Prevenção contra ameaças internas e perda de dados. Guia para sites de Big Media em WordPress

O WordPress é um dos sistemas de gerenciamento de conteúdo mais populares, e por um bom motivo. É fácil de usar, pode ser usado com milhares de temas e plug-ins disponíveis e você pode criar qualquer tipo de site com ele. Não é à toa que o WordPress suporta 40,5% de todos os sites na web.

Mas essa popularidade tem um preço. O WordPress é frequentemente atacado por hackers e insiders. Assim, se um funcionário, que recentemente entrou com pedido de aposentadoria, começar a copiar grandes quantidades de dados da rede da empresa para sua unidade USB, pode não haver, de fato, nenhuma maldade planejada. Talvez essa pessoa só precise salvar alguns arquivos de informações úteis necessários para o próximo trabalho. Infelizmente, as situações em que um funcionário demitido compartilha informações confidenciais do produto, dados legais importantes, dados pessoais do funcionário ou segredos comerciais de concorrentes também são bastante populares.

Algumas empresas podem ter dificuldade até mesmo para detectar esses riscos internos, quanto mais para diferenciar o comportamento rotineiro dos funcionários das anomalias que ameaçam a vantagem competitiva ou a reputação da empresa.

Hoje, veremos como você pode reduzir significativamente a probabilidade de vazamentos de dados do seu site de mídia WP e evitar ameaças internas. Observe que alguns plug-ins como chatbots AI armazenam os dados fora do seu site WP e não estão em risco.

Descubra como publicar em segundos, não em horas

Inscreva-se agora para obter acesso exclusivo ao Wordable, junto com e descobrir como fazer upload, formatar e otimizar conteúdo em segundos, não horas.

Comece a publicar

Sobre ameaças internas

Você provavelmente já ouviu falar sobre essa história com o plug-in WPML WordPress quando em 2019 um ex-funcionário usou uma senha SSH antiga para obter acesso a um endereço WPML genuíno e enviou um e-mail preocupante sobre "falhas de segurança" para todos os usuários do plug-in. No entanto, na verdade não havia “buracos” ou qualquer vulnerabilidade. Aquilo não passava de uma típica ameaça interna de um funcionário insatisfeito.

Ameaças internas acontecem com mais frequência do que você imagina. De acordo com uma pesquisa recente, 55% dos entrevistados afirmaram que sua organização havia sofrido um ataque interno em 2020. Os internos estão envolvidos em pouco menos de um terço de todos os crimes cibernéticos. A pesquisa da PwC descobriu que prestadores de serviços, funcionários regulares e contratados são responsáveis ​​por um grande número de violações de segurança. Um terço dos executivos relatou que os ataques na web cometidos por insiders confiáveis ​​(treinados) resultaram em enormes perdas (financeiras e de reputação) para sua empresa.

É difícil proteger contra ameaças internas. É necessário um certo nível de confiança para que os funcionários façam seu trabalho. Se eles decidirem usar indevidamente essa confiança, não há muito que o proprietário possa fazer até que o dano esteja realmente feito. Mas existem algumas maneiras que os proprietários de negócios preocupados com a segurança podem tomar para reduzir o risco de ameaças internas a seus sites de mídia WordPress.

O que é proteção de sites

A proteção de sites é um processo complexo, portanto, você deve aplicar tantos métodos de proteção quanto possível. Diríamos, você precisa até ser um pouco paranóico a esse respeito. Em outras palavras, se você aplicar 1 ou 2 métodos, isso certamente melhorará a situação, mas apenas um pouco. Mais do que isso - mesmo se você aplicar absolutamente todos os métodos, isso não protegerá totalmente o seu site contra hackers, embora reduza significativamente a probabilidade de um ataque de hack. Qual é o que você precisa.

Aqui está um bom exemplo de hack que reflete toda a essência da proteção. Hacking é quando algo é hackeado (duh) ou quebrado, ou seja, há algo para quebrar. Caso contrário, ou seja, quando não há nada para quebrar, não é mais um hack.

