内部威胁和数据丢失防护。 WordPress 大媒体网站指南

WordPress 是最受欢迎的内容管理系统之一，这是有充分理由的。 它易于使用，可以与数以千计的可用主题和插件一起使用，您可以使用它创建任何类型的网站。 难怪 WordPress 支持网络上所有网站的 40.5%。

但这种流行是有代价的。 WordPress 经常受到黑客和内部人员的攻击。 因此，如果一名最近申请退休的员工开始将公司网络中的大量数据复制到他的 USB 驱动器中，那么实际上可能没有计划中的恶意。 也许那个人只需要保存下一份工作所需的一些有用的信息文件。 不幸的是，离职员工与竞争对手共享机密产品信息、重要法律数据、员工个人数据或商业机密的情况也很常见。

一些公司甚至可能难以发现此类内部风险，更不用说区分日常员工行为和威胁竞争优势或公司声誉的异常情况了。

今天，我们将看看如何显着降低 WP 媒体站点数据泄露的可能性并防止内部威胁。 请注意，某些插件（例如 AI 聊天机器人）会将数据存储在您的 WP 站点之外，并且不会有风险。

了解如何在几秒钟内而不是几小时内发布

立即注册以获得对 Wordable 的独家访问权，并了解如何在几秒钟而不是几小时内上传、格式化和优化内容。

开始发布

关于内部威胁

您可能听说过有关 WPML WordPress 插件的故事，当时 2019 年，一名前员工使用旧的 SSH 密码访问了真正的 WPML 地址，并向该插件的所有用户发送了一封有关“安全漏洞”的相关电子邮件。 然而，实际上根本没有“漏洞”或任何漏洞。 这只不过是一个不快乐的员工的典型内部威胁。

内部威胁发生的频率比您想象的要高。 根据最近的一项民意调查，55% 的受访者表示，他们的组织在 2020 年遭受了内部人员攻击。内部人员参与的网络犯罪活动略低于三分之一。 普华永道的调查发现，服务提供商、正式员工和承包商都应对大量安全漏洞负责。 三分之一的高管报告称，受信任（受过培训的）内部人员实施的网络攻击给他们的公司带来了巨大的损失（包括财务和声誉）。

内部威胁很难防范。 员工完成工作需要一定程度的信任。 如果他们决定滥用这种信任，那么在真正造成损害之前，所有者无能为力。 但是有安全意识的企业主可以采取一些方法来降低内部威胁对其 WordPress 媒体网站的风险。

什么是站点保护

站点保护是一个复杂的过程，因此，您必须应用尽可能多的保护方法。 我们会说，在这方面你甚至需要有点偏执。 换句话说，如果您应用 1 或 2 种方法，它当然会改善情况，但只是略微改善。 更重要的是 - 即使您绝对应用所有方法，它也不会完全保护您的网站免受黑客攻击，尽管它会显着降低黑客攻击的可能性。 这就是您所需要的。

这是一个很好的 hack 示例，它反映了保护的整个本质。 黑客攻击是指某些东西被黑客攻击（废话）或损坏，即有东西要破坏。 否则，即当没有任何东西可以破坏时，它就不再是 hack。

如果，比如说，你把公寓的门开着或者把钥匙留在里面并被抢劫了，那么你的公寓并没有真正被破解——他们只是进入了它，拿走了他们需要的东西，然后离开了。 网站也是如此——如果你没有采取任何措施来保护你的网站，那么，如果它出现问题，它就不会被黑客入侵。 因此，为了让入侵者或内部人员更难闯入或窃取您的数据，您至少应该“锁门”。

员工教育与社会工程

您的员工必须承认他们的隐私，即他们必须了解基本的安全规则以防止任何数据泄露。 因此，您至少必须禁止他们分享他们的密码或任何身份验证凭据，即使这对他们来说似乎很方便。

