Инсайдерские угрозы и предотвращение потери данных. Руководство для крупных медиа-сайтов на WordPress

WordPress - одна из самых популярных систем управления контентом, и не зря. Он прост в использовании, может использоваться с тысячами доступных тем и плагинов, и с его помощью вы можете создавать веб-сайты любого типа. Неудивительно, что WordPress поддерживает 40,5% всех веб-сайтов в Интернете.

Но за эту популярность приходится платить. WordPress часто атакуют хакеры и инсайдеры. Таким образом, если сотрудник, недавно вышедший на пенсию, начинает копировать большие объемы данных из сети компании на свой USB-накопитель, на самом деле, возможно, это и не запланированный злой умысел. Возможно, этому человеку просто нужно сохранить файлы с полезной информацией, необходимые для следующей работы. К сожалению, ситуации, когда увольняющийся сотрудник делится конфиденциальной информацией о продукте, важными юридическими данными, личными данными сотрудников или коммерческой тайной конкурентов, также довольно популярны.

Некоторым компаниям может быть сложно даже обнаружить такие внутренние риски, не говоря уже о различении между обычным поведением сотрудников и аномалиями, которые угрожают конкурентному преимуществу или репутации компании.

Сегодня мы рассмотрим, как вы можете значительно снизить вероятность утечки данных с вашего медиа-сайта WP и предотвратить внутренние угрозы. Обратите внимание, что некоторые плагины, такие как чат-боты AI, хранят данные за пределами вашего сайта WP и не подвергаются риску.

Узнайте, как публиковать за секунды, а не часы

Зарегистрируйтесь сейчас, чтобы получить эксклюзивный доступ к Wordable, а также узнать, как загружать, форматировать и оптимизировать контент за секунды, а не часы.

Начать публикацию

Об инсайдерских угрозах

Вы, наверное, слышали об этой истории с плагином WPML WordPress, когда в 2019 году бывший сотрудник использовал старый пароль SSH, чтобы получить доступ к подлинному адресу WPML, и отправил всем пользователям плагина электронное письмо о «дырах в безопасности». Однако на самом деле никаких «дыр» или какой-либо уязвимости не было. Это была не что иное, как типичная внутренняя угроза от несчастного сотрудника.

Внутренние угрозы случаются чаще, чем вы думаете. Согласно недавнему опросу, 55% респондентов заявили, что их организация подверглась инсайдерской атаке в 2020 году. Инсайдеры участвуют в чуть менее трети всех киберпреступлений. Опрос PwC показал, что поставщики услуг, штатные сотрудники и подрядчики несут ответственность за огромное количество нарушений безопасности. Треть руководителей сообщили, что веб-атаки, совершенные доверенными (обученными) инсайдерами, привели к огромным потерям (как финансовым, так и репутационным) для их компаний.

От внутренних угроз сложно защититься. От сотрудников требуется определенное доверие, чтобы выполнять свою работу. Если они решат злоупотребить доверием, владелец мало что сможет сделать, пока не будет нанесен реальный ущерб. Но есть несколько способов, с помощью которых владельцы бизнеса, заботящиеся о безопасности, могут снизить риск инсайдерских угроз для своих медиа-сайтов WordPress.

Что такое защита сайта

Защита сайта - это сложный процесс, поэтому необходимо применять как можно больше методов защиты. Мы бы сказали, что вам даже нужно проявить немного паранойи в этом отношении. Другими словами, если вы примените 1 или 2 метода, это, конечно, улучшит ситуацию, но ненамного. Более того - даже если вы примените абсолютно все методы, это не защитит ваш сайт от взлома полностью, хотя значительно снизит вероятность взлома. Это то, что вам нужно.

Вот хороший пример взлома, который отражает всю суть защиты. Взлом - это когда что-то взломано (да) или сломано, то есть есть что сломать. В противном случае, т.е. когда ломаться нечего, это уже не хак.

