DE{CODE}: Menjaga Keamanan Situs WordPress Anda di Tengah Meningkatnya Serangan Cyber ​​Global

Bergabunglah dengan pakar dari WP Engine dan Cloudflare untuk sesi khusus keamanan ini tentang cara mengunci situs web Anda. Diskusi menyoroti tren serangan dunia maya baru-baru ini bersama dengan contoh spesifik tentang bagaimana WP Engine melindungi situs Anda. Pengembang akan meninggalkan daftar periksa yang jelas tentang langkah-langkah yang harus diambil untuk mengamankan situs mereka.

Slide Sesi

Transkrip Teks Lengkap

ERIC JONES : Selamat datang di DE{CODE}, dan terima kasih telah bergabung dalam sesi terobosan yang luar biasa. Nama saya Eric Jones, dan saya VP Corporate Marketing di WP Engine. Saya sangat bersemangat untuk memoderasi diskusi hari ini antara Joe Sullivan, Chief Security Officer Cloudflare, dan Brent Stackhouse, Vice President of Security untuk WP Engine, yang di antara mereka memiliki pengalaman puluhan tahun dalam keamanan.

Diskusi kami, Menjaga Keamanan Situs WordPress Anda di Tengah Meningkatnya Serangan Keamanan Siber Global, sangat tepat waktu mengingat bahwa serangan dunia maya tidak hanya meningkat, tetapi juga merupakan rekor tertinggi sepanjang masa. Joe, kenapa kita tidak mulai denganmu? Saya ingin mendengar dari perspektif makro yang luas tentang tren apa yang Anda lihat dalam lanskap keamanan siber.

JOE SULLIVAN : Tentu. Saya senang untuk bergabung. Terima kasih telah mengundang saya ke percakapan ini. Saya juga sangat menantikannya. Saya pikir ada dua, saya kira, megatren di dunia keamanan saat ini. Nomor satu adalah jauh lebih penting di mata dunia.

Jadi sebelum kita masuk ke sisi teknisnya dan tantangan aktual yang kita hadapi hari demi hari, ada baiknya meluangkan waktu sejenak untuk melihat seberapa banyak dunia keamanan telah berkembang sejak Brent dan saya memulai profesi ini, seperti Anda berkata, puluhan tahun yang lalu.

Keamanan bukanlah sebuah tim atau konsep yang duduk di pojok organisasi lagi. Itu adalah inti dari semua yang kami lakukan. Para CEO dimintai pertanggungjawaban. Dewan mengajukan pertanyaan sulit. Kapitalis ventura tidak akan berkontribusi kecuali mereka melihat tingkat investasi yang tepat.

Dan, yang lebih penting, pelanggan dan konsumen serta pembeli bisnis produk kita menuntut lebih banyak dari kita. Dan itu, bagi saya, adalah tren yang paling penting dan mengapa kita melakukan percakapan ini. Itu penting bagi setiap pengembang dalam setiap aspek pekerjaan mereka.

Jadi beralih ke apa yang sebenarnya terjadi di dunia keamanan, tidak menjadi lebih mudah. Dan tantangan terus datang pada kita. Jika Anda memperhatikan berita utama, Anda telah melihat sedikit terakhir saat munculnya ransomware. Ini sangat menakutkan.

Ransomware mengubah permainan dalam hal keamanan karena berubah dari mencuri beberapa data atau mengekspos sesuatu ke dunia menjadi mematikan bisnis Anda. Jadi seluruh konsep tentang pentingnya keamanan diperbesar oleh risiko itu, gagasan bahwa kita dapat bangun di pagi hari dan tidak dapat menyalakan laptop kita, tidak menjalankan situs web kita. Itu sangat menakutkan.

Hal-hal geopolitik juga benar-benar mulai memengaruhi kita semua. Situasi di Ukraina tidak terbatas pada dunia fisik. Ini sangat dalam konteks dunia maya sekarang. Dan itu tumpah untuk mempengaruhi kita semua. Jadi peristiwa geopolitik yang terjadi di dunia fisik memiliki implikasi teknis bagi kita yang mencoba mengoperasikan bisnis yang ada di internet.

Dan saya pikir hal ketiga yang akan saya sebutkan dari sudut pandang teknis adalah bahwa kita tidak hidup di dunia kode kita sendiri. Kita hidup di dunia yang merupakan penggabungan perangkat lunak dan kode yang bersatu untuk mewakili sebuah organisasi.