虽然反恶意软件、防病毒软件和电子邮件搜索工具可以帮助识别此类恶意电子邮件，但最好通过员工教育来应对社会工程学。

社会工程学，在信息安全的背景下，是人们采取某些行动或泄露机密信息的心理操纵。

应教育员工了解外部入侵者如何接近他们以及他们应如何回应各种可疑请求。 了解社会工程学对于防止它是必要的。 还应该对员工进行测试，以确定员工中的任何潜在弱点。

您的公司团队还必须避免使用可疑的 WP 主题，并始终尽量减少他们使用的插件数量。

最小化您的 WP 插件

目前有大量不同的 WP 插件可以解决几乎所有问题。

但是您的媒体网站上安装的插件越多，其漏洞就越大。 为什么？ 看看以下原因：

• WP 插件可以由不合格的开发人员编写，并且包含影响站点安全的严重错误；
• WP 插件可以被程序员“抛弃”，即长时间废弃，使其安全性降低。 插件和引擎必须定期更新以降低漏洞风险；
• WP 插件可能会相互冲突，从而导致错误。

比方说，您的网站需要一个反馈表单——您可以“手动”创建表单，而不是放置 2-3 个插件或一些 ContactForm 7。

当然，有些插件是您离不开的——建议不要完全放弃它们，而应仅选择经过时间考验的解决方案，如果可能，请不要使用它们。

防止外部数据共享

不幸的是，员工教育可能不够。 公开或与公司外部的第三方共享机密员工数据可能是灾难性的。 这通常是无意中发生的，例如，他们可以使用“全部回复”按钮而不是常规的“回复”按钮。 然后信息被发送到错误的电子邮件地址或某些内容无意中公开披露。

您无法通过教育来预防此类事件，因为它们只是我们所有人都会遭受的人为错误。 自定义软件，例如数据丢失防护 (DLP) 工具，可以帮助组织跟踪敏感数据并确保其传输（无论是通过电子邮件还是其他 Internet 服务）受到限制或完全阻止。

防止影子 IT 威胁

未经授权的第三方软件、应用程序或 Web 服务通常很难被 IT 跟踪，因此称为“影子 IT”术语。 影子 IT 盛行的原因很简单：员工出于习惯使用流行的应用程序（例如电子邮件跟踪），因为它们提高了效率并减少了工作量，或者比公司批准的替代方案更用户友好。

这可能会成为一个很大的问题，因为公司大部分时间都没有意识到，这实际上在网络安全策略中造成了盲点。 另一个威胁是这些第三方服务的低安全级别，这可能导致数据泄露。

影子 IT 通常是由于公司无法为员工提供完成工作所需的工具造成的。 组织应该与员工进行公开对话，以了解他们的技术需求并尽其所能满足他们。 高质量的 DLP 工具还可以帮助公司防止员工将敏感信息上传到这些未经授权的服务，并通过监控这些尝试，更好地了解组织中的影子 IT。

以下是可用于保护公司数据的可靠 DLP 工具和服务列表：

安全信托

迈克菲

端点保护器

赛门铁克

太阳风

检查点

趋势科技

阿瓦南

缩放器

为员工使用单独的帐户

没有共享帐户。 您团队中的每位员工都需要自己的用户帐户来处理所有事情。 当然，如果他们真的需要它们。 关键是一旦他们不再在团队中，没有人可以使用他们的旧密码。

换句话说，您必须确保没有前员工能够访问他们的旧帐户并窃取您的公司数据。

使用复杂密码

我们已经给出了类比（你的门上一定有锁）。 如果您的密码很简单，则在这种情况下没有锁，或者更准确地说，入侵者拥有钥匙。 因此，我们强烈建议使用强密码，理想情况下，只将它们存储在您的脑海中。 不要忘记在任何地方定期更改您的密码，特别是如果您的 WP 站点之前已经被黑客入侵。