Se, digamos, você deixou a porta de seu apartamento aberta ou deixou as chaves nela e foi roubado, então seu apartamento não estava realmente quebrado - eles apenas entraram, pegaram o que precisavam e foram embora. O mesmo vale para um site - se você não tomou nenhuma medida para proteger seu site, então, se algo der errado com ele, não será um hack. Portanto, para dificultar a invasão ou o roubo de seus dados por intrusos ou internos, você deve pelo menos "trancar as portas".

Educação de funcionários e engenharia social

Seus funcionários devem ser informados sobre sua privacidade, ou seja, devem conhecer as regras básicas de segurança para evitar qualquer vazamento de dados. Portanto, você deve pelo menos proibi-los de compartilhar suas senhas ou quaisquer credenciais de autenticação, mesmo que pareça conveniente para eles.

Embora o antimalware, o software antivírus e as ferramentas de pesquisa de e-mail possam ajudar a identificar esses e-mails maliciosos, é melhor lidar com a engenharia social por meio da educação dos funcionários.

A engenharia social , no contexto da segurança da informação, é a manipulação psicológica de pessoas para realizar determinadas ações ou divulgar informações confidenciais.

Os funcionários devem ser educados sobre como podem ser abordados por intrusos externos e como devem responder a várias solicitações suspeitas. É necessário compreender a engenharia social para evitá-lo. Os funcionários também devem ser testados para identificar quaisquer fraquezas potenciais entre sua equipe.

As equipes da sua empresa também devem evitar o uso de temas WP suspeitos e sempre tentar minimizar o número de plug-ins que usam.

Minimize seus plug-ins WP

No momento, há um grande número de plug-ins WP diferentes que resolvem quase todos os problemas.

Porém, quanto mais plug-ins instalados em seu site de mídia, maior será sua vulnerabilidade. Por quê? Verifique os seguintes motivos:

• Os plug-ins WP podem ser escritos por um desenvolvedor não qualificado e contêm bugs críticos que afetam a segurança do site;
• Os plug-ins WP podem ser “abandonados” pelo programador, ou seja, ficar obsoletos por um longo tempo, tornando-os menos seguros. Os plug-ins, assim como o mecanismo, devem ser atualizados regularmente para reduzir o risco de vulnerabilidades;
• Os plug-ins WP podem entrar em conflito uns com os outros, causando erros.

Digamos que você precise de um formulário de feedback em seu site - em vez de inserir 2-3 plug-ins ou algum ContactForm 7, você pode criar o formulário “manualmente”.

Claro, existem plug-ins dos quais você simplesmente não pode viver - o conselho não é abandoná-los completamente, mas escolher apenas soluções testadas pelo tempo e, se possível, ficar sem eles.

Impedir o compartilhamento de dados externos

Infelizmente, a educação dos funcionários pode ser insuficiente. Compartilhar dados confidenciais de funcionários publicamente ou com terceiros fora da empresa pode ser desastroso. Isso geralmente acontece inadvertidamente, por exemplo, eles podem usar o botão “Responder a todos” em vez do botão “Responder” normal. Em seguida, as informações são enviadas para os endereços de e-mail errados ou algo é inadvertidamente divulgado publicamente.

Você não pode evitar tais incidentes pela educação, porque são apenas erros humanos aos quais todos estamos sujeitos. Softwares personalizados, por exemplo, ferramentas de prevenção de perda de dados (DLP), podem ajudar as organizações a rastrear dados confidenciais e garantir que sua transmissão, seja por e-mail ou outros serviços de Internet, seja restrita ou totalmente bloqueada.

Previna a ameaça Shadow IT

Software, aplicativos ou serviços da Web de terceiros não autorizados costumam ser difíceis de rastrear pela TI, daí o termo “shadow IT”. As razões para a prevalência da shadow IT são bastante simples: os funcionários usam aplicativos populares (como rastreamento de e-mail) devido ao hábito, pois aumentam sua eficiência e reduzem a carga de trabalho ou são mais amigáveis ​​do que as alternativas aprovadas pela empresa.

