內部威脅和數據丟失防護。 WordPress 大媒體網站指南

WordPress 是最受歡迎的內容管理系統之一，這是有充分理由的。 它易於使用，可以與數以千計的可用主題和插件一起使用，您可以使用它創建任何類型的網站。 難怪 WordPress 支持網絡上所有網站的 40.5%。

但這種流行是有代價的。 WordPress 經常受到黑客和內部人員的攻擊。 因此，如果一名最近申請退休的員工開始將公司網絡中的大量數據複製到他的 USB 驅動器中，那麼實際上可能沒有計劃中的惡意。 也許那個人只需要保存下一份工作所需的一些有用的信息文件。 不幸的是，離職員工與競爭對手共享機密產品信息、重要法律數據、員工個人數據或商業機密的情況也很常見。

一些公司甚至可能難以發現此類內部風險，更不用說區分日常員工行為和威脅競爭優勢或公司聲譽的異常情況了。

今天，我們將看看如何顯著降低 WP 媒體站點數據洩露的可能性並防止內部威脅。 請注意，某些插件（例如 AI 聊天機器人）會將數據存儲在您的 WP 站點之外，並且不會有風險。

了解如何在幾秒鐘內而不是幾小時內發布

立即註冊以獲得對 Wordable 的獨家訪問權，並了解如何在幾秒鐘而不是幾小時內上傳、格式化和優化內容。

開始發布

關於內部威脅

您可能聽說過有關 WPML WordPress 插件的故事，當時 2019 年，一名前員工使用舊的 SSH 密碼訪問了真正的 WPML 地址，並向該插件的所有用戶發送了一封有關“安全漏洞”的相關電子郵件。 然而，實際上根本沒有“漏洞”或任何漏洞。 這只不過是一個不快樂的員工的典型內部威脅。

內部威脅發生的頻率比您想像的要高。 根據最近的一項民意調查，55% 的受訪者表示，他們的組織在 2020 年遭受了內部人員攻擊。內部人員參與的網絡犯罪活動略低於三分之一。 普華永道的調查發現，服務提供商、正式員工和承包商都應對大量安全漏洞負責。 三分之一的高管報告稱，受信任（受過培訓的）內部人員實施的網絡攻擊給他們的公司帶來了巨大的損失（包括財務和聲譽）。

內部威脅很難防範。 員工完成工作需要一定程度的信任。 如果他們決定濫用這種信任，那麼在真正造成損害之前，所有者無能為力。 但是有安全意識的企業主可以採取一些方法來降低內部威脅對其 WordPress 媒體網站的風險。

什麼是站點保護

站點保護是一個複雜的過程，因此，您必須應用盡可能多的保護方法。 我們會說，在這方面你甚至需要有點偏執。 換句話說，如果您應用 1 或 2 種方法，它當然會改善情況，但只是略微改善。 更重要的是 - 即使您絕對應用所有方法，它也不會完全保護您的網站免受黑客攻擊，儘管它會顯著降低黑客攻擊的可能性。 這就是您所需要的。

這是一個很好的 hack 示例，它反映了保護的整個本質。 黑客攻擊是指某些東西被黑客攻擊（廢話）或損壞，即有東西要破壞。 否則，即當沒有任何東西可以破壞時，它就不再是 hack。

如果，比如說，你把公寓的門開著或者把鑰匙留在裡面並被搶劫了，那麼你的公寓並沒有真正被破解——他們只是進入了它，拿走了他們需要的東西，然後離開了。 網站也是如此——如果你沒有採取任何措施來保護你的網站，那麼，如果它出現問題，它就不會被黑客入侵。 因此，為了讓入侵者或內部人員更難闖入或竊取您的數據，您至少應該“鎖門”。

員工教育與社會工程

您的員工必須承認他們的隱私，即他們必須了解基本的安全規則以防止任何數據洩露。 因此，您至少必須禁止他們分享他們的密碼或任何身份驗證憑據，即使這對他們來說似乎很方便。