这是指用于访问您的管理面板、主机控制、个人帐户、数据库等的复杂密码。换句话说，您的密码必须非常复杂。

一个复杂的密码至少有 8 个字符，必须是数字、大写、普通字母，当然还有特殊符号。

如果您运行 WordPress 博客，或者更确切地说是有多个作者的博客，您需要处理多个访问您的管理面板的人。 这会使您的网站更容易受到安全威胁。

如果您想确保用户创建的所有密码都是安全的，您可以使用 Password Protect WordPress (PPWP) 等插件。 这只是一种预防措施，但比让多个用户使用弱密码要好。

请记住，对于网站和其他任何需要密码的地方，请始终使用复杂的密码，因为简单的密码（例如由 3-4 位数字组成的密码）甚至可以在几分钟内手动选择。

使用加密和远程擦除工具

许多数据保护策略侧重于通过 Internet 在企业网络外部传输数据，而没有考虑另一种常用方法：便携式设备。 长期以来，USB 驱动器尤其对数据保护策略有害。 它们很容易丢失或被盗，但很容易使用。 但是，您应该知道 USB 驱动器在许多公司中导致了严重的数据泄露。

防止此类违规的最简单方法是同时锁定 USB 和外围端口。 但是，不能否认USB在工作场所的用处。 对于仍想使用 USB 驱动器的公司，他们可以采取一些措施来确保安全性。 加密是其中最好的之一。 传输到 USB 驱动器的所有文件都将被加密，即结合受信任的设备策略，该策略仅允许标识为“受信任”的设备连接到公司的计算机。

在当今日益移动化的工作环境中，员工经常将笔记本电脑和便携式设备带出办公室。 无论是远程工作、拜访客户还是参加行业活动，工作设备通常会脱离公司网络的安全保护，并且更容易受到物理盗窃和未经授权的干扰。

加密始终是防止数据被盗的好方法。 无论是笔记本电脑、智能手机还是 USB 驱动器，加密消除了任何窃取它们的人能够访问数据的可能性。 启用远程擦除选项还可以帮助组织从远处擦除被盗设备上的所有数据。

分配 WP 角色和许可

确保您的每个员工都有自己的适当角色和权限。 因此，请记住，管理员将完全控制您网站和数据库上的所有功能，编辑不仅可以发布和管理他们自己的帖子，还可以发布和管理其他作者的帖子，而作者只能拥有管理自己的出版物。

因此明智地分配 WP 角色，并记住：一旦您的员工离开，不要忘记删除他们的所有帐户以阻止访问。

限制文件编辑

如果用户对您的 WordPress 控制面板具有管理员访问权限，则他们可以编辑属于您的 WordPress 安装的任何文件。 这还包括所有插件和主题。

如果您禁用文件编辑，则任何人都无法更改任何文件——即使黑客获得了您的 WordPress 控制面板的管理员访问权限。 为此，请将以下内容添加到您的 wp-config.php 文件（最后）：

定义（'DISALLOW_FILE_EDIT'，真）；

保持您的 WordPress 更新

在这一点上，我们已经包含了与您站点的脚本相关的所有内容，这些是 WordPress 本身的脚本，以及您的模板和插件（再次），所有这些最初都不应该包含恶意脚本和“漏洞”，即所有的门都必须关闭。 如果脚本中存在漏洞，黑客就可以利用它闯入您的媒体站点，即“通过门进入”。

为了关闭“门”，或者至少及时关闭，您需要在更新可用后不断更新您的 WordPress 网站。 这也适用于模板和插件。

同样，最初不应该存在恶意脚本，所以只能从官方网站下载 WordPress，不要使用免费模板，它们可能包含漏洞、一些影子链接等。

删除不必要的插件。 如果您没有使用插件，请先停用它，然后将其删除（刚刚停用的插件文件仍保留在服务器上）。

换句话说，您的脚本中应该有完整的顺序，即只有您在当前版本中真正需要的内容。 凌乱的脚本将使黑客或内部人员更容易访问您的网站。

另外，请确保您使用的是高质量的 WP 主题，即由其创建者更新的主题。

网站屏蔽和用户禁令

用于登录尝试失败的站点阻止功能可以解决连续密码尝试的巨大问题。 每当有人使用重复错误的密码进行黑客攻击时，该站点就会被阻止，并且您会收到有关此未经授权活动的通知。

iThemes Security 插件是最好的插件之一。 我们自己使用它已经有一段时间了。 该插件在这方面提供了很多功能。 除了 30 多种其他出色的安全措施外，您还可以在插件阻止攻击者的 IP 地址之前指定一定数量的失败登录尝试。

