2021年11月のGoDaddyのハックから何を取り除くか
公開: 2021-11-232021年9月6日、現時点では未知のアクターが侵害し、120万人のGoDaddy顧客のデータにアクセスしました。 GoDaddyは、約36日後の11月17日に違反に気づきました。 違反は、事実の約5日後と41日後にSECに報告されました。
調査はまだ進行中ですが、顧客の電子メールと顧客番号が公開されたことはわかっています。 アクティブなマネージドWordPressのお客様は、sFTPおよびWordPressデータベースのクレデンシャルを含め、クレデンシャルが公開されていることも確認しています。 一部のお客様は、SSL秘密鍵も公開されています。
先に進む前に、アカウントのいずれかが公開された疑いがある場合は、すべてのパスワードをすぐに変更するようにしてください。
また、違反について顧客に通知する必要がある場合もあります。 これは規制要件であるため、管轄区域内のどの法律および規制が強制されているかを確認する必要があります。
GoDaddyに問題があるかどうかはまだわかりませんが、調査はまだ進行中です。 ただし、これはいくつかの理由から重要なポイントです。
WordPressのセキュリティは、他のすべての形式のセキュリティと同様に、何よりもまずリスクの管理に重点を置いています。
ハッカーとセキュリティソフトウェア/スペシャリストは、果てしない綱引きに閉じ込められています。 ほとんどの場合、結び目は真ん中で強打されたままです。 ただし、脆弱性、新しいテクノロジー、およびその他の無数の事柄は、いつでもこの微妙なバランスを崩す可能性があります。 そのバランスは通常、かなり迅速に回復します。 ただし、これでも、場合によっては修復不可能な損傷が発生する可能性があります。
このため、攻撃の影響を完全に受けないシステムはありません。 確かに、サービスプロバイダーは、すべてが更新され、保護されていることを確認する責任があります。責任の大部分はサービスプロバイダーにあります。 これは、私たちが彼らに翻弄されているという意味ではありません。 WordPressの管理者と所有者は、リスクを最小限に抑えるために、可能な限り自分自身を保護するための措置を講じることができます。
特に、WordPressは機能するためにいくつかのサブシステムに依存しており、それぞれが脆弱性や攻撃を受けやすい可能性があります。 優れたWordPressセキュリティポリシーは360度のアプローチを採用し、セキュリティリスクと懸念が発生したときに対処する反復的なWordPressセキュリティプロセスを同様に保証します。
侵害に気付くまでに非常に長い時間がかかる場合があります
世界最大のホスティング会社の1つであるGoDaddyは、ハッキングされたことに気付くまでに36日かかりました。 36日は長いように思えるかもしれませんが、IBMのレポートによると、企業は平均して200日近くかけて違反に気付くことがわかっています。 これにより、36日はかなり合理的に見えますが、それでも36日で多くのことが起こる可能性があります。
問題の真実は、ハッカーが自分のトラックをカバーするプロセスを芸術の形に変えており、大企業でさえ彼らが侵害されたことに気付くことを非常に困難にしているということです。 これは、多くのハッカーが強力な予算に支えられており、場合によっては州が資金を提供しているという事実によって悪化しています。
あなたは独裁政権があなたのWordPressウェブサイトに興味を持っていないかもしれないと思うかもしれませんが、これは必ずしも真実ではないかもしれません。 彼らはあなたのウェブサイトに特に興味がないかもしれませんが、それでもそれはクロスファイアに巻き込まれる可能性があります。 最終結果は同じように損害を与えます。
ハッキングを発見することはますます難しくなっていますが、それはすべて、リソースへのアクセスをログに記録するために必要なシステムが整っていることを確認することを含め、リスクの管理に帰着します。
WordPressでは、アクティビティログプラグインがすべての違いを生むことができます。 アクティビティログの範囲が広いほど、システムの視野が広くなり、精査を回避するものがないことを確認できます。
私たちのプラグインWPアクティビティログは、幅広いユーザーおよびシステムアクティビティをカバーし、WooCommerceなどのサードパーティのWordPressプラグインサポート用の多くのアクティビティログ拡張機能を含みます。 これにより、管理者はWebサイトのあらゆる側面が監視されていることに安心でき、不正な活動がレーダーの下を飛ぶリスクを大幅に減らすことができます。
言及する価値のあるもう1つの重要なプラグインは、WordPress用のWebサイトファイル変更モニタープラグインです。 このプラグインは基本的に、スキャンするたびにWordPress Webサイトのファイルのフィンガープリントを取得し、その結果を以前のスキャンと比較して、最も細かい変更を報告します。
パスワードは文字通りインフラストラクチャ全体の鍵です
初期の調査では、パスワードが侵害されたためにGoDaddyのハッキング全体が可能になったことが示されています。 1つのパスワードで家全体がダウンする様子を見ると、各パスワードの重要性がわかります。
もちろん、すべての詳細がまだ利用可能になっていないため、GoDaddyのケースについて推測しているわけではありません。 それでも、WordPressのパスワードと、それらを潜在的な責任からあなたの強いスーツに変える方法について、私たちは1つか2つのことを知っています。
必須の複雑さと自動有効期限を含む強力なWordPressパスワードセキュリティポリシーは、開始するのに適した場所です。 また、ログインに何度も失敗した後は、非アクティブなユーザーをブロックし、ユーザーアカウントをブロックする必要があります。 これらはすべて、パスワードに深刻なパンチを加えるプラグインであるWPasswordを介して簡単に構成できます。
もちろん、パスワード自体と同じくらいユビキタスになりつつあるWordPressでの二要素認証は、アカウントのセキュリティを確保するために重要です。 WP 2FAは、WordPressの2要素認証に対して完全にカスタマイズ可能なアプローチを提供します。これにより、車輪の再発明をしなくても、ユーザーとWordPressを保護できます。
前進する
ホスティングプロバイダーが彼らの側のセキュリティに責任があることは否定できません-そして、これらが見つかった場合、彼らはどんな失敗に対しても責任を負わなければなりません。 ただし、違反が発生しないという保証はありません。 このため、セキュリティを責任の共有と見なす必要があります。
今日、WordPressの所有者は、情報から、安全で安全な状態を維持するために設計された製品やサービスまで、自由に使える優れたリソースを持っています。 すべてのことを言い終えたら、ユーザーと顧客の安全を守る義務があり、データの安全を確保するためにできる限りのことをしなければなりません。