Hur Du kan skydda WordPress med CIA

logo

Av Kaj Johnson

Säkerhetsspecialist som har arbetat som tekniker, konsult och IT-chef i över 25 år inom företag såsom Cap Gemini, Associated Press och Rezidor Hotel Group.

2021-03-13

Phishing och social engineering är två av de mest använda taktikerna som används av cyberbrottslingar. Dessa attacker lockar användarna att lämna ifrån sig sina inloggningsuppgifter tillsammans med annan personlig information. Dessa detaljer används sedan vid attacker, dataintrång och för åtkomst till webbapplikationer, era system, er data.

Varför attacker? Vad är de ute efter?

Det enkla svaret är att angriparna vill ha något du har och som är värdefullt – data. Nästan en av nio (86%) av framgångsrika dataintrång motiveras av ekonomisk vinst. Enligt ”Verizon Data Breach Investigations Report (DBIR) 2020”:

  • “86% of breaches were financially motivated”
  • “Organized criminal groups were behind 55% of all breaches”
  • “70% perpetrated by external actors”
  • “30% involved internal actors”
  • “Social attacks: “Social actions arrived in email 96% of the time”
  • “Your web applications were specifically targeted in over 90% of attacks – over 80% of breaches within hacking involve brute force or the use of lost or stolen credentials”

Tack vare Verizon’s analys är vi bättre positionerade för att förstå hoten och metoderna. Vi kan nu börja att ta ett informerat och logiskt tillvägagångssätt för att skydda WordPress, försvåra dessa attacker och mildra eventuella skador.

Vad kan vi lära oss av CIA-metoden?

Och med det menas inte underrättsorganisationen, ”Central Intelligence Agency” i USA, utan istället ett elegant och flexibelt ramverk som kan användas och som fokuserar på att skydda huvudtillgången – data.

CIA-ramverket består av tre grundläggande principer som är utformade för skydda WordPress, att mildra oavsiktlig och skadlig åtkomst till och modifiering av data, dessa är:

  • Confidentiality (Sekretess)
  • Integrity (Integritet)
  • Availability (Tillgänglighet)

Confidentiality (Sekretess)

Confidentiality frågar oss vilka åtgärder som kan vidtas för att säkerställa säkerheten för de uppgifter som finns – begränsar anställdas tillgång till endast den information som krävs för att de ska kunna utföra sina roller.

Kom ihåg att över 80% av framgångsrika dataintrång använde antingen förlorade eller stulna användaruppgifter eller brute force-attacker för att utnyttja svaga lösenord som ’admin / admin’, ’user / password’, ’user / 12345678’, etc.

Det finns flera åtgärder som kan vidtas för att säkerställa sekretess för dina uppgifter:

Stärka inloggningsprocessen

Implementera tvåfaktorautentisering (2FA). 2FA lägger till ytterligare ett lager av säkerhet genom att integrera en fysisk enhet i användarens inloggningsprocess.

En unik, tidsbegränsad, engångs-PIN kommer att krävas vid inloggningsprocessen, förutom standard användarnamn och lösenord, för att tillåta åtkomst.

Utan att angriparen har tillgång till den fysiska enheten så räcker det bara att kräva PIN-koden för att motverka attacken.

p
Tips: Jag rekommenderar plugin ”WP 2FA” vilken är gratis. Den tillsammans med appen ”Authy” på mobiltelefonen är en mycket säker metod. Plugin fungerar även med andra mobil-appar, såsom ”Google Authenticator”, ”Microsoft Authenticator”, ”Duo”, ”Lastpass” m.fl.

Tillämpa starkt lösenordsskydd och starka regler

Enligt Verizon’s analys kommer över 35% av användarkontona att ha svaga lösenord som lätt kan knäckas av brute force-attackverktyg, t.ex. qwerty123, password eller 12345678.

Som standard rekommenderar WordPress ett starkt lösenord när du glömmer ditt lösenord, skapar en ny användare eller helt enkelt vill återställa ditt lösenord.

Men, användare kan och kommer att fortfarande att använda svaga lösenord, eftersom detta är möjligt genom att skriva in sitt svaga lösenord och markera alternativet ”Bekräfta användning av svagt lösenord”.

Det enda sättet man kan tvinga WordPress-användare att använda starkt lösenord för bättre WordPress-lösenordssäkerhet är att använda ett plugin som kräver just detta.

Därför är ett starkt lösenordsskydd och starka regler ett måste. Implementera även lösenordshistorik och när lösenordet måste bytas.

p

Tips: Jag rekommenderar plugin ”Password Policy Manager”.

Identifiera och klassificera data som lagras

Granska aktuella åtkomstkontrollistor för varje roll och tilldela sedan nödvändiga behörigheter på lämpligt sätt med ”Principen om Minsta Privilegium”.

Tillgång till uppgifter bör begränsas på grundval av behov och vad som krävs för att en anställd ska kunna utföra sin roll.
Det kan verka mycket lättare att ge användarna tillgång till allt, vilket säkerställer att de alltid kommer att ha tillgång till den information de behöver och till mycket annat som de inte gör. Denna nivå av behörighet beviljas ofta för att avvärja potentiella begäranden om att ändra åtkomsträttigheter och privilegier.

Exempelvis att en användare får den högsta behörigheten, ”Administrator”, då en lägre behörighet, ”Editor”, skulle vara fullt tillräcklig.

T.ex. kan kundsupport behöva få tillgång till beställningshistorik, leveransinformation, kontaktinformation etc. Men, behöver de behörighet för att se kundernas kreditkortsuppgifter, personnummer eller annan känslig eller personligt identifierande information?

Eller fråga dig själv, skulle du ge alla anställda företagets bankkontosaldo och dess detaljer? Eller företagets nuvarande och historiska finansiella konton?

Integrity (Integritet)

Integritet innebär att man överväger vilka steg som kan vidtas för att garantera giltigheten av data genom att kontrollera och veta vem som kan göra ändringar i uppgifterna och under vilka omständigheter.

Begränsa behörigheter och privilegier

Begränsa behörigheterna för dina användare och fokusera på vilka dataobjekt som kan behöva ändras.

Mycket av data kommer aldrig, eller mycket sällan, att behöva ändras. Ibland kallas principen ”Principen om Minsta Privilegium”, en av de mest effektiva säkerhetsmetoderna och som ofta förbises men är lätt att tillämpa.

Logga alla åtgärder

Om ändringar gjordes i befintliga data, hur skulle du veta vilka förändringar som gjorts, när de gjordes och av vem? Kan du vara säker? Var ändringen godkänd och giltig?

Att ha en omfattande aktivitetslogg i realtid ger dig full kontroll för alla åtgärder, skyddar WordPress och är grundläggande för god säkerhetspraxis.

Att arkivera och kunna rapportera om alla aktiviteter är också ett krav i GDPR, PCI-DSS och i andra lagstadgade skyldigheter.

p

Tips: Jag rekommenderar plugin ”WP Activity Log” som finns i både gratis- och premium version.

Availability (Tillgänglighet)

Tillgänglighet fokuserar på att hålla data lätt och pålitligt tillgänglig. På så sätt säkerställer man att verksamheten fortsätter utan avbrott, att de anställda kan utföra sina uppgifter, att kunder kan göra sina beställningar osv.

Driftstopp handlar inte bara om den potentiella förlusten av intäkter utan också om förlusten av förtroendet från dina användare, prenumeranter, kunder, partners på grund av att systemen inte är tillgängliga.

Säkerhetskopiera

Säkerhetskopiera data regelbundet, överväg också att ha dessa säkerhetskopior lagrade utanför webbplatsen. Här är en kort artikel som utvecklar detta.

Planera för problem

Granska de infrastrukturkomponenter som företaget är beroende av; nätverk, servrar, applikationer etc. och ta fram en åtgärdsplan vid problem med något av dessa integrerade element.

Detta gäller även om Du använder ett webbhotell som kommer att hantera många av dessa uppgifter för din räkning. Det är dock viktigt att ställa relevanta frågor för att fastställa de processer och servicenivåer som de tillhandahåller och om de matchar affärsbehoven.

Försök till exempel att återställa säkerhetskopior, testa säkerhetssystem och simulera en katastrofåterställningsprocess.

Förebyggande underhåll

Underhåll spelar en avgörande roll i tillgänglighet och säkerställer att webbplatsen och tillhörande plugins uppdateras på ett snabbt sätt för att åtgärda kända sårbarheter.

Utbildning av användare

Att utbilda användare om de potentiella fallgroparna och att identifiera de hot som finns är en kritisk förebyggande åtgärd.

Starta relevant utbildning för de anställda, informera dem om vikten av den föreskrivna säkerhetspolicyn och varför företaget har implementerat sådana policyer.

Hjälp dem att förstå säkerhetsriskerna, med ett särskilt fokus på sociala hot som phishing och pretexting.

p
Tips: Jag rekommenderar utbildningen ”Security Awareness Training”, utbildning i säkerhetsmedvetenhet i kombination med simulerade nätfiskeattacker, skapad av KnowBe4.

Sammanfattning: Skydda WordPress

Genom att implementera ramverket CIA kommer man långt i att skydda WordPress, för att mildra och begränsa eventuella skador i händelse av dataintrång genom att begränsa åtkomst (Confidentiality) och modifiering (Integrity) till uppgifter. Samt att uppfylla juridiska krav.

  1. Starka lösenord; minskar risk för intrång med brute force attacker
  2. Tvåfaktorautentisering; hindrar användningen av stulna användaruppgifter
  3. Principen om Minsta Privilegium; begränsar åtkomst till data baserat på behov och begränsar modifieringen av sådan information
  4. Loggning; informerar om åtkomst, modifiering och systemförändringar
  5. Utbildning; de anställda blir en sista, stark försvarslinje
  6. Se till att alla system och plugins uppdateras