苏库里安全

Sucuri 是网络安全行业的知名领导者之一。 它目前拥有超过 400,000 名活跃用户，免费且定期更新。

Sucuri Security 不是一刀切的安全插件。 它专注于扫描和监控恶意活动等基础知识，但它的工作做得非常好。 该插件带有文件完整性监控功能，以查看是否有任何核心文件受到影响或是否存在任何漏洞。 它是小型 WP 站点和博客的最佳解决方案之一。

Sucuri 还包括恶意软件扫描和黑名单监控。 不过，该插件的最佳功能是黑客攻击后的安全操作，它基本上会为您提供有关在您的网站被黑客入侵或受到恶意软件影响时该怎么做的提示。

Sucuri 优点

• 由可靠的公司设计并定期更新；
• 有效的恶意软件扫描工具，可检测异常站点活动；
• 安全警报和审核将通知您网站上的任何异常行为；
• 能够监控文件完整性。

Sucuri 缺点

• 站点防火墙仅包含在高级计划中；
• 界面似乎有点过时；
• 不适合初学者。

伊克兰系统

Ekran System 正在构建一个内部威胁管理平台，该平台以其智能事件警报系统和面向 IT 管理员的高级监控工具而闻名。

Ekran 的一个主要优势是其多功能性。 供应商的解决方案结合了三种主要的安全工具：活动监控、访问控制和用户识别。 该功能在一个单一的多合一软件平台中提供，该平台为所有类型的端点提供“轻量级”代理。

Ekran System 中用户会话的监视和记录是通过高级屏幕记录模块执行的。 此信息还补充有关于应用程序名称、访问的 URL、打开的文件、输入的命令、键盘点击、连接的设备和其他员工活动的数据。

Ekran System 是一个独特的平台，可帮助公司对其数据安全充满信心。

结论

网络犯罪正在迅速发展，并且由于持续的大流行，如今网络上的犯罪分子比现实世界中的还要多。 信用卡和银行欺诈犯罪呈上升趋势，黑客正在蔓延，我们需要使用我们可以使用的所有选项来保护我们的网站。

尽管默认安装 WordPress 时存在一些漏洞，但您几乎可以解决任何问题，包括本文中提到的安全威胁。 通过设置唯一的用户名和强密码、安装安全插件、使用高质量的 DLP 工具以及教育您的员工，您可以大大降低数据泄露和您的网站被破坏或感染恶意软件的风险。

现在，我们想说的是，为了防止您的 WP 媒体网站上的重要内容丢失，除了上述所有内容外，您绝不能忘记网站备份。 因此，如果您的网站被黑客入侵，您可以随时快速恢复其正常运行并分析黑客入侵的原因以消除它们并防止将来发生类似情况。 顺便说一下，一些托管公司会自动备份。

如果您有站点备份，您可以随时将 WordPress 网站恢复到工作状态。 有几个插件可以在这方面为您提供帮助。

如果您正在寻找高级解决方案，我们推荐 Automattic 的 VaultPress（现在由 Jetpack 提供支持）。 我们已经对其进行了设置，以便每周进行备份。 如果发生不好的事情，我们只需单击一下即可轻松恢复站点。

我们知道一些大型网站每小时运行一次备份，但这对大多数组织来说完全是矫枉过正。 更不用说，您需要确保在创建新备份后删除大多数这些备份，因为每个备份文件都会占用驱动器上的磁盘空间。 尽管如此，我们仍建议大多数组织每周或每月进行备份。

除了备份之外，VaultPress 还会检查网站是否存在恶意软件，并在出现任何可疑情况时提醒您。