雖然反惡意軟件、防病毒軟件和電子郵件搜索工具可以幫助識別此類惡意電子郵件，但最好通過員工教育來應對社會工程學。

社會工程學，在信息安全的背景下，是人們採取某些行動或洩露機密信息的心理操縱。

應教育員工了解外部入侵者如何接近他們以及他們應如何回應各種可疑請求。 了解社會工程學對於防止它是必要的。 還應該對員工進行測試，以確定員工中的任何潛在弱點。

您的公司團隊還必須避免使用可疑的 WP 主題，並始終盡量減少他們使用的插件數量。

最小化您的 WP 插件

目前有大量不同的 WP 插件可以解決幾乎所有問題。

但是您的媒體網站上安裝的插件越多，其漏洞就越大。 為什麼？ 看看以下原因：

• WP 插件可以由不合格的開發人員編寫，並且包含影響站點安全的嚴重錯誤；
• WP 插件可以被程序員“拋棄”，即長時間廢棄，使其安全性降低。 插件和引擎必須定期更新以降低漏洞風險；
• WP 插件可能會相互衝突，從而導致錯誤。

比方說，您的網站需要一個反饋表單——您可以“手動”創建表單，而不是放置 2-3 個插件或一些 ContactForm 7。

當然，有些插件是您離不開的——建議不要完全放棄它們，而應僅選擇經過時間考驗的解決方案，如果可能，請不要使用它們。

防止外部數據共享

不幸的是，員工教育可能不夠。 公開或與公司外部的第三方共享機密員工數據可能是災難性的。 這通常是無意中發生的，例如，他們可以使用“全部回复”按鈕而不是常規的“回复”按鈕。 然後信息被發送到錯誤的電子郵件地址或某些內容無意中公開披露。

您無法通過教育來預防此類事件，因為它們只是我們所有人都會遭受的人為錯誤。 自定義軟件，例如數據丟失防護 (DLP) 工具，可以幫助組織跟踪敏感數據並確保其傳輸（無論是通過電子郵件還是其他 Internet 服務）受到限製或完全阻止。

防止影子 IT 威脅

未經授權的第三方軟件、應用程序或 Web 服務通常很難被 IT 跟踪，因此稱為“影子 IT”術語。 影子 IT 盛行的原因很簡單：員工出於習慣使用流行的應用程序（例如電子郵件跟踪），因為它們提高了效率並減少了工作量，或者比公司批准的替代方案更用戶友好。

這可能會成為一個很大的問題，因為公司大部分時間都沒有意識到，這實際上在網絡安全策略中造成了盲點。 另一個威脅是這些第三方服務的低安全級別，這可能導致數據洩漏。

影子 IT 通常是由於公司無法為員工提供完成工作所需的工具造成的。 組織應該與員工進行公開對話，以了解他們的技術需求並儘其所能滿足他們。 高質量的 DLP 工具還可以幫助公司防止員工將敏感信息上傳到這些未經授權的服務，並通過監控這些嘗試，更好地了解組織中的影子 IT。

以下是可用於保護公司數據的可靠 DLP 工具和服務列表：

安全信託

邁克菲

端點保護器

賽門鐵克

太陽風

檢查點

趨勢科技

阿瓦南

縮放器

為員工使用單獨的帳戶

沒有共享帳戶。 您團隊中的每位員工都需要自己的用戶帳戶來處理所有事情。 當然，如果他們真的需要它們。 關鍵是一旦他們不再在團隊中，沒有人可以使用他們的舊密碼。

換句話說，您必須確保沒有前員工能夠訪問他們的舊帳戶並竊取您的公司數據。

使用複雜密碼

我們已經給出了類比（你的門上一定有鎖）。 如果您的密碼很簡單，則在這種情況下沒有鎖，或者更準確地說，入侵者擁有鑰匙。 因此，我們強烈建議使用強密碼，理想情況下，只將它們存儲在您的腦海中。 不要忘記在任何地方定期更改您的密碼，特別是如果您的 WP 站點之前已經被黑客入侵。

這是指用於訪問您的管理面板、主機控制、個人帳戶、數據庫等的複雜密碼。換句話說，您的密碼必須非常複雜。

一個複雜的密碼至少有 8 個字符，必須是數字、大寫、普通字母，當然還有特殊符號。

如果您運行 WordPress 博客，或者更確切地說是有多個作者的博客，您需要處理多個訪問您的管理面板的人。 這會使您的網站更容易受到安全威脅。

如果您想確保用戶創建的所有密碼都是安全的，您可以使用 Password Protect WordPress (PPWP) 等插件。 這只是一種預防措施，但比讓多個用戶使用弱密碼要好。

請記住，對於網站和其他任何需要密碼的地方，請始終使用複雜的密碼，因為簡單的密碼（例如由 3-4 位數字組成的密碼）甚至可以在幾分鐘內手動選擇。

使用加密和遠程擦除工具

許多數據保護策略側重於通過 Internet 在企業網絡外部傳輸數據，而沒有考慮另一種常用方法：便攜式設備。 長期以來，USB 驅動器尤其對數據保護策略有害。 它們很容易丟失或被盜，但很容易使用。 但是，您應該知道 USB 驅動器在許多公司中導致了嚴重的數據洩露。

防止此類違規的最簡單方法是同時鎖定 USB 和外圍端口。 但是，不能否認USB在工作場所的用處。 對於仍想使用 USB 驅動器的公司，他們可以採取一些措施來確保安全性。 加密是其中最好的之一。 傳輸到 USB 驅動器的所有文件都將被加密，即結合受信任的設備策略，該策略僅允許標識為“受信任”的設備連接到公司的計算機。

在當今日益移動化的工作環境中，員工經常將筆記本電腦和便攜式設備帶出辦公室。 無論是遠程工作、拜訪客戶還是參加行業活動，工作設備通常會脫離公司網絡的安全保護，並且更容易受到物理盜竊和未經授權的干擾。

加密始終是防止數據被盜的好方法。 無論是筆記本電腦、智能手機還是 USB 驅動器，加密消除了任何竊取它們的人能夠訪問數據的可能性。 啟用遠程擦除選項還可以幫助組織從遠處擦除被盜設備上的所有數據。

分配 WP 角色和許可

確保您的每個員工都有自己的適當角色和權限。 因此，請記住，管理員將完全控制您網站和數據庫上的所有功能，編輯不僅可以發布和管理他們自己的帖子，還可以發布和管理其他作者的帖子，而作者只能擁有管理自己的出版物。

因此明智地分配 WP 角色，並記住：一旦您的員工離開，不要忘記刪除他們的所有帳戶以阻止訪問。

限製文件編輯

如果用戶對您的 WordPress 控制面板具有管理員訪問權限，則他們可以編輯屬於您的 WordPress 安裝的任何文件。 這還包括所有插件和主題。

如果您禁用文件編輯，則任何人都無法更改任何文件——即使黑客獲得了您的 WordPress 控制面板的管理員訪問權限。 為此，請將以下內容添加到您的 wp-config.php 文件（最後）：

定義（'DISALLOW_FILE_EDIT'，真）；

保持您的 WordPress 更新

在這一點上，我們已經包含了與您站點的腳本相關的所有內容，這些是 WordPress 本身的腳本，以及您的模板和插件（再次），所有這些最初都不應該包含惡意腳本和“漏洞”，即所有的門都必須關閉。 如果腳本中存在漏洞，黑客就可以利用它闖入您的媒體站點，即“通過門進入”。

為了關閉“門”，或者至少及時關閉，您需要在更新可用後不斷更新您的 WordPress 網站。 這也適用於模板和插件。

同樣，最初不應該存在惡意腳本，所以只能從官方網站下載 WordPress，不要使用免費模板，它們可能包含漏洞、一些影子鏈接等。

刪除不必要的插件。 如果您沒有使用插件，請先停用它，然後將其刪除（剛剛停用的插件文件仍保留在服務器上）。

換句話說，您的腳本中應該有完整的順序，即只有您在當前版本中真正需要的內容。 凌亂的腳本將使黑客或內部人員更容易訪問您的網站。

另外，請確保您使用的是高質量的 WP 主題，即由其創建者更新的主題。

網站屏蔽和用戶禁令

用於登錄嘗試失敗的站點阻止功能可以解決連續密碼嘗試的巨大問題。 每當有人使用重複錯誤的密碼進行黑客攻擊時，該站點就會被阻止，並且您會收到有關此未經授權活動的通知。

iThemes Security 插件是最好的插件之一。 我們自己使用它已經有一段時間了。 該插件在這方面提供了很多功能。 除了 30 多種其他出色的安全措施外，您還可以在插件阻止攻擊者的 IP 地址之前指定一定數量的失敗登錄嘗試。