Если, скажем, вы оставили дверь своей квартиры открытой или оставили ключи в ней и вас ограбили, значит, ваша квартира действительно не взломана - они просто вошли в нее, взяли то, что им было нужно, и ушли. То же самое и с веб-сайтом - если вы не предприняли никаких мер для защиты своего сайта, то, если с ним что-то пойдет не так, это не будет взлом. Поэтому, чтобы злоумышленникам или инсайдерам было сложнее взломать или украсть ваши данные, вам следует хотя бы «запереть двери».

Обучение сотрудников и социальная инженерия

Ваши сотрудники должны быть признаны в отношении их конфиденциальности, т.е. они должны знать основные правила безопасности, чтобы предотвратить любые утечки данных. Таким образом, вы должны как минимум запретить им делиться своими паролями или любыми учетными данными для аутентификации, даже если им это кажется удобным.

В то время как средства защиты от вредоносных программ, антивирусное программное обеспечение и средства поиска по электронной почте могут помочь идентифицировать такие вредоносные электронные письма, с социальной инженерией лучше всего бороться с помощью обучения сотрудников.

Социальная инженерия в контексте информационной безопасности - это психологическое манипулирование людьми с целью совершения определенных действий или раскрытия конфиденциальной информации.

Сотрудники должны знать, как к ним могут обращаться внешние злоумышленники и как им следует реагировать на различные подозрительные запросы. Чтобы предотвратить это, необходимо понимание социальной инженерии. Сотрудники также должны быть проверены, чтобы выявить любые потенциальные слабые места среди ваших сотрудников.

Команды вашей компании также должны избегать использования подозрительных тем WP и всегда стараться минимизировать количество используемых плагинов.

Сверните свои плагины WP

На данный момент существует огромное количество различных плагинов WP, которые решают практически любую проблему.

Но чем больше плагинов установлено на вашем медиа-сайте, тем выше его уязвимость. Почему? Обратите внимание на следующие причины:

• Плагины WP могут быть написаны неквалифицированным разработчиком и содержат критические ошибки, влияющие на безопасность сайта;
• Плагины WP могут быть «оставлены» программистом, то есть оставаться устаревшими на долгое время, что делает их менее безопасными. Плагины, как и движок, необходимо регулярно обновлять, чтобы снизить риск уязвимостей;
• Плагины WP могут конфликтовать друг с другом, вызывая ошибки.

Допустим, вам нужна форма обратной связи на вашем сайте - вместо размещения 2-3 плагинов или какой-нибудь ContactForm 7 вы можете создать форму «вручную».

Конечно, есть плагины, без которых просто не обойтись - совет - не отказываться полностью от них, а выбирать только проверенные временем решения и по возможности обходиться без них.

Запретить совместное использование внешних данных

К сожалению, образования сотрудников может быть недостаточно. Разглашение конфиденциальных данных о сотрудниках публично или третьим лицам за пределами компании может иметь катастрофические последствия. Обычно это происходит случайно, например, они могут использовать кнопку «Ответить всем» вместо обычной кнопки «Ответить». Затем информация отправляется на неправильные адреса электронной почты или что-то непреднамеренно публично раскрывается.

Вы не можете предотвратить такие инциденты с помощью образования, потому что это всего лишь человеческие ошибки, которым подвержены все мы. Специальное программное обеспечение, например инструменты предотвращения потери данных (DLP), может помочь организациям отслеживать конфиденциальные данные и гарантировать, что их передача, будь то по электронной почте или другим интернет-службам, ограничена или полностью заблокирована.

Предотвратить теневую ИТ-угрозу

Неавторизованное стороннее программное обеспечение, приложения или веб-сервисы часто трудно отследить ИТ-отделам, отсюда и термин «теневые ИТ-службы». Причины преобладания теневых ИТ довольно просты: сотрудники используют популярные приложения (например, отслеживание электронной почты) по привычке, потому что они повышают свою эффективность и сокращают рабочую нагрузку или более удобны для пользователя, чем одобренные компанией альтернативы.

Это может стать довольно проблематичным, потому что компании большую часть времени ничего не знают, по сути создавая слепое пятно в стратегиях кибербезопасности. Еще одна угроза - низкий уровень безопасности этих сторонних сервисов, который может привести к утечкам данных.

Теневая ИТ-среда обычно возникает из-за неспособности компании предоставить сотрудникам инструменты, необходимые для выполнения их работы. Организации должны вести открытый диалог со своими сотрудниками, чтобы понимать их технологические потребности и делать все возможное для их удовлетворения. Высококачественные инструменты DLP также могут помочь компаниям предотвратить загрузку сотрудниками конфиденциальной информации в эти неавторизованные службы и, отслеживая эти попытки, лучше понять теневые ИТ в своей организации.

Вот список надежных инструментов и сервисов DLP, которые вы можете использовать для защиты данных своей компании:

SecureTrust

McAfee

Endpoint Protector

Symantec

Solarwinds

Контрольно-пропускной пункт

Trend Micro

Аванан

Zscaler

Используйте отдельные учетные записи для сотрудников

Нет общих учетных записей. Каждому сотруднику вашей команды нужна собственная учетная запись для всего. Если, конечно, они им вообще нужны. Дело в том, что никто не может использовать свои старые пароли, когда они больше не в команде.

Другими словами, вы должны убедиться, что ни один бывший сотрудник не сможет получить доступ к своей старой учетной записи и украсть данные вашей компании.

Используйте сложные пароли

Мы уже приводили аналогию (на ваших дверях должен быть замок). Если ваш пароль простой, то замка в этом случае нет, точнее, ключ есть у злоумышленников. Поэтому мы настоятельно рекомендуем использовать надежные пароли и, в идеале, хранить их только в голове. Не забывайте периодически везде менять пароли, особенно если ваш WP-сайт уже был взломан.

Это относится к сложным паролям для доступа к вашей административной панели, управлению хостингом, личному кабинету, базе данных и т. Д. Другими словами, ваши пароли обязательно должны быть сложными.

Сложный пароль имеет по крайней мере 8 символов, которые должны быть числами, капители, регулярные письма, и, конечно же , специальные символы.

Если вы ведете блог WordPress или, скорее, блог с несколькими авторами, вам нужно иметь дело с несколькими людьми, получающими доступ к вашей панели администратора. Это может сделать ваш сайт более уязвимым для угроз безопасности.

Вы можете использовать плагины, такие как Password Protect WordPress (PPWP), если хотите, чтобы все пароли, создаваемые пользователями, были безопасными. Это всего лишь мера предосторожности, но это лучше, чем иметь несколько пользователей со слабыми паролями.

Помните, всегда используйте сложные пароли как для сайта, так и для всего, где требуется пароль, поскольку простой пароль, например, состоящий из 3-4 цифр, можно даже вручную подобрать за пару минут.

Используйте инструменты шифрования и удаленного удаления данных

Многие политики защиты данных сосредоточены на передаче данных за пределы корпоративной сети через Интернет, не принимая во внимание еще один широко используемый метод: портативные устройства. В частности, USB-накопители долгое время были токсичными для стратегий защиты данных. Их легко потерять или украсть, но ими легко пользоваться. Однако вы должны знать, что USB-накопители привели к серьезным утечкам данных во многих компаниях.

Самый простой способ предотвратить такие нарушения - заблокировать USB-порт и периферийные порты одновременно. Однако нельзя отрицать полезность USB на рабочем месте. Для компаний, которые все еще хотят использовать USB-накопители, есть меры, которые они могут предпринять для обеспечения безопасности. Шифрование - одно из лучших среди них. Все файлы, передаваемые на USB-накопители, будут зашифрованы, то есть в сочетании с политикой доверенных устройств, которая разрешает подключаться к компьютерам компании только устройствам, обозначенным как «доверенные».

В сегодняшней все более мобильной рабочей среде сотрудники часто берут свои ноутбуки и портативные устройства из офиса. Работая удаленно, посещая клиентов или посещая отраслевые мероприятия, рабочие устройства часто выходят из-под защиты корпоративных сетей и становятся более уязвимыми как для физической кражи, так и для несанкционированного вмешательства.