Jadi, dalam keamanan, kami menggunakan istilah rantai pasokan untuk membicarakan semua kode lain dan aplikasi lain dan segala sesuatu yang menjadi bagian dari identitas kami sebagai sebuah perusahaan. Jadi, misalnya, ketika baru-baru ini ada cerita tentang Okta yang disusupi, itu bukan sekadar pertanyaan apakah Okta disusupi. Itu adalah pertanyaan apakah perusahaan saya dan semua perusahaan lain yang menggunakan Okta disusupi.

Dan pelanggan saya tidak peduli dengan Okta. Mereka peduli tentang penggunaan kami oleh mereka, dan kontrol apa yang kami miliki untuk mengurangi risiko Okta disusupi? Jadi ada banyak hal yang terjadi sekarang. Dan ini saat yang tepat untuk melakukan percakapan ini.

ERIC JONES: Joe, sebagai pertanyaan lanjutan, bagaimana pendapat Anda tentang prioritas semua tantangan khusus yang Anda miliki dan yang dimiliki setiap organisasi keamanan?

JOE SULLIVAN: Tentu. Saya pikir itu pertanyaan pamungkas. Jika kita memiliki anggaran yang tidak terbatas dan orang yang tidak terbatas yang dapat melakukan pekerjaan itu, kita dapat melakukan semuanya. Tapi itu bukanlah kenyataan di organisasi mana pun pada setiap tahap perkembangannya.

Jadi kami selalu dalam proses penentuan prioritas. Jadi yang akan saya katakan adalah Anda harus memprioritaskan dasar-dasarnya terlebih dahulu. Sungguh mengejutkan betapa besar persentase kompromi yang berasal dari kegagalan pada dasarnya.

Sebagai profesional keamanan, kami senang menggali serangan zero-day atau O-day attack dan melihat hal yang sangat rumit ini. Namun 90% dari waktu, penyusupan berasal dari email phishing atau seseorang yang memilih untuk menggunakan kata sandi yang sama dengan yang mereka gunakan di situs web pribadi yang disusupi dan tidak mengaktifkan autentikasi multifaktor.

Sering kali, kami sebenarnya memiliki alat untuk melakukan dasar-dasarnya dengan baik, tetapi kami tidak meluangkan waktu untuk menerapkannya.

ERIC JONES: Ya, saya pikir Anda mencapai titik krusial dalam keamanan, bukan? Bahwa itu adalah sesuatu yang menjadi tanggung jawab kita semua. Ini adalah tanggung jawab bersama di seluruh organisasi. Itu tidak hidup hanya di dalam tim keamanan. Itu hidup dengan setiap karyawan di perusahaan tertentu.

Brent, beralih ke Anda, dari perspektif WordPress, apa yang sama, apa yang berbeda di WordPress, dan apa saja titik kerentanan terbesar yang Anda lihat di lanskap?

BRENT STACKHOUSE : Terima kasih, Eric, dan terima kasih telah mengundang saya. Hargai waktu berbagi dengan Joe. Dia tahu banyak hal. Kami sudah berkeliling blok beberapa kali. Jadi ini menarik.

WordPress dalam banyak hal– berita umumnya bagus dalam arti bahwa WordPress Core dibedakan dari semua plugin dan tema dan hal-hal lain di ekosistem WordPress. WordPress Core terus kuat dan tahan terhadap serangan umum.

Jadi WordPress sendiri adalah platform yang bagus, stabil, dan kuat yang pada umumnya pelanggan merasa nyaman menggunakannya di hampir semua konteks. Tantangannya sebagian besar ada di sisi plugin, di mana wordpress.org atau pengembang inti tersebut umumnya tidak ada hubungannya dengan sebagian besar plugin dan tema.

Dan variabilitas kualitas kode, mirip dengan aplikasi yang Anda dapatkan di Google Play Store atau semacamnya, itu tidak ditulis oleh, seperti yang baru saja saya katakan, Google. Mereka tidak ditulis oleh WordPress, plugin dan tema ini dan bisa apa saja dari pengembang tunggal hingga tim. Jejak plugin atau tema tersebut bisa sangat kecil hingga sangat besar. Mereka mungkin memiliki riwayat yang baik dalam menambal sesuatu dengan cepat atau tidak.

Dan itu tergantung. Jadi, ketika WordPress semakin populer, dan ekosistem semakin populer, Anda dapat berasumsi bahwa penyerang akan terus meningkatkan upaya mereka karena penyerang mencari uang, mirip dengan mengapa Windows memiliki lebih banyak malware daripada Mac pada umumnya. Itu karena di situlah jejaknya, dan di situlah uangnya.

