DE {CODE}: الحفاظ على أمان مواقع WordPress الخاصة بك وسط ارتفاع في الهجمات الإلكترونية العالمية

انضم إلى خبراء من WP Engine و Cloudflare في هذه الجلسة الخاصة بالأمان حول كيفية قفل مواقع الويب الخاصة بك. تسلط المناقشة الضوء على اتجاهات الهجمات الإلكترونية الحديثة جنبًا إلى جنب مع أمثلة محددة لكيفية حماية WP Engine لمواقعك. سيخرج المطورون بقائمة تحقق واضحة من الخطوات التي يجب اتخاذها لتأمين مواقعهم.

شرائح الجلسة

نص كامل

إيريك جونز : مرحبًا بك في DE {CODE} ، وشكرًا على انضمامك إلى ما يعد بأن تكون جلسة فرعية رائعة. اسمي إريك جونز ، وأنا نائب الرئيس للتسويق المؤسسي هنا في WP Engine. لا يمكنني أن أكون أكثر حماسًا لإدارة هذه المناقشة اليوم بين جو سوليفان ، كبير مسؤولي الأمن في Cloudflare ، وبرنت ستاكهاوس ، نائب رئيس الأمن في WP Engine ، اللذين يتمتعان فيما بينهما بعقود من الخبرة في مجال الأمن.

مناقشتنا ، الحفاظ على مواقع WordPress الخاصة بك آمنة وسط ارتفاع في هجمات الأمن السيبراني العالمية ، لا يمكن أن تكون في الوقت المناسب نظرًا لأن الهجمات السيبرانية ليست في ارتفاع فحسب ، بل إنها في جميع الأوقات ارتفاعات قياسية. جو ، لماذا لا نبدأ معك؟ أود أن أسمع من منظور واسع وكلي ما هي الاتجاهات التي تراها في مشهد الأمن السيبراني.

جو سوليفان : بالتأكيد. أنا سعيد للمشاركة. شكرًا لك على دعوتي إلى هذه المحادثة. أنا أيضًا أتطلع حقًا لذلك. أعتقد أن هناك اتجاهين رئيسيين ، على ما أعتقد ، في عالم الأمن في الوقت الحالي. رقم واحد هو أهم بكثير في نظر العالم.

لذا قبل أن نصل إلى الجانب التقني منها والتحديات الفعلية التي نواجهها يومًا بعد يوم ، يجدر بنا أن نتوقف لحظة لننظر إلى مدى تطور عالم الأمن منذ أن بدأت أنا وبرنت في هذه المهنة ، مثل قلت قبل عقود.

لم يعد الأمن فريقًا أو مفهومًا يجلس في زاوية المنظمة بعد الآن. إنه أساسي في كل ما نقوم به. الرؤساء التنفيذيون يخضعون للمساءلة. المجالس تطرح أسئلة صعبة. لن يساهم أصحاب رؤوس الأموال إلا إذا رأوا المستوى المناسب للاستثمار.

والأهم من ذلك ، أن عملائنا والمستهلكين والمشترين التجاريين لمنتجاتنا يطالبون بالمزيد منا. وهذا ، بالنسبة لي ، هو أهم اتجاه ولماذا نجري هذه المحادثة. إنه مهم لكل مطور في كل جانب من جوانب عمله.

لذا ، بالانتقال إلى ما يحدث بالفعل في عالم الأمن ، لن يصبح الأمر أسهل. والتحديات لا تزال تواجهنا. إذا كنت تهتم بالعناوين الرئيسية ، فقد شاهدت خلال الفترة القليلة الماضية فقط ظهور برامج الفدية الضارة. إنه أمر مخيف حقًا.

غيرت برامج الفدية (Ransomware) اللعبة من حيث الأمان لأنها تحولت من سرقة بعض البيانات أو كشف شيء ما للعالم إلى إيقاف عملك. وبالتالي فإن المفهوم الكامل لأهمية الأمن قد تضخمت بسبب هذه المخاطر ، فكرة أننا يمكن أن نستيقظ في الصباح ولن نكون قادرين على تشغيل أجهزة الكمبيوتر المحمولة الخاصة بنا ، وليس تشغيل موقعنا على الإنترنت. هذا مخيف حقًا.

بدأت الأشياء الجيوسياسية أيضًا في التأثير علينا جميعًا. لا يتم احتواء الوضع في أوكرانيا على العالم المادي. إنها بشكل كبير في السياق السيبراني في الوقت الحالي. وهو يمتد ليؤثر على بقيتنا. لذا فإن الأحداث الجيوسياسية التي تحدث في العالم المادي لها آثار فنية على أولئك منا الذين يحاولون إدارة الأعمال التجارية على الإنترنت.

وأعتقد أن الشيء الثالث الذي أود أن أذكره من وجهة نظر فنية هو أننا لا نعيش في عوالم من الكود الخاص بنا. نحن نعيش في عوالم هي عبارة عن اندماج برمجيات وكود يجتمعان معًا لتمثيل مؤسسة.

