najmniej 8 znaków, które mają być cyfry, litery, regularne litery i, oczywiście, specjalne symbole.

Jeśli prowadzisz blog WordPress, a raczej blog z wieloma autorami, musisz mieć do czynienia z wieloma osobami, które mają dostęp do Twojego panelu administracyjnego. Może to sprawić, że Twoja witryna będzie bardziej podatna na zagrożenia bezpieczeństwa.

Możesz użyć wtyczek, takich jak Ochrona hasłem WordPress (PPWP), jeśli chcesz mieć pewność, że wszystkie hasła tworzone przez użytkowników są bezpieczne. To tylko środek ostrożności, ale jest to lepsze niż posiadanie wielu użytkowników ze słabymi hasłami.

Pamiętaj, zawsze używaj skomplikowanych haseł, zarówno do witryny, jak i do wszystkiego, gdzie wymagane jest hasło, ponieważ proste hasło, na przykład składające się z 3-4 cyfr, można nawet wybrać ręcznie w ciągu kilku minut.

Użyj narzędzi do szyfrowania i zdalnego czyszczenia

Wiele polityk ochrony danych koncentruje się na przesyłaniu danych poza sieć firmową przez Internet, bez uwzględniania innej powszechnie stosowanej metody: urządzeń przenośnych. W szczególności dyski USB od dawna są toksyczne dla strategii ochrony danych. Łatwo je zgubić lub ukraść, ale tak łatwe w użyciu. Należy jednak wiedzieć, że dyski USB doprowadziły do ​​poważnych naruszeń bezpieczeństwa danych w wielu firmach.

Najprostszym sposobem zapobiegania takim włamaniom jest jednoczesne zablokowanie portów USB i peryferyjnych. Nie można jednak zaprzeczyć przydatności USB w miejscu pracy. Firmy, które nadal chcą korzystać z dysków USB, mogą podjąć pewne działania w celu zapewnienia bezpieczeństwa. Szyfrowanie jest jednym z najlepszych wśród nich. Wszystkie pliki przesyłane na dyski USB zostaną zaszyfrowane, tj. połączone z polityką zaufanych urządzeń, która zezwala tylko urządzeniom zidentyfikowanym jako „zaufane” na łączenie się z komputerami firmy.

W dzisiejszym, coraz bardziej mobilnym środowisku pracy, pracownicy często zabierają laptopy i urządzenia przenośne poza biuro. Niezależnie od tego, czy pracujesz zdalnie, odwiedzasz klientów, czy uczestniczysz w wydarzeniach branżowych, urządzenia robocze często wymykają się bezpieczeństwu sieci korporacyjnych i stają się bardziej podatne zarówno na fizyczną kradzież, jak i na nieautoryzowane ingerencje.

Szyfrowanie jest zawsze dobrym rozwiązaniem chroniącym przed kradzieżą danych. Niezależnie od tego, czy są to laptopy, smartfony, czy dyski USB, szyfrowanie eliminuje możliwość uzyskania dostępu do danych przez każdego, kto je ukradnie. Włączenie opcji zdalnego czyszczenia może również pomóc organizacjom usunąć wszystkie dane ze skradzionych urządzeń na odległość.

Przypisz role WP i pozwolenia

Upewnij się, że każdy z Twoich pracowników ma swoją własną rolę i uprawnienia. Dlatego należy pamiętać, że administrator będzie miał pełną kontrolę nad wszystkimi funkcjami w witrynie i bazach danych, redaktor będzie mógł publikować i zarządzać nie tylko własnymi postami, ale także postami innych autorów, a autor będzie miał tylko możliwość do zarządzania własnymi publikacjami.

Przypisuj więc role WP mądrze i pamiętaj: gdy Twoi pracownicy odejdą, nie zapomnij usunąć wszystkich ich kont, aby zablokować dostęp.

Ogranicz edycję plików

Jeśli użytkownicy mają dostęp administratora do panelu sterowania WordPress, mogą edytować dowolne pliki, które są częścią instalacji WordPress. Dotyczy to również wszystkich wtyczek i motywów.

Jeśli wyłączysz edycję plików, nikt nie będzie mógł zmienić żadnego z plików – nawet jeśli haker uzyska dostęp administratora do panelu sterowania WordPress. Aby to zrobić, dodaj do swojego pliku wp-config.php (na samym końcu):

define('DISALLOW_FILE_EDIT', prawda);

Aktualizuj swój WordPress

W tym miejscu zawarliśmy wszystko, co wiąże się ze skryptami Twojej witryny, są to skrypty samego WordPressa, Twoje szablony i wtyczki (znowu), wszystkie początkowo nie powinny zawierać złośliwych skryptów i „dziur”, tj. wszystkie drzwi muszą być zamknięte. Jeśli w skryptach jest luka, haker może ją wykorzystać do włamania się na Twoją witrynę medialną, tj. „wejdź przez drzwi”.

Aby zamknąć „drzwi” lub przynajmniej zrobić to na czas, musisz stale aktualizować swoją witrynę WordPress, gdy aktualizacja będzie dostępna. Dotyczy to również szablonów i wtyczek.

Ponownie, złośliwe skrypty nie powinny tam być początkowo, więc pobieraj WordPress tylko z oficjalnej strony, nie używaj darmowych szablonów, mogą one zawierać luki w zabezpieczeniach, niektóre linki w tle i tym podobne.

Usuń niepotrzebne wtyczki. Jeśli nie używasz wtyczki, najpierw ją dezaktywuj, a następnie usuń (pliki wtyczek, które właśnie zostały dezaktywowane, nadal pozostają na serwerze).

Innymi słowy, powinieneś mieć pełne uporządkowanie w swoich skryptach, tj. mieć tylko to, czego naprawdę potrzebujesz w aktualnych wersjach. Brudne skrypty sprawią, że Twoja witryna będzie bardziej dostępna dla hakera lub osoby z wewnątrz.

Upewnij się również, że korzystasz z wysokiej jakości motywów WP, czyli zaktualizowanych przez ich twórców.

Blokowanie witryn i banowanie użytkowników

Funkcja blokowania witryn w przypadku nieudanych prób logowania może rozwiązać ogromny problem ciągłych prób podania hasła. Za każdym razem, gdy nastąpi próba włamania z powtarzającymi się nieprawidłowymi hasłami, witryna zostaje zablokowana, a Ty otrzymujesz powiadomienie o tej nieautoryzowanej aktywności.

Wtyczka iThemes Security jest jedną z najlepszych do tego celu. Sami go używamy od dłuższego czasu. Wtyczka ma w tym zakresie wiele do zaoferowania. Wraz z ponad 30 innymi świetnymi środkami bezpieczeństwa, możesz określić pewną liczbę nieudanych prób logowania, zanim wtyczka zablokuje adres IP atakującego.

Bezpieczeństwo Sucuri

Sucuri to jeden ze znanych liderów branży cyberbezpieczeństwa. Obecnie ma ponad 400 000 aktywnych użytkowników, jest bezpłatny i regularnie aktualizowany.

Sucuri Security nie jest uniwersalną wtyczką bezpieczeństwa. Koncentruje się na podstawach, takich jak skanowanie i monitorowanie złośliwej aktywności, ale wykonuje swoją pracę naprawdę dobrze. Wtyczka jest dostarczana z monitorowaniem integralności plików, aby sprawdzić, czy którykolwiek z podstawowych plików jest zagrożony lub czy istnieją jakieś luki. To jedno z najlepszych rozwiązań dla małych serwisów WP i blogów.

Sucuri obejmuje również skanowanie złośliwego oprogramowania i monitorowanie czarnej listy. Najlepszą cechą wtyczki są jednak działania zabezpieczające po zhakowaniu, które w zasadzie dają wskazówki, co zrobić, jeśli Twoja witryna została zhakowana lub zaatakowana przez złośliwe oprogramowanie.

Sucuri Plusy

• Zaprojektowany przez rzetelną firmę i regularnie aktualizowany;
• Skuteczne narzędzie do skanowania złośliwego oprogramowania, które wykrywa nietypową aktywność witryny;
• Alerty bezpieczeństwa i audyt poinformują Cię o każdym nietypowym zachowaniu na stronie;
• Możliwość monitorowania integralności plików.

Sucuri Wady

• Zapora witryny jest zawarta tylko w abonamencie premium;
• Interfejs wydaje się nieco przestarzały;
• Nie nadaje się dla początkujących.

Ekran Systemu

Ekran System buduje platformę do zarządzania zagrożeniami wewnętrznymi, która jest znana z inteligentnego systemu ostrzegania o incydentach i zaawansowanych narzędzi monitorujących dla administratorów IT.

Kluczową zaletą Ekranu jest jego wszechstronność. Rozwiązania dostawcy łączą w sobie trzy główne narzędzia bezpieczeństwa: monitorowanie aktywności, kontrolę dostępu i identyfikację użytkownika. Funkcjonalność zapewnia pojedyncza platforma oprogramowania typu „wszystko w jednym”, która zapewnia „lekkich” agentów dla wszystkich typów punktów końcowych.

Monitorowanie i rejestracja sesji użytkowników w Ekran System odbywa się za pomocą zaawansowanego modułu nagrywania ekranu. Informacje te są również uzupełniane danymi o nazwach aplikacji, odwiedzanych adresach URL, otwieranych plikach, wprowadzanych poleceniach, naciśnięciach klawiatury, podłączonych urządzeniach i innej aktywności pracowników.

Ekran System to wyjątkowa platforma, która pomoże firmom mieć pewność co do bezpieczeństwa ich danych.

Wniosek

Cyberprzestępczość szybko nabiera tempa, a ze względu na trwającą pandemię w sieci jest obecnie jeszcze więcej przestępców niż w prawdziwym świecie. Wzrasta liczba przestępstw związanych z oszustwami związanymi z kartami kredytowymi i bankowymi, rozprzestrzeniają się hakerzy, a my musimy chronić nasze witryny za pomocą wszystkich dostępnych opcji.

Chociaż domyślnie instalowany WordPress ma pewne luki w zabezpieczeniach, możesz rozwiązać prawie każdy problem, w tym zagrożenia bezpieczeństwa wymienione w tym artykule. Ustawiając unikalną nazwę użytkownika i silne hasło, instalując wtyczkę bezpieczeństwa, używając wysokiej jakości narzędzia DLP i edukując swoich pracowników, możesz znacznie zmniejszyć ryzyko wycieku danych i włamania lub zainfekowania Twojej witryny złośliwym oprogramowaniem.

Teraz chcielibyśmy powiedzieć, że aby zapobiec utracie ważnych treści w witrynie WP media, oprócz wszystkich powyższych, nigdy nie wolno zapominać o kopiach zapasowych witryny. Dzięki temu, jeśli Twoja witryna zostanie zhakowana, zawsze możesz szybko przywrócić jej normalne działanie i przeanalizować przyczyny włamań, aby je wyeliminować i zapobiec podobnym sytuacjom w przyszłości. Nawiasem mówiąc, niektóre firmy hostingowe automatycznie wykonują kopie zapasowe.

Jeśli masz kopię zapasową witryny, możesz w dowolnym momencie przywrócić swoją witrynę WordPress do stanu roboczego. Istnieje kilka wtyczek, które mogą Ci w tym pomóc.

Jeśli szukasz rozwiązania premium, polecamy VaultPress firmy Automattic (teraz wspierany przez Jetpack). Skonfigurowaliśmy go tak, aby co tydzień tworzył kopię zapasową. A jeśli stanie się coś złego, jednym kliknięciem przywrócimy witrynę.

Wiemy, że niektóre duże witryny internetowe wykonują kopie zapasowe co godzinę, ale dla większości organizacji jest to kompletna przesada. Nie wspominając o tym, że musisz upewnić się, że większość tych kopii zapasowych zostanie usunięta po utworzeniu nowej, ponieważ każdy plik kopii zapasowej zajmuje miejsce na dysku. Mimo to w przypadku większości organizacji zalecamy tworzenie kopii zapasowych co tydzień lub co miesiąc.

Oprócz tworzenia kopii zapasowych VaultPress sprawdza również witryny internetowe pod kątem złośliwego oprogramowania i ostrzega, jeśli wystąpi coś podejrzanego.