اخترق وورد من قبل SA3D وكيفية الوقاية منه

في الأشهر الأخيرة ، ربما تكون قد شاهدت الرسالة على اليسار حول الويب. ماذا حدث؟ تشتمل الإصدارات الأحدث من WordPress على REST API ، والذي يوفر العديد من الميزات والتكاملات الجديدة القوية.

لسوء الحظ ، تم تحديد تهديدات أمنية خطيرة والعديد من مسؤولي WordPress كانوا بطيئين في الاستجابة لتنبيهات الأمان. لا تزال Google تعرض أكثر من 236000 من النتائج في جميع أنحاء العالم و 900+ من النتائج التي تم اختراقها باستخدام نطاق .fi - وهو المجال الأكثر أمانًا في العالم بما في ذلك العديد من شركات التكنولوجيا. إن التحديث السريع لـ WordPress core كان سيمنع هذا الهجوم.

تحدث شعبية WordPress (1/3 من أفضل مليون موقع) اختلافًا. والأسوأ من ذلك ، أن النهج البسيط لـ WordPress يجعله يعتمد بشكل كبير على المكونات الإضافية (المجانية في كثير من الأحيان) بجودة متفاوتة. يمكن استخدام كل مكون من المكونات الإضافية كسطح هجوم ، وقد واجهت بعض الإضافات مشكلات تاريخية (على سبيل المثال ، شريط التمرير الخاص بالرايات سمح بتسجيل الدخول كمسؤول).

يتطلب أمان الويب الانتباه. لحسن الحظ ، ليست معقدة للغاية.

الممارسات الأمنية الأساسية تقطع شوطا طويلا. لديك كلمة مرور قوية. ليس لديك أسماء مستخدمين باسم "المسؤول" أو موقع الويب أو اسم الشركة. استخدام النظام تحت الامتيازات الأقل حاجة. قم بالتحديث بانتظام (أو تلقائيًا) وعلى الفور في جميع تنبيهات الأمان الرئيسية. قم بإعداد موقع آخر لاختبار المكونات الإضافية الجديدة والسمات. لديك قاعدة بيانات منفصلة والمستخدم لكل موقع. وما إلى ذلك وهلم جرا…

تحديد مسؤولية الصيانة. من المسؤول عن مراجعة تنبيهات الأمان؟ من المسؤول عن مشاركة معلومات الأمان داخل المؤسسة؟ من يقوم بالتحديثات التقنية المطلوبة؟ يمكن أن تتمثل الإسعافات الأولية في تفويض الاستجابة الأولى لشركات جدار الحماية المستندة إلى مجموعة النظراء والتي لديها معلومات أمان محدثة من ملايين المواقع ، ويمكنها حظر العديد من التهديدات.

يعد التخطيط واختبار الاسترداد مهمًا لأن أي مكون إضافي قد يمنع الموقع من التحميل بالإضافة إلى تهديدات الأمان (افتراضيًا ، يتم تحميل جميع المكونات الإضافية على كل صفحة يتم تحميلها). هناك العديد من الإضافات المجانية الجيدة لل WordPress والتي يمكنها النسخ الاحتياطي تلقائيًا إلى Dropbox أو Google Drive. الأنظمة الأساسية السحابية ، مثل Microsoft Azure ، يمكن أن تجعل الاسترداد سريعًا وسهلاً. (فقط تذكر أن تقوم بتمكين النسخ الاحتياطية)

تضمين تخطيط التنظيف في الاسترداد - ماذا يحدث عندما تشك في تعرض أمان موقعك للخطر؟ تغيير كلمات المرور ، والتحقق من أسماء المستخدمين ، والتحقق من الملفات وقواعد البيانات ، وما إلى ذلك. تذكر اختبار الاسترداد حتى لا تكون هذه هي المرة الأولى التي تحتاج فيها بالفعل إلى القيام بذلك.

اتبع تنبيهات الأمان الخاصة بموفر الاستضافة وبائعي نظام تشغيل الخادم ومنصات الويب التي تستخدمها. تنبيهات WordPress موجودة في مدونتها. هنا في فنلندا لدينا واحدة من أفضل هيئة اتصال وطنية تقوم بعمل رائع في تحديد التهديدات الرئيسية: https://www.viestintavirasto.fi/ar/

هل اختبار الأمن أثناء البناء والتحديثات. يمكنك أيضًا إجراء الاختبارات خارج نطاقات التطوير ولكن قد يكون لديك خيارات محدودة لاكتشاف مشكلات الإصلاح. أداة اختبار عامة مجانية هي OWASP ZAP - يمكنك أيضًا التحقق من قناة YouTube للحصول على دليل البدء السريع.

استخدام الرصد الآلي. اشترك في وحدة تحكم بحث Google للحصول على تنبيهات Google بشأن المشكلات على موقعك. فكر في استخدام أدوات المراقبة الآلية التجارية ، مثل Pingdom.

اختياري وموصى به: استخدم شريك ويب مع عملية أمان معتمدة :) تتبادر إحدى هذه الشركات لتطوير الويب باسم Kwork Innovations. سوف يتأكد الشريك الجيد من أن موقع الويب قد تم تصميمه ومراجعته بشكل صحيح ، وسيقوم بتقديم المشورة بشأن المزيد من التطوير ، وسيضمن بيئة الاستضافة بشكل صحيح ، وسوف يستجيب لتنبيهات الأمان.

الأمن هو واحد من (العديد من الأمور الرقمية المرتبطة) بالقرب من قلبي. الدردشة ، تغرد ، البريد الإلكتروني أو الاتصال - antti@kwork.me +358 44 323 7002

كانت Kwork Innovations أول من حصل على شهادة عملية تطوير البرمجيات الآمنة من صناعة البرمجيات الفنلندية في الاجتماع السنوي لصناعة التكنولوجيا وصناعة البرمجيات - تاريخ Digi - في 29 سبتمبر 2016.