Isso pode se tornar bastante problemático porque as empresas não estão cientes na maioria das vezes, criando essencialmente um ponto cego nas estratégias de segurança cibernética. Outra ameaça é o baixo nível de segurança desses serviços de terceiros, o que pode levar a vazamentos de dados.

A Shadow IT geralmente resulta da incapacidade de uma empresa de fornecer aos funcionários as ferramentas de que precisam para fazer seu trabalho. As organizações devem ter um diálogo aberto com seus funcionários para entender suas necessidades de tecnologia e fazer o que puderem para atendê-las. Ferramentas de DLP de alta qualidade também podem ajudar as empresas a impedir que funcionários enviem informações confidenciais para esses serviços não autorizados e, monitorando essas tentativas, entender melhor a shadow IT em sua organização.

Aqui está uma lista de ferramentas e serviços DLP confiáveis ​​que você pode usar para proteger os dados de sua empresa:

SecureTrust

McAfee

Endpoint Protector

Symantec

Solarwinds

Ponto de verificação

Trend Micro

Avanan

Zscaler

Use contas separadas para funcionários

Sem contas compartilhadas. Cada membro da equipe de sua equipe precisa de sua própria conta de usuário para tudo. Se, é claro, eles precisarem deles. O ponto é que ninguém pode usar suas senhas antigas, uma vez que não estão mais na equipe.

Em outras palavras, você deve garantir que nenhum ex-funcionário consiga acessar sua conta anterior e roubar os dados da sua empresa.

Use senhas complexas

Já fizemos a analogia (deve haver uma fechadura em suas portas). Se a sua senha for simples, neste caso não há fechadura ou, mais precisamente, os intrusos estão com a chave. Portanto, é altamente recomendável usar senhas fortes e, idealmente, armazená-las apenas em sua cabeça. Não se esqueça de alterar periodicamente suas senhas em todos os lugares, especialmente se o seu site WP já foi hackeado antes.

Isso se refere a senhas complexas para acesso ao seu painel administrativo, controle de hospedagem, conta pessoal, banco de dados, etc. Em outras palavras, suas senhas devem ser necessariamente complexas.

Uma senha complexa tem pelo menos 8 caracteres, que devem ser números, maiúsculas, letras regulares e, é claro, símbolos especiais.

Se você tem um blog WordPress, ou melhor, um blog com vários autores, precisa lidar com vários indivíduos acessando seu painel de administração. Isso pode tornar seu site mais vulnerável a ameaças à segurança.

Você pode usar plug-ins como Password Protect WordPress (PPWP) se quiser ter certeza de que todas as senhas que os usuários criarem são seguras. É apenas uma precaução, mas é melhor do que ter vários usuários com senhas fracas.

Lembre-se, sempre use senhas complexas, tanto para o site quanto para qualquer outra coisa onde uma senha seja exigida, uma vez que uma senha simples, como uma de 3 a 4 dígitos, pode ser escolhida manualmente em alguns minutos.

Use ferramentas de criptografia e limpeza remota

Muitas políticas de proteção de dados se concentram na transferência de dados fora da rede corporativa pela Internet, sem considerar outro método comumente usado: dispositivos portáteis. As unidades USB, em particular, há muito são tóxicas para as estratégias de proteção de dados. Eles são fáceis de perder ou roubar, mas tão fáceis de usar. No entanto, você deve saber que as unidades USB levaram a sérias violações de dados em muitas empresas.

A maneira mais fácil de evitar essas violações é bloquear as portas USB e periféricas ao mesmo tempo. No entanto, a utilidade do USB no local de trabalho não pode ser negada. Para as empresas que ainda desejam usar unidades USB, existem medidas que podem ser tomadas para garantir a segurança. A criptografia é uma das melhores entre elas. Todos os arquivos transferidos para drives USB serão criptografados, ou seja, combinados com uma política de dispositivo confiável que permite que apenas dispositivos identificados como “confiáveis” se conectem aos computadores da empresa.

No ambiente de trabalho cada vez mais móvel de hoje, os funcionários costumam levar seus laptops e dispositivos portáteis para fora do escritório. Seja trabalhando remotamente, visitando clientes ou participando de eventos do setor, os dispositivos de trabalho geralmente escapam da segurança das redes corporativas e se tornam mais vulneráveis ​​a roubos físicos e interferências não autorizadas.

A criptografia é sempre uma boa solução para proteção contra roubo de dados. Quer sejam laptops, smartphones ou drives USB, a criptografia elimina a possibilidade de qualquer pessoa que os roubar acessar os dados. Habilitar opções de apagamento remoto também pode ajudar as organizações a apagar todos os dados em dispositivos roubados à distância.

Atribuir funções e licenças WP

Certifique-se de que cada um de seus funcionários tenha suas próprias funções e permissões adequadas. Assim, tenha em mente que um Administrador terá controle total sobre todos os recursos em seu site e bancos de dados, um Editor será capaz de postar e gerenciar não apenas suas próprias postagens, mas também as de outros escritores, e um Autor terá apenas a habilidade para gerenciar suas próprias publicações.

Portanto, atribua funções WP com sabedoria e lembre-se: assim que seus funcionários saírem, não se esqueça de excluir todas as suas contas para bloquear o acesso.

Restringir a edição de arquivos

Se os usuários tiverem acesso de administrador ao painel de controle do WordPress, eles poderão editar qualquer arquivo que faça parte da instalação do WordPress. Isso também inclui todos os plug-ins e temas.

Se você desabilitar a edição de arquivos, ninguém poderá alterar nenhum dos arquivos - mesmo que um hacker obtenha acesso de administrador ao painel de controle do WordPress. Para fazer isso, adicione o seguinte ao seu arquivo wp-config.php (no final):

define ('DISALLOW_FILE_EDIT', verdadeiro);

Mantenha seu WordPress atualizado

Neste ponto incluímos tudo o que está relacionado com os scripts do seu site, estes são os scripts do próprio WordPress, e seus modelos, e plugins (de novo), todos eles inicialmente não devem conter scripts maliciosos e “buracos”, ou seja, todas as portas devem ser fechadas. Se houver uma vulnerabilidade nos scripts, um hacker pode usá-la para invadir seu site de mídia, ou seja, “entre pela porta”.

Para fechar as “portas”, ou pelo menos fazer isso a tempo, você precisa atualizar constantemente seu site WordPress assim que a atualização estiver disponível. Isso também se aplica a modelos e plug-ins.

Novamente, scripts maliciosos não deveriam estar lá inicialmente, então baixe o WordPress apenas do site oficial, não use modelos gratuitos, eles podem conter vulnerabilidades, alguns links ocultos e coisas assim.

Remova plug-ins desnecessários. Se você não tiver um plug-in em uso, desative-o primeiro e depois exclua-o (os arquivos do plug-in que acabaram de ser desativados ainda permanecem no servidor).

Em outras palavras, você deve ter uma ordem completa em seus scripts, ou seja, apenas o que você realmente precisa nas versões atuais. Scripts bagunçados tornarão seu site mais acessível para um hacker ou insider.

Além disso, certifique-se de estar usando temas WP de qualidade, ou seja, atualizados por seus criadores.

Bloqueio de sites e banimento de usuários

Um recurso de bloqueio de site para tentativas de login malsucedidas pode resolver um grande problema de tentativas contínuas de senha. Sempre que houver uma tentativa de invasão com senhas incorretas repetidas, o site será bloqueado e você será notificado sobre essa atividade não autorizada.

O plugin iThemes Security é um dos melhores plugins para isso. Nós mesmos o usamos há algum tempo. O plugin tem muito a oferecer a esse respeito. Junto com mais de 30 outras ótimas medidas de segurança, você pode especificar um certo número de tentativas de login malsucedidas antes que o plug-in bloqueie o endereço IP do invasor.

Segurança Sucuri

Sucuri é uma das líderes mais conhecidas do setor de segurança cibernética. Atualmente tem mais de 400.000 usuários ativos, é gratuito e atualizado regularmente.

O Sucuri Security não é um plugin de segurança universal. Ele se concentra no básico, como verificação e monitoramento de atividades maliciosas, mas faz seu trabalho muito bem. O plugin vem com monitoramento de integridade de arquivo para ver se algum dos arquivos principais é afetado ou se há alguma vulnerabilidade. É uma das melhores soluções para pequenos sites e blogs WP.

A Sucuri também inclui verificação de malware e monitoramento de lista negra. O melhor recurso do plugin, porém, são as ações de segurança pós-hack, que basicamente fornecem dicas sobre o que fazer se o seu site for hackeado ou afetado por malware.

Sucuri Pros

• Projetado por uma empresa confiável e atualizado regularmente;
• Ferramenta eficaz de verificação de malware que detecta atividades incomuns no site;
• Alertas de segurança e auditoria irão notificá-lo sobre qualquer comportamento incomum no site;
• Capacidade de monitorar a integridade do arquivo.

Sucuri Cons

• O firewall do site está incluído apenas no plano premium;
• A interface parece um pouco desatualizada;
• Não é adequado para iniciantes.

Sistema Ekran

A Ekran System está construindo uma plataforma de gerenciamento de ameaças internas que é conhecida por seu sistema inteligente de alerta de incidentes e ferramentas de monitoramento avançadas para administradores de TI.

Uma das principais vantagens do Ekran é sua versatilidade. As soluções do fornecedor combinam três ferramentas de segurança principais: monitoramento de atividades, controle de acesso e identificação do usuário. A funcionalidade é fornecida em uma única plataforma de software multifuncional que fornece agentes “leves” para todos os tipos de terminais.

O monitoramento e a gravação das sessões do usuário no Sistema Ekran são realizadas com um módulo de gravação de tela avançado. Essas informações também são complementadas com dados sobre nomes de aplicativos, URLs visitados, arquivos abertos, comandos inseridos, toques no teclado, dispositivos conectados e outras atividades dos funcionários.

O Sistema Ekran é uma plataforma única que ajudará as empresas a ter confiança na segurança de seus dados.

Conclusão

O crime cibernético está ganhando força rapidamente e, devido à pandemia em andamento, há ainda mais criminosos na Web hoje em dia do que no mundo real. Crimes de fraude bancária e de cartão de crédito estão aumentando, hackers estão se espalhando e precisamos proteger nossos sites com todas as opções que podemos usar.

Embora o WordPress tenha algumas vulnerabilidades quando instalado por padrão, você pode resolver quase todos os problemas que tiver, incluindo as ameaças à segurança mencionadas neste artigo. Ao definir um nome de usuário exclusivo e uma senha forte, instalar um plug-in de segurança, usar uma ferramenta DLP de alta qualidade e educar seus funcionários, você pode reduzir significativamente o risco de vazamentos de dados e de seu site ser comprometido ou infectado por malware.

Agora, gostaríamos de dizer que, para evitar a perda de conteúdo importante em seu site de mídia WP, além de todos os itens acima, você nunca deve se esquecer dos backups do site. Assim, se o seu site for hackeado, você sempre pode restaurar rapidamente o seu funcionamento normal e analisar os motivos do hack para eliminá-los e prevenir situações semelhantes no futuro. A propósito, algumas empresas de hospedagem fazem backups automaticamente.

Se você tiver um backup do site, poderá restaurar o seu site WordPress para a condição de funcionamento a qualquer momento. Existem vários plug-ins que podem ajudá-lo nesse aspecto.

Se você está procurando uma solução premium, recomendamos o VaultPress da Automattic (agora com tecnologia Jetpack). Configuramos para que faça backup todas as semanas. E se algo de ruim acontecer, podemos facilmente restaurar o site com um único clique.

Sabemos que alguns grandes sites executam backups a cada hora, mas isso é um exagero para a maioria das organizações. Sem mencionar que você precisará certificar-se de que a maioria desses backups seja removida após a criação de um novo, já que cada arquivo de backup ocupa espaço em disco em sua unidade. Ainda assim, recomendamos backups semanais ou mensais para a maioria das organizações.

Além dos backups, o VaultPress também verifica os sites em busca de malware e alerta você se algo suspeito ocorrer.