وهكذا ، في مجال الأمن ، نستخدم مصطلح سلسلة التوريد للتحدث عن كل تلك التعليمات البرمجية والتطبيقات الأخرى وكل شيء يصبح جزءًا من هويتنا كشركة. لذلك ، على سبيل المثال ، عندما كانت هناك قصص مؤخرًا حول تعرض Okta للاختراق ، لم يكن ذلك مجرد سؤال حول ما إذا كان Okta قد تم اختراقه. كانت مسألة ما إذا كانت شركتي وجميع الشركات الأخرى التي تستخدم Okta معرضة للخطر.

ولم يهتم زبائني بأوكتا. لقد اهتموا باستخدامهم لنا ، وما هي الضوابط التي لدينا للتخفيف من مخاطر تعرض Okta للخطر؟ لذلك هناك الكثير مما يجري الآن. وقد حان الوقت لإجراء هذه المحادثة.

إيريك جونز: جو ، فقط كسؤال للمتابعة ، كيف تفكر في تحديد أولويات كل تلك التحديات المحددة التي لديك والتي تواجهها كل مؤسسة أمنية؟

جو سوليفان: بالتأكيد. أعتقد أن هذا هو السؤال النهائي. إذا كانت لدينا ميزانية غير محدودة وعدد غير محدود من الأشخاص الذين يمكنهم القيام بالعمل ، فيمكننا القيام بكل ذلك. لكن هذا ليس واقعًا في أي منظمة في أي مرحلة من مراحل تطورها.

لذلك نحن دائمًا في طور تحديد الأولويات. ولذا فإن ما أود قوله هو أنه عليك إعطاء الأولوية للأساسيات أولاً. إنه لأمر صادم أن نسبة كبيرة من التنازلات تأتي من الإخفاقات في الأساسيات.

بصفتنا متخصصين في مجال الأمن ، نحب أن نتعمق في هجوم يوم الصفر أو هجوم اليوم الأول وننظر إلى هذا الشيء المعقد حقًا. ولكن 90٪ من الوقت ، تأتي الحلول الوسط من رسائل البريد الإلكتروني المخادعة أو يختار شخص ما استخدام نفس كلمة المرور التي استخدمها على موقع ويب شخصي تم اختراقه وعدم تشغيل المصادقة متعددة العوامل.

في كثير من الأحيان ، لدينا بالفعل الأدوات اللازمة للقيام بالأساسيات بشكل جيد ، لكننا لا نأخذ الوقت الكافي لتنفيذها.

إيريك جونز: نعم ، أعتقد أنك تصل إلى نقطة حاسمة في الأمن ، أليس كذلك؟ هذا شيء نتحمل المسؤولية عنه جميعًا. إنها مسؤولية مشتركة عبر المنظمة بأكملها. إنه لا يعيش فقط داخل فريق الأمن. تعيش مع كل موظف في شركة معينة.

Brent ، يتحول إليك ، من منظور WordPress ، ما هو نفسه ، ما هو المختلف في WordPress ، وما هي بعض أكبر نقاط الضعف التي تراها في المشهد؟

برينت ستاكهاوس : شكرًا ، إيريك ، وشكرًا لدعوتي. نقدر مشاركة الوقت مع جو. إنه يعرف الكثير من الأشياء. لقد كنا حول الكتلة عدة مرات. لذلك هذا رائع.

WordPress بعدة طرق - الأخبار جيدة بشكل عام بمعنى أن WordPress Core يختلف عن جميع المكونات الإضافية والسمات والأشياء الأخرى في نظام WordPress البيئي. لا يزال WordPress Core قويًا ومرنًا ضد الهجمات الشائعة.

لذا فإن WordPress نفسه عبارة عن نظام أساسي جيد ومستقر وقوي يجب أن يشعر العملاء عمومًا بالراحة عند استخدامه في أي سياق تقريبًا. يكمن التحدي في الغالب في جانب المكون الإضافي للأشياء ، حيث لا يوجد لدى wordpress.org أو هؤلاء المطورين الأساسيين أي شيء بشكل عام مع معظم المكونات الإضافية والسمات.

وتنوع جودة الكود ، على غرار التطبيقات التي ستحصل عليها في متجر Google Play Store أو شيء من هذا القبيل ، لم تتم كتابة تلك التطبيقات بواسطة Google ، كما قلت للتو. لم يتم كتابتها بواسطة WordPress ، هذه المكونات الإضافية والقوالب ويمكن أن تكون أي شيء من مطور واحد إلى فريق. قد تكون مساحة هذه المكونات الإضافية أو السمات صغيرة جدًا إلى كبيرة جدًا. قد يكون لديهم تاريخ جيد في تصحيح الأشياء بسرعة أم لا.

وهذا يعتمد. لذلك ، مع ازدياد شعبية WordPress ، وازدياد شعبية النظام البيئي ، يمكنك افتراض أن المهاجمين سيستمرون في تكثيف جهودهم لأن المهاجمين يذهبون إلى حيث يوجد المال ، على غرار سبب امتلاك Windows لبرامج ضارة أكثر من أجهزة Mac بشكل عام. هذا لأنه حيث توجد البصمة ، وهذا هو المكان الذي يوجد فيه المال.

لذلك لا يختلف WordPress ، ومع ازدياد شعبيته ، يمكنك توقع استمرار المهاجمين في فعل ما يفعلونه. والخبر السار هو ، مقارنةً ببدء تشغيل WP Engine قبل أربع سنوات ، أن النظام البيئي يتمتع بصحة جيدة إلى حد كبير.

يدرك مطورو المكونات الإضافية ومطورو السمات أنهم سيحصلون على مدخلات من الباحثين الأمنيين أو غيرهم من الأشخاص الذين يشيرون إلى نقاط الضعف. ويقوم معظمهم ببناء تلك العضلات بشكل مسؤول حتى يتمكنوا من تدوير البقع بسرعة كبيرة جدًا.

لذا فإن الأمور أفضل بكثير مما كانت عليه من قبل. قبل أربع سنوات ، فوجئ الكثير من المطورين عندما حدثت ثغرات ولم يكونوا في الحقيقة بهذه السرعة أو قادرين على تلبية احتياجات عملائهم فيما يتعلق بالتصحيح المنتظم.

نحن جميعًا كمستهلكين للتكنولوجيا معتادون على ، اقتباس غير مقتبس ، "Patch Tuesday" أو تحديثاتنا المنتظمة من Apple ، وما إلى ذلك. لذلك نحن لسنا متفاجئين بشأن نقاط الضعف. ومع ذلك ، سنكون مندهشين للغاية إذا لم يقم هذا البائع بتصحيح شيء ما بمسؤولية وبسرعة.

لذا فإن نظام WordPress البيئي بشكل عام أكثر صحة مما كان عليه قبل أربع سنوات ، على ما أعتقد. مرة أخرى ، يعد WordPress Core رائعًا ، لكن المكونات الإضافية والسمات ، كما أعتقد ، تتماشى بشكل عام. إذن هذا أمر إيجابي تمامًا.

إيريك جونز: فقط للنقر مرتين على شيء قلته عن WordPress Core ، ما هو فقط طبيعة البرامج مفتوحة المصدر التي ربما تساعد في تأمين هذه المشكلة حولها؟ لأنني أعتقد أن هذه واحدة من تلك المفاهيم الخاطئة والأساطير التي تشير إلى أن البرامج مفتوحة المصدر بطريقة ما ليست آمنة بشكل أساسي.

برينت ستاكهاوس: حسنًا ، هذا سؤال رائع. وسأكون مهتمًا بأفكار جو في هذا الشأن. وليس لإلقاء منحنى عليك يا إريك ، لكنني كبير في السن بما يكفي. لقد رأيت ما نعنيه بتغير المصدر المفتوح قليلاً بمرور الوقت.

كانت المصادر المفتوحة في الماضي مشاريع معروفة جدًا مثل خارج Apache ، أو ، على سبيل المثال ، OpenSSH ، أو ، على سبيل المثال ، Linux ، وأشياء من هذا القبيل وهكذا عندما نقول مفتوحة المصدر في ذلك الوقت ، هذا ما كنا عليه عادةً بالاشارة الى.

ونعم ، كان هناك الكثير من المشروعات الثانوية والثالثية وأيًا كانت المشروعات الصغيرة التي لم تتم صيانتها جيدًا تقريبًا ، وما إلى ذلك. الآن ما أعتقد أننا نعنيه بالمصدر المفتوح هو فعليًا أي شيء موجود في GitHub ، أي شخص ينشر أي شيء هناك أي شخص يمكن أن ينتزع.

أنت تتحدث عن المكتبات ، رمز صغير جدًا يمكن لأي شخص أن يقول ، أوه ، يبدو رائعًا بناءً على ميزاته ، أننا سنقوم بدمج ذلك. وسأتحدث بعد ذلك بقليل كما ألمح جو إلى مشكلات سلسلة التوريد. سأتحدث لاحقًا قليلاً عن التحديات الخاصة بالمطور فيما يتعلق بتخفيف مخاطر سلسلة التوريد.

لأن المصدر المفتوح - أعود إلى سؤالك ، إيريك ، حول WordPress. إنه لأمر رائع أن يكون هذا المصدر موجودًا هناك. الكثير من الناس ينظرون إليه. أعتقد أن هذا صحيح أيضًا في الماضي مع Apache وأشياء من هذا القبيل. أي شيء يتم استخدامه على نطاق واسع سيخضع للكثير من التدقيق من كل من الأخيار والأشرار وأعتقد أن هذا أمر جيد. لم يكن الأمن من خلال الغموض أبدًا ممارسة جيدة. ولذا فإن وجود الشفرة بالخارج أمر رائع.

لكن المصدر المفتوح الذي يساوي مستوى أمان أفضل من مغلق أو العكس هو سؤال يصعب الإجابة عليه. لأنها حرفيا التفاح والبرتقال. أعتقد أن WordPress كفريق قد قام بعمل رائع باستخدام مدخلات أخرى غير ذكائهم مثل استخدام برنامج bug bounty. يقوم WordPress Core بذلك منذ سنوات. أعتقد أن هذا ذكي.

لديهم بلا شك باحثون غير منتسبين يتنقلون بشكل منتظم مع النتائج التي توصلوا إليها. والفرق الذكية تأخذ هذه المدخلات وتفعل الشيء الصحيح. أنا متأكد من أنهم سيخضعون لاختبار القلم بأنفسهم ، وما إلى ذلك. لذلك نقوم بأشياء مماثلة في WP Engine ، ولكن هذا نوع من التكافؤ في الدورة التدريبية.

جو ، أي أفكار حول ذلك؟ آسف لتولي الأمر ، إريك ، لكن--

إريك جونز: لا ، هذا رائع.

جو سوليفان: أعتقد أنك حققت الكثير من النقاط المرتفعة. عندما أفكر في البرمجيات مفتوحة المصدر - عندما أفكر في البرامج من أي مصدر ، أعتقد أنه يتعين علينا تقييمها قبل وضعها في بيئتنا. وفي بعض الأحيان ، ستكون البرامج مفتوحة المصدر هي الخيار الأفضل من البرامج الاحتكارية. لأنك تعرف ماذا؟ تقتل أشعة الشمس العدوى.

وما لدينا من الكثير من البرامج مفتوحة المصدر هو أن الكثير من الناس ينظرون إليها أيضًا. أعتقد أن هذا شيء في عالم الأمان بشكل عام لا نقوم به بشكل جيد بما يكفي لأننا نجلس جميعًا في فرقنا الصغيرة وفي الزوايا ، ونحاول حل كل شيء بأنفسنا.

إشراك المجتمع أمر جيد. الشفافية والحوار حول المخاطر حول أجزاء معينة من البرامج أمر جيد. ونحن نتحسن في ذلك. مثالك على برنامج bug bounty هو طريقة أخرى لتحقيق الشفافية ودعوة أطراف ثالثة لعمل ثغرات.

البرامج مفتوحة المصدر لديها الكثير من الأشخاص الذين ينظرون إليها عندما نتحدث عن الأجزاء الأكثر استخدامًا والأكثر أهمية من البرامج مفتوحة المصدر. ولكن بالطريقة نفسها ، لن أحصل على بعض الكود من GitHub وأضعه في المنتج الخاص بي دون التدقيق فيه حقًا.

أود أن أقول أيضًا أنك بحاجة إلى توخي نفس الحذر عند شراء ترخيص لبرنامج مملوك. ما زلت بحاجة إلى النظر إلى من يصنعها ، وما هي الممارسات التي لديهم ، ومدى قوتها.

برينت ستاكهاوس: نعم ، الكثير منها يدور حول - وهذا مصطلح مهووس بالمخاطرة - ولكنه يتعلق بالضمان. ما هو الضمان الذي يمكننا الحصول عليه لأي شيء نقوم به بالمعنى التقني لمدى الأمان بمجرد قيامنا بـ A و B و C. والكثير من التأكيدات ، اعتمادًا على الموقف مع المصدر المغلق ، يكون الحصول عليه أكثر صعوبة.

في المصدر المفتوح ، يمكنك أن تشعر بسهولة أكبر بمن فعل ما للتحقق من الكود. الأمر أصعب قليلاً مع وجود مصدر مغلق. يتعين عليك استخدام المدخلات غير المباشرة التي توضح أن هذه الشركة لديها ممارسات أمنية جيدة بمرور الوقت ، وما إلى ذلك.

لكن ، نعم ، الحصول على التأكيدات هو في نهاية المطاف ما تحاول القيام به عند النشر ، باستخدام أي تقنية بشكل عام. شكرًا.

إريك جونز: بالنسبة للمطورين الموجودين هناك ، ما هي تلك التأكيدات المحددة التي تبحث عنها في الشركات؟ إذا كانت هذه المشاريع أو الأجزاء من البرامج تحتوي على هذه الأشياء ، فأنت تعتبرها جيدة ، لتكون أكثر أمانًا قليلاً مما قد تكون عليه بخلاف ذلك.

برينت ستاك هاوس: هل تريد إجابة ووردبريس؟ سأترك جو يذهب إذا كنت تريد أن تبدأ بشكل عام.

إيريك جونز: نعم ، جو ، إذا كان بإمكانك تقديم ربما منظورًا واسعًا ، وبعد ذلك ، يمكنك ، برنت ، تقديم منظور WordPress الأكثر تحديدًا.

جو سوليفان: نعم ، من حيث أجلس ، أفكر في هذا السؤال كمشتري وكبائع لأنني أعمل في Cloudflare ، حيث يقوم الناس بتنفيذ منتجاتنا. والسؤال الأول الذي يطرحه أي عميل في Cloudflare قبل تنفيذ Cloudflare هو ، هل يجب أن أثق في Cloudflare؟ لأننا نجلس أمام عملهم بالكامل. وهذا مكان محفوف بالمخاطر حقًا لوضع شخص ما إلا إذا كنت تثق به.

لكنني أيضًا ، نظرًا لأننا ننمو ونحتاج إلى بناء منتجاتنا ، فإننا نعتمد أيضًا على أطراف ثالثة. ولذا فأنا في الطرف المتلقي للأسئلة الصعبة ، وأنا في الطرف المطروح من الأسئلة الصعبة.

وانظر ، ليس لدى أي منا الوقت للذهاب أو الموارد اللازمة للدخول والتدقيق في كل مرة سنعمل فيها مع طرف ثالث. ليس لدينا فرق كبيرة بما يكفي. ليس لدينا مجموعة المهارات. لذلك نبدأ بشهادات الأمان كمفهوم مهم هنا.

عندما أقول شهادات ، أعني أشياء مثل SOC 2 أو SOC 2 Type II مثل WP Engine أو ISO 27001 أو PCI. عندما تسمع هذه الكلمات والشهادات ، ما يجب أن تعتقد أن طرفًا ثالثًا قد استخدم مجموعة معترف بها من المعايير للدخول ومراجعة تلك الشركة وتقييم ما إذا كانت تفي بجميع عناصر التحكم في هذا المجال.

وهكذا فإن كل واحد منا - Cloudflare لديه تقرير SOC 2 Type II يمكننا مشاركته. WP Engine لديه تقرير SOC 2 Type II يمكننا مشاركته. والشيء الجميل عندما أقول النوع الثاني ، فهذا يعني أنه لم يكن مجرد نقطة زمنية في التدقيق. كانت فترة طويلة من الزمن.

لذلك ، على سبيل المثال ، مع SOC 2 Type II ، فهذا يعني أنه خلال العام الماضي ، في أي وقت خلال تلك الفترة التي توجد فيها هذه الشهادة ، كنا في حالة امتثال للحد الأدنى من ضوابط الأمان. في كثير من الأحيان هذا يكفي للعميل. مثل ، أوه ، هذه الشركة لديها SOC 2 Type II. حسنًا ، سأثق بهم.

ولكن بعد ذلك قد ترغب في البحث بشكل أعمق قليلاً بناءً على التنفيذ المحدد الخاص بك. لذلك عندما أفكر في شراء منتج ، لا أفكر فقط في جودة الكود ، ولكن كيف يتكامل مع بيئتي.

ولذا فإن الشيء الذي يهمني كثيرًا هو المصادقة. هل يمكنني دمج ذلك مع تسجيل الدخول الفردي الخاص بي حتى أتمكن من إدارة من داخل مؤسستي وخارج مؤسستي يمكنه الوصول إليها؟ لأنه ، كما قلت سابقًا ، تأتي نسبة كبيرة من مشكلات الأمان.

لذا فأنت تريد اختيار منتجات مثل WP Engine ، حيث يمكنك دمجها مع SSO الخاص بك والسماح للأمان بتشغيل الأدوات دون الحاجة إلى القيام بالكثير من العمل العملي. لذلك ، بالنسبة لي ، إنها شهادات بالإضافة إلى مزيج من كل شيء آخر تريده لبيئتك المحددة.

إيريك جونز: والآن ، برنت ، أعاد إليك السؤال ، كيف تفكر في ذلك في سياق WordPress؟

برينت ستاكهاوس: نعم ، أعتقد أن هذا رائع. عندما يبحث الناس في توسيع نظام WordPress البيئي ، إذا جاز التعبير ، باستخدام المكونات الإضافية والسمات ، هناك بضعة أشياء يجب البحث عنها حتى من سياق العمل أو طبقة الأعمال ، مدى شيوع هذا الجزء المحدد من التعليمات البرمجية ، أو المكون الإضافي ، أو سمة؟ وهل يمكنني أن أرى في سجل التغيير الخاص بهم أنهم يقومون بالتحديث بشكل منتظم ، بما في ذلك تحديثات الأمان؟

هذه مقاييس أو مدخلات نوعية للغاية ، لكنها لا تزال ذات صلة. عادةً ما يكون مطورو المكونات الإضافية أو مطورو السمات الذين لديهم بصمة كبيرة - لديهم الكثير من العملاء - لديهم ما يخسرونه ويكسبونه ، إذا جاز التعبير ، من خلال الحفاظ على الكود الخاص بهم جيدًا أو لا ، اعتمادًا على الطريقة التي تريد قلب ذلك. لذا فإن مجرد الذهاب إلى أكثرها شيوعًا لكل ما تحتاجه هو ممارسة جيدة بشكل عام.

على مستوى المطور ، يمكنك تطبيق المزيد من التحكم ، إذا جاز التعبير. يمكنك استخدام أدوات أمان التطبيق الثابتة لمكوِّن إضافي معين. هل من المحتمل أن تجد شيئًا لا يعرفه باحث أمني آخر؟ ربما لا ، ولكن لا يزال من الجيد تشغيل هذه الأشياء مهما كانت الأدوات الخاصة بك. وهناك الكثير من الأدوات المجانية مفتوحة المصدر المتاحة أو حتى الأدوات التجارية بتكلفة منخفضة جدًا أو تراخيص مجانية يمكن أن تمكنك من الحصول على ضمان أفضل بشأن أي كود تستخدمه في بيئتك.

أحد الأشياء التي تطرق إليها جو والتي سأتحدث معك قليلاً أيضًا ، هو أن WP Engine هو أيضًا مستهلك للكود بالإضافة إلى منتج ، ولذا فنحن أيضًا مزود خدمة وقلقون جدًا بشأن نزاهة خدماتنا. جهود التنمية الشاملة. وهو تحدٍ مستمر.

لذا فإن أحد الأشياء بالنسبة للمطورين لدينا الذين يقومون بتشغيل مواقع WordPress هو أنهم يجب أن يكونوا على دراية ، كما نأمل ، بسياق مؤسستهم حول المخاطر. في أي قطاع هم ، على سبيل المثال؟ ما مقدار التسامح الذي تتمتع به المنظمة حيال حدوث أشياء سيئة؟ بعض القطاعات أو المنظمات أكثر عرضة لأشياء مثل هجمات DDoS ، وما إلى ذلك.

لذا بالتفكير في ذلك وربما الترميز لهذه الأشياء ، لا يمكنك البرمجة لـ DDoS ، ولكن يمكنك بالتأكيد أن تكون على دراية بها وتكشف عن ذلك. إنه أمر مهم جدًا ، على ما أعتقد ، للمطورين الذين يقومون بالشيء الصحيح.

إيريك جونز: تبديل التروس قليلاً ، وبهدف محاولة تقديم بعض التوصيات المحددة للغاية ، يا جو ، من منظور أمني عالي المستوى ، ما الذي توصي به مالكي مواقع الويب للمساعدة في تعزيز أمنهم؟

جو سوليفان: حسنًا ، الطريقة التي أفكر بها في الأمر ، درهم وقاية خير من قنطار علاج. وفي سياق الأمان ، هذا يعني اختيار الأدوات والأنظمة الأساسية المناسبة التي ستستخدمها قبل أن تبدأ بدلاً من محاولة إنشاء شيء ما ، والآن دعنا نتعرف على كيفية قيامنا بتمهيد الأمان فوقه.

لذلك ، عند تحديد الأنظمة الأساسية ، عند تحديد الأدوات ، عند تحديد رمز ، فأنت تريد التفكير في الأمر مع وضع الأمان في الاعتبار من البداية. وهكذا ، كما قلت ، إذا كان بإمكانك الحصول على الأمان تلقائيًا من خلال الأدوات التي تختارها ، فستكون في مكان أفضل بكثير مما لو كان عليك توظيف أشخاص ليأتوا جنبًا إلى جنب والقيام مجموعة من عمليات التدقيق ، ثم حاول إصلاح كل شيء أثناء إبحار السفينة عبر المحيط.

لا يمكنك تصحيحه بهذه الطريقة. وهكذا ، بالنسبة لي ، أبحث دائمًا عن ، ما الذي أخرجه من الصندوق من وجهة نظر أمنية؟ ما هي الإعدادات المتوفرة لي؟ وإذا أخذت أساسيات الأمن ، أعتقد أنه يوجد في الواقع عدد قليل من المجالات.

رقم واحد بالنسبة لي هو دائمًا تلك الهوية وإدارة الوصول. لهذا السبب تحدثت عن القدرة على دمج تسجيل الدخول الفردي من البداية. إذا كنت أقوم بإنشاء شركة ، فإن أول الأشياء التي سأختارها سيكون إعداد تسجيل الدخول الفردي الصحيح الذي سيتسع نطاق مؤسستي. وسأحاول دائمًا اختيار المنتجات التي تتكامل معها.

الشيء الثاني الذي سأفكر فيه هو ، حسنًا ، سيكون لدي مجموعة من الأكواد التي تواجه الإنترنت. كيف يمكنني مقاومة الهجمات من الإنترنت؟ هل سأضطر إلى الذهاب من خلال هجمات رفض الخدمة التي ذكرها برنت.

هل يتعين عليّ أن أعرف شخصيًا كيفية الحصول على موازين تحميل وإدارة كل ذلك وشراء منتجات مثل Cloudflare؟ أم أنها تأتي مدمجة مع نظام أساسي أشتريه حتى لا أضطر إلى التفكير في الأمان. أعلم أنه مدمج بالفعل ، وما إلى ذلك. لذلك سأذهب بشكل منهجي من خلال الموظفين وإدارة الهوية والوصول ، الكود المواجه للإنترنت.

وبعد ذلك ، مثل الركيزة الثالثة ربما - التي لا نتحدث عنها هنا حقًا - هي ، كيف يمكنني إعداد أجهزة الكمبيوتر المحمولة وأشياء من هذا القبيل؟

إيريك جونز: وربما ينتقل إليك برنت ، ما هي بعض الأشياء المحددة التي يجب أن يفكر فيها مطورو WordPress لبناء أكثر المواقع أمانًا قدر الإمكان؟

برينت ستاكهاوس: نعم ، ردي المبدئي كان ممتعًا. الكثير مما نتحدث عنه هو اتخاذ قرار حول وقت البناء مقابل الشراء. هل ستنشئ المكونات الإضافية الخاصة بك وكل الأشياء التي تريد القيام بها لتوسيع نظام WordPress البيئي الخاص بك؟ أم أنك ستشتري إذا جاز التعبير حتى لو كانت مجانية؟

لكن هذا ينطبق ، على ما أعتقد ، على جو وأنا أيضًا ، بمعنى أننا نستهلك كود الأشخاص الآخرين من خلال GitHub أو أي آلية أخرى ويمكننا تصور توظيف مطورين والقيام بكل ذلك من الصفر. أو يمكننا استخدام شيء قام به شخص آخر بالفعل.

ولماذا تعيد إنشاء العجلة عندما لا تضطر إلى ذلك؟ ولكن كيف يمكنك التأكد من أن الكود الذي تستخدمه في حالة جيدة؟ لذا بالعودة إلى WordPress على وجه التحديد ، أعتقد أن هناك شيئين - ربما يكون هذا هو الحس السليم لجمهور المطورين ، لكننا سنقوله على أي حال. عندما تقوم بالبرمجة ، قم بالتشفير بأمان ، مما يعني معرفة ما تحاول القيام به. حاول أن تربط ما تحاول القيام به فيما يتعلق بوظائفك ، كل تلك الأنواع من الأشياء.

لكن ضع في اعتبارك OWASP Top 10. ربما يكون OWASP Top 10 معروفًا جيدًا لجمهورنا. ولكن ، مرة أخرى ، الأساسيات مهمة كما أشار Joe سابقًا ، وبالتالي فإن أساسيات المطور تتضمن بالتأكيد OWASP Top 10.

ثم استخدم إحدى أدوات أمان التطبيقات الثابتة التي ذكرتها والتي تم نشرها مسبقًا بشكل جيد جدًا أو أثناء النشر. يمكنك القيام بذلك تلقائيًا ، إذا جاز التعبير. وتأكد من أن الشفرة التي ترسلها إلى هناك في حالة جيدة بالفعل وأنه لا توجد ثغرات أمنية معروفة في التعليمات البرمجية الخاصة بك إذا كنت تقوم بتطوير رمز مخصص.

الأمر الثالث يتعلق بقضية سلسلة التوريد التي تحدثنا عنها. ولدى GitHub بعض الوظائف المجانية التي يمكن أن تخبرك بالفعل عندما تكون تبعياتك الأولية قد عرفت نقاط ضعف. لذا فإن Dependabot ، وهو روبوت تبعية ، هو شيء رائع يوفره GitHub ، ويجب عليك تمكينه تمامًا في المستودعات الخاصة بك. ويمكنه بالفعل إنشاء علاقات عامة تلقائيًا. وبعد ذلك سيكون لديك خيار دمج ذلك إذا كنت تعتقد أنك بحاجة إلى ذلك بحيث لا تحتوي تبعياتك الأولية على الأقل على أي ثغرات أمنية معروفة.

من المفترض أن تحتوي جميع الكودات على أخطاء حتى عند شحنها ولديها مجموعة فرعية منها ربما تكون أخطاء أمنية ، ولكن على الأقل نحتاج إلى تجنب التحديات الواضحة التي أشار إليها Joe سابقًا. لا نريد الدخول في الصحف لأننا نفتقد ما هو واضح. مثل ، مهلا ، يجب عليك تصحيح الأشياء. حسنًا ، هذه ثلاثة أشياء أعتقد أنه يمكن للمطورين وضعها في الاعتبار لإبعاد أنفسهم عن النار ، إذا جاز التعبير.

إيريك جونز: أعتقد أن السؤال لكما هو ، ما هي الأشياء التي تراها تنزل من رمح والتي ليست على الرادار تمامًا في الوقت الحالي؟ وما هي الأشياء التي يجب على الأشخاص والمطورين ومالكي مواقع الويب التفكير فيها حتى الآن؟ وهذا سؤال مفتوح لأي منكم.

برينت ستاكهاوس: حسنًا ، أجل ، أريد أن أقفز لأن جو أجاب على سؤال أوكتا مسبقًا. إذاً تلك المجموعة بالذات - هذا مثير للاهتمام. لذلك رأينا ذلك بالفعل. لذلك لا يمكنني حتى أن أقول إن هذا يكاد ينزل من رمح.

لكن المجموعة التي فجرت Okta وأيضًا الأسماء الكبيرة الأخرى التي لا نحتاج إلى ذكرها في هذا البودكاست أو هذه المقابلة بالضرورة ، يستخدمون تقنيات هندسة اجتماعية مثيرة جدًا للاهتمام في المقام الأول ، وليس هجمات تقنية للغاية على الإطلاق.

ولذا ربما لا يكون المطورون عرضة لهذا النوع من الهجوم. يعتمد ذلك على المؤسسة والمكان الذي يناسبه هذا المطور. ولكن من المؤكد أن أي شخص يعمل كموظف في تكنولوجيا المعلومات أو لديه إمكانية الوصول إلى الأصول ، إذا جاز التعبير ، لمنظمة معينة يمكن أن يكون مستهدفًا بشكل جيد بهجمات الهندسة الاجتماعية.

لذلك هذا شيء لا نحب الحديث عنه لأننا لا نستطيع فقط إصلاحه تقنيًا. لكن البشر بصراحة لا يزالون هم البقعة اللينة. المرور من الباب الأمامي كما نسميه ، يعني هجومًا خارجيًا ، غالبًا ما يكون أصعب من الناحية الفنية ومزيدًا من العمل للمهاجمين. وأحيانًا ، أو في كثير من الأحيان ، سيتعرضون لهجمات الهندسة الاجتماعية. لا يزال التصيد الاحتيالي فعالاً للغاية من خلال أي وسيلة كانت.

لذلك أعتقد أن هذا شيء يثبت أنه لا يزال يمثل تحديًا. وربما لا تركز المنظمات وقتها على ذلك بقدر ما ينبغي.

جو سوليفان: نعم ، أعتقد أن طريقة أخرى لقول ما قاله برنت بصوت مختلف قليلاً هي أنني في الواقع لا أريد للمطورين أن يقضوا الكثير من الوقت مع كرة بلورية ، في محاولة لتوقع المشكلة الأمنية التالية. من الأهمية بمكان الحصول على الأساسيات بشكل صحيح.

وستعتني هذه الأساسيات بمعظم الشيء الكبير التالي ، مهما كان. وعلى سبيل المثال ، ذكرت أن هناك تحولًا جوهريًا فيما يتعلق بظهور برامج الفدية الضارة. لقد أوصل الشركات إلى طريق مسدود بطريقة لم تفعلها الجريمة الإلكترونية من قبل.

لكن الأمر لا يشبه الخروج وشراء منتج لحظر برامج الفدية. تعود وتفعل نفس الأشياء التي كان يجب أن تفعلها بالفعل للتعامل مع التهديدات السابقة. ما هو انتزاع الفدية؟ إنها برامج ضارة يتم وضعها في بيئتك.

حسنًا ، في أي وقت يدخل فيه متطفل إلى بيئتك ، فهذا أمر سيء. لذلك لدينا الحق - إذا واصلنا التركيز فقط على المحيط وعدم السماح لموظفينا بالاختراق أو تعرض كودنا للاختراق ، فلن نضطر إلى التعامل مع برامج الفدية.

لذا بدلاً من الجلوس والقلق بشأن برنامج الفدية التالي ، استمر في التركيز على الأساسيات. ودع بقيتنا في عالم الأمن يتكهن بالمستقبل.

إيريك جونز: جو وبرنت ، شكرًا جزيلاً على وجهة نظرك ووقتك ونصيحتك اليوم. الكثير لتفكر فيه من تصحيح الأساسيات ، أهمية الشفافية ، ما الذي تبحث عنه من منظور التأمين.

ومن ثم ربما يكون الشيء الأكثر أهمية على الإطلاق هو أن الأمن يجب ألا يكون فكرة متأخرة. عليك أن تبنيها منذ البداية. أنا أشجع الجميع ، إذا كنت مهتمًا بمعرفة المزيد حول عروض أمان WP Engine أو Cloudflare ، فيرجى التحقق من مواقعنا الإلكترونية. وبالطبع ، في WP Engine ، لدينا ثروة من معلومات الأمان المتاحة للجميع في مركز الموارد الخاص بنا إذا كنت مهتمًا بمنظور WordPress معين. لذا ، مرة أخرى ، لكل من تابعنا اليوم ، شكرًا لك على قضاء وقتك والانضمام إلينا اليوم.