蘇庫里安全

Sucuri 是網絡安全行業的知名領導者之一。 它目前擁有超過 400,000 名活躍用戶，免費且定期更新。

Sucuri Security 不是一刀切的安全插件。 它專注於掃描和監控惡意活動等基礎知識，但它的工作做得非常好。 該插件帶有文件完整性監控功能，以查看是否有任何核心文件受到影響或是否存在任何漏洞。 它是小型 WP 站點和博客的最佳解決方案之一。

Sucuri 還包括惡意軟件掃描和黑名單監控。 不過，該插件的最佳功能是黑客攻擊後的安全操作，它基本上會為您提供有關在您的網站被黑客入侵或受到惡意軟件影響時該怎麼做的提示。

Sucuri 優點

• 由可靠的公司設計並定期更新；
• 有效的惡意軟件掃描工具，可檢測異常站點活動；
• 安全警報和審核將通知您網站上的任何異常行為；
• 能夠監控文件完整性。

Sucuri 缺點

• 站點防火牆僅包含在高級計劃中；
• 界面似乎有點過時；
• 不適合初學者。

伊克蘭系統

Ekran System 正在構建一個內部威脅管理平台，該平台以其智能事件警報系統和麵向 IT 管理員的高級監控工具而聞名。

Ekran 的一個主要優勢是其多功能性。 供應商的解決方案結合了三種主要的安全工具：活動監控、訪問控制和用戶識別。 該功能在一個單一的多合一軟件平台中提供，該平台為所有類型的端點提供“輕量級”代理。

Ekran System 中用戶會話的監視和記錄是通過高級屏幕記錄模塊執行的。 此信息還補充有關於應用程序名稱、訪問的 URL、打開的文件、輸入的命令、鍵盤點擊、連接的設備和其他員工活動的數據。

Ekran System 是一個獨特的平台，可幫助公司對其數據安全充滿信心。

結論

網絡犯罪正在迅速發展，並且由於持續的大流行，如今網絡上的犯罪分子比現實世界中的還要多。 信用卡和銀行欺詐犯罪呈上升趨勢，黑客正在蔓延，我們需要使用我們可以使用的所有選項來保護我們的網站。

儘管默認安裝 WordPress 時存在一些漏洞，但您幾乎可以解決任何問題，包括本文中提到的安全威脅。 通過設置唯一的用戶名和強密碼、安裝安全插件、使用高質量的 DLP 工具以及教育您的員工，您可以大大降低數據洩露和您的網站被破壞或感染惡意軟件的風險。

現在，我們想說的是，為了防止您的 WP 媒體網站上的重要內容丟失，除了上述所有內容外，您絕不能忘記網站備份。 因此，如果您的網站被黑客入侵，您可以隨時快速恢復其正常運行並分析黑客入侵的原因以消除它們並防止將來發生類似情況。 順便說一下，一些託管公司會自動備份。

如果您有站點備份，您可以隨時將 WordPress 網站恢復到工作狀態。 有幾個插件可以在這方面為您提供幫助。

如果您正在尋找高級解決方案，我們推薦 Automattic 的 VaultPress（現在由 Jetpack 提供支持）。 我們已經對其進行了設置，以便每週進行備份。 如果發生不好的事情，我們只需單擊一下即可輕鬆恢復站點。

我們知道一些大型網站每小時運行一次備份，但這對大多數組織來說完全是矯枉過正。 更不用說，您需要確保在創建新備份後刪除大多數這些備份，因為每個備份文件都會佔用驅動器上的磁盤空間。 儘管如此，我們仍建議大多數組織每週或每月進行備份。

除了備份之外，VaultPress 還會檢查網站是否存在惡意軟件，並在出現任何可疑情況時提醒您。