Шифрование - всегда хорошее решение для защиты от кражи данных. Будь то ноутбуки, смартфоны или USB-накопители, шифрование исключает возможность того, что любой, кто их украдет, сможет получить доступ к данным. Включение параметров удаленной очистки также может помочь организациям стереть все данные на украденных устройствах на расстоянии.

Назначьте роли и разрешения WP

Убедитесь, что у каждого из ваших сотрудников есть собственная роль и права доступа. Таким образом, имейте в виду, что администратор будет иметь полный контроль над всеми функциями вашего сайта и баз данных, редактор сможет публиковать и управлять не только своими собственными сообщениями, но и сообщениями других авторов, а автор будет иметь только возможность управлять собственными публикациями.

Так что назначайте роли WP с умом и помните: как только ваши сотрудники уйдут, не забудьте удалить все их учетные записи, чтобы заблокировать доступ.

Ограничить редактирование файлов

Если у пользователей есть доступ администратора к вашей панели управления WordPress, они могут редактировать любые файлы, которые являются частью вашей установки WordPress. Сюда также входят все плагины и темы.

Если вы отключите редактирование файлов, никто не сможет изменить какие-либо файлы, даже если хакер получит доступ администратора к вашей панели управления WordPress. Для этого добавьте в файл wp-config.php (в самом конце) следующее:

определить ('DISALLOW_FILE_EDIT', истина);

Обновляйте свой WordPress

В этот момент мы включили все, что связано со скриптами вашего сайта, это скрипты самого WordPress, а также ваши шаблоны и плагины (опять же), все они изначально не должны содержать вредоносных скриптов и «дыр», т.е. все двери должны быть закрыты. Если в сценариях есть уязвимость, хакер может использовать ее для взлома вашего медиа-сайта, то есть «войти через дверь».

Чтобы закрыть «двери» или, по крайней мере, сделать это вовремя, вам необходимо постоянно обновлять свой сайт WordPress после того, как обновление станет доступным. Это также относится к шаблонам и плагинам.

Опять же, вредоносных скриптов там изначально быть не должно, поэтому загружайте WordPress только с официального сайта, не используйте бесплатные шаблоны, они могут содержать уязвимости, некоторые теневые ссылки и тому подобное.

Удалите ненужные плагины. Если у вас нет используемого подключаемого модуля, сначала отключите его, а затем удалите (файлы подключаемого модуля, которые только что деактивированы, остаются на сервере).

Другими словами, у вас должен быть полный порядок в ваших скриптах, т.е. иметь только то, что вам действительно нужно в текущих версиях. Грязные скрипты сделают ваш сайт более доступным для хакера или инсайдера.

Также убедитесь, что вы используете качественные темы WP, то есть обновленные их создателями.

Блокировка сайтов и бан пользователей

Функция блокировки сайта при неудачных попытках входа в систему может решить огромную проблему непрерывных попыток ввода пароля. Всякий раз, когда происходит попытка взлома с повторением неверных паролей, сайт блокируется, и вы получаете уведомление об этой несанкционированной деятельности.

Плагин iThemes Security - один из лучших плагинов для этого. Мы сами довольно долго им пользовались. Плагин может многое предложить в этом отношении. Наряду с более чем 30 другими отличными мерами безопасности вы можете указать определенное количество неудачных попыток входа в систему, прежде чем плагин заблокирует IP-адрес злоумышленника.

Sucuri Security

Сукури - один из известных лидеров индустрии кибербезопасности. В настоящее время у него более 400 000 активных пользователей, он бесплатный и регулярно обновляется.

Sucuri Security - это не универсальный плагин безопасности. Он фокусируется на таких основах, как сканирование и отслеживание вредоносной активности, но выполняет свою работу очень хорошо. Плагин поставляется с мониторингом целостности файлов, чтобы узнать, затронуты ли какие-либо из основных файлов или есть ли какие-либо уязвимости. Это одно из лучших решений для небольших сайтов и блогов WP.

Sucuri также включает сканирование вредоносных программ и мониторинг черного списка. Однако лучшая функция плагина - это меры безопасности после взлома, которые в основном дают вам советы о том, что делать, если ваш сайт взломан или заражен вредоносным ПО.

Сукури Плюсы

• Разработан надежной компанией и регулярно обновляется;
• Эффективный инструмент сканирования вредоносных программ, обнаруживающий необычную активность сайта;
• Оповещения системы безопасности и аудит уведомят вас о любом необычном поведении на сайте;
• Возможность контролировать целостность файлов.

Сукури Минусы

• Брандмауэр сайта включен только в премиум-план;
• Интерфейс кажется немного устаревшим;
• Не подходит для новичков.

Система Экран

Ekran System создает платформу для управления внутренними угрозами, известную своей интеллектуальной системой оповещения об инцидентах и ​​расширенными инструментами мониторинга для ИТ-администраторов.

Ключевым преимуществом экрана является его универсальность. Решения вендора объединяют три основных инструмента безопасности: мониторинг активности, контроль доступа и идентификацию пользователей. Функциональность предоставляется на единой программной платформе «все в одном», которая предоставляет «легкие» агенты для всех типов конечных точек.

Мониторинг и запись сеансов пользователей в Системе Экран осуществляется с помощью расширенного модуля записи экрана. Эта информация также дополняется данными об именах приложений, посещенных URL-адресах, открытых файлах, введенных командах, нажатиях на клавиатуре, подключенных устройствах и других действиях сотрудников.

Экран System - уникальная платформа, которая поможет компаниям быть уверенными в безопасности своих данных.

Вывод

Киберпреступность быстро набирает обороты, и из-за продолжающейся пандемии в наши дни преступников в Интернете даже больше, чем в реальном мире. Количество преступлений, связанных с мошенничеством с кредитными картами и банками, растет, хакеры распространяются, и нам необходимо защищать наши сайты с помощью всех возможных вариантов.

Хотя WordPress имеет некоторые уязвимости при установке по умолчанию, вы можете решить практически любую имеющуюся у вас проблему, включая угрозы безопасности, упомянутые в этой статье. Установив уникальное имя пользователя и надежный пароль, установив плагин безопасности, используя высококачественный инструмент защиты от потери данных и обучив своих сотрудников, вы можете значительно снизить риск утечки данных и взлома вашего сайта или заражения вредоносным ПО.

Теперь мы хотели бы сказать, что для предотвращения потери важного контента на вашем медиа-сайте WP, помимо всего вышеперечисленного, вы никогда не должны забывать о резервных копиях сайта. Таким образом, если ваш сайт взломан, вы всегда сможете быстро восстановить его нормальную работу и проанализировать причины взлома, чтобы устранить их и предотвратить подобные ситуации в будущем. Кстати, некоторые хостинговые компании делают резервные копии автоматически.

Если у вас есть резервная копия сайта, вы можете в любой момент восстановить свой сайт WordPress до рабочего состояния. Есть несколько плагинов, которые могут вам в этом помочь.

Если вы ищете решение премиум-класса, мы рекомендуем VaultPress от Automattic (теперь на базе Jetpack). Мы настроили его так, чтобы резервное копирование выполнялось каждую неделю. А если случится что-то нехорошее, мы легко восстановим сайт в один клик.

Мы знаем, что некоторые крупные веб-сайты создают резервные копии каждый час, но для большинства организаций это полный перебор. Не говоря уже о том, что вам необходимо убедиться, что большинство этих резервных копий удаляются после создания новой, поскольку каждый файл резервной копии занимает дисковое пространство на вашем диске. Тем не менее для большинства организаций мы рекомендуем еженедельное или ежемесячное резервное копирование.

Помимо резервного копирования, VaultPress также проверяет веб-сайты на наличие вредоносных программ и предупреждает вас, если происходит что-то подозрительное.