Jadi WordPress tidak berbeda, dan karena popularitasnya meningkat, Anda dapat mengharapkan penyerang untuk terus melakukan apa yang dilakukannya. Kabar baiknya adalah, dibandingkan saat saya memulai WP Engine empat tahun lalu, ekosistemnya jauh lebih sehat.

Pengembang plugin, pengembang tema lebih sadar bahwa mereka akan mendapatkan masukan dari peneliti keamanan atau orang lain yang mencatat kerentanan. Dan sebagian besar dari mereka secara bertanggung jawab membangun otot itu sehingga mereka dapat membalikkan tambalan dengan sangat, sangat cepat.

Jadi keadaan jauh lebih baik dari sebelumnya. Empat tahun lalu, banyak pengembang terkejut ketika kerentanan terjadi dan mereka tidak terlalu cepat atau mampu memenuhi kebutuhan pelanggan mereka dalam hal menambal secara teratur.

Kita semua sebagai konsumen teknologi terbiasa, mengutip tanda kutip, "Patch Tuesday" atau pembaruan rutin kami dari Apple, dan sebagainya. Jadi kami tidak terkejut dengan kerentanan. Namun, kami akan sangat terkejut jika vendor tersebut tidak menambal sesuatu secara bertanggung jawab dan cepat.

Jadi ekosistem WordPress secara umum lebih sehat daripada, menurut saya, empat tahun lalu. Sekali lagi, WordPress Core hebat, tetapi plugin dan temanya, menurut saya, secara umum mengikuti. Jadi itu cukup positif.

ERIC JONES: Hanya dengan mengklik dua kali pada sesuatu yang Anda katakan tentang WordPress Core, ada apa dengan sifat perangkat lunak sumber terbuka yang mungkin membantu mengatasi masalah di sekitarnya agar aman? Karena menurut saya itu adalah salah satu kesalahpahaman dan mitos yang ada di luar sana bahwa entah bagaimana perangkat lunak open source pada dasarnya tidak aman.

BRENT STACKHOUSE: Nah, itu pertanyaan yang bagus. Dan saya akan tertarik dengan pemikiran Joe tentang ini. Dan bukan untuk membuat Anda melengkung, Eric, tapi saya sudah cukup tua. Saya telah melihat apa yang kami maksud dengan open source berubah sedikit dari waktu ke waktu.

Open source dulunya adalah proyek yang sangat terkenal seperti dari Apache, atau, katakanlah, OpenSSH, atau, katakanlah, Linux, dan hal-hal seperti itu dan ketika kami mengatakan open source saat itu, itulah yang biasanya kami lakukan mengacu.

Dan, ya, ada banyak proyek sekunder, tersier, apa pun yang lebih kecil di luar sana yang hampir tidak terpelihara dengan baik, dll. Menurut saya, yang kami maksud dengan sumber terbuka adalah apa pun yang ada di GitHub, siapa pun yang memposting apa pun di luar sana yang dimiliki siapa pun lain bisa ambil.

Anda sedang berbicara tentang perpustakaan, kode yang sangat kecil yang dapat dikatakan siapa pun, oh, itu tampak hebat berdasarkan fiturnya, yang akan kami gabungkan. Dan saya akan berbicara sedikit kemudian seperti yang disinggung Joe dengan masalah rantai pasokan. Saya akan berbicara sedikit nanti tentang tantangan khusus pengembang dalam hal mitigasi risiko rantai pasokan.

Karena open source– Saya memikirkan kembali pertanyaan Anda, Eric, tentang WordPress. Sangat bagus bahwa sumbernya ada di luar sana. Banyak orang yang melihatnya. Saya pikir itu juga berlaku di masa lalu dengan Apache dan hal-hal seperti itu. Apa pun yang digunakan secara luas akan mendapat banyak pengawasan baik dari orang baik maupun orang jahat dan saya pikir itu hal yang baik. Keamanan melalui ketidakjelasan tidak pernah menjadi praktik yang baik. Jadi memiliki kode di luar sana sangat bagus.

Tapi open source menyamai keamanan yang lebih baik daripada tertutup atau sebaliknya adalah pertanyaan yang sulit dijawab. Karena mereka secara harfiah adalah apel dan jeruk. Saya pikir WordPress sebagai sebuah tim telah melakukan pekerjaan yang baik dengan menggunakan input lain selain kecerdasan mereka sendiri seperti menggunakan program bug bounty. WordPress Core telah melakukan itu selama bertahun-tahun. Saya pikir itu cerdas.

Mereka pasti memiliki peneliti yang tidak terafiliasi yang mem-ping mereka secara teratur dengan temuan mereka. Dan tim cerdas mengambil masukan tersebut dan melakukan hal yang benar. Saya yakin mereka sedang menguji pena sendiri, dll. Jadi kami melakukan hal serupa di WP Engine, tapi itu setara untuk kursus.

Joe, ada pemikiran tentang itu? Maaf mengambil alih, Eric, tapi–

ERIC JONES: Tidak, itu sempurna.

JOE SULLIVAN: Saya pikir Anda banyak mencapai poin tinggi. Ketika saya berpikir tentang perangkat lunak open source– ketika saya berpikir tentang perangkat lunak dari sumber mana pun, saya pikir kita harus mengevaluasinya sebelum kita menempatkannya di lingkungan kita. Dan terkadang perangkat lunak open source akan menjadi pilihan yang lebih baik daripada sesuatu yang berpemilik. Karena kamu tahu apa? Sinar matahari membunuh infeksi.

Dan apa yang kami dengan banyak perangkat lunak sumber terbuka adalah bahwa banyak orang lain juga melihatnya. Saya pikir itu adalah sesuatu di dunia keamanan secara umum yang tidak kami lakukan dengan cukup baik adalah kami semua duduk di tim kecil dan sudut kami, dan kami mencoba dan menyelesaikan semuanya sendiri.

Melibatkan masyarakat adalah hal yang baik. Transparansi dan dialog tentang risiko seputar perangkat lunak tertentu adalah hal yang baik. Dan kami menjadi lebih baik dalam hal itu. Contoh Anda tentang program hadiah bug adalah cara lain untuk menghadirkan transparansi dan mengundang pihak ketiga untuk membuat lubang.

Perangkat lunak sumber terbuka memiliki banyak orang yang melihatnya ketika kita berbicara tentang perangkat lunak sumber terbuka yang paling banyak digunakan dan paling penting. Tetapi dengan cara yang sama, saya tidak akan hanya mengambil beberapa kode dari GitHub dan memasukkannya ke dalam produk saya tanpa benar-benar memeriksanya.

Saya juga akan mengatakan bahwa Anda perlu melakukan kehati-hatian yang sama saat membeli lisensi untuk perangkat lunak berpemilik. Anda masih perlu melihat siapa yang membuatnya, praktik apa yang mereka miliki, dan seberapa kuatnya.

BRENT STACKHOUSE: Ya, banyak hal tentang– dan ini adalah istilah kutu buku yang berisiko– tetapi tentang jaminan. Jaminan apa yang dapat kami peroleh untuk apa pun yang kami lakukan dalam arti teknis seberapa aman setelah kami melakukan A, B, C. Dan banyak jaminan, tergantung pada situasi dengan sumber tertutup, lebih sulit didapat.

Di open source, Anda bisa lebih mudah merasakan siapa yang melakukan apa untuk memeriksa kodenya. Ini sedikit lebih rumit dengan sumber tertutup. Anda harus menggunakan masukan tidak langsung yang menunjukkan bahwa perusahaan ini memiliki praktik keamanan yang baik dari waktu ke waktu, dll.

Tapi, ya, mendapatkan jaminan pada akhirnya adalah apa yang Anda coba lakukan saat menerapkan, menggunakan teknologi apa pun secara umum. Terima kasih.

ERIC JONES: Jadi, untuk pengembang yang ada di luar sana, jaminan khusus apa yang Anda berdua cari di perusahaan? Jika proyek atau perangkat lunak ini memiliki hal-hal ini, Anda kemudian menganggapnya bagus, sedikit lebih aman daripada yang seharusnya.

BRENT STACKHOUSE: Apakah Anda menginginkan jawaban WordPress? Saya akan membiarkan Joe pergi jika Anda ingin memulai secara umum.

ERIC JONES: Ya, Joe, jika Anda dapat memberikan perspektif yang luas, dan kemudian, Brent, Anda dapat memberikan perspektif WordPress yang lebih spesifik.

JOE SULLIVAN: Ya, jadi, dari tempat saya duduk, saya memikirkan pertanyaan itu sebagai pembeli dan sebagai penjual karena saya bekerja di Cloudflare, tempat orang menerapkan produk kami. Dan pertanyaan nomor satu yang dimiliki pelanggan Cloudflare sebelum mereka mengimplementasikan Cloudflare adalah, haruskah saya mempercayai Cloudflare? Karena kita duduk di depan seluruh urusan mereka. Dan itu adalah tempat yang sangat berisiko untuk menempatkan seseorang kecuali Anda memercayai mereka.

Tapi saya juga, karena kami berkembang dan perlu membangun produk kami, kami juga mengandalkan pihak ketiga. Jadi saya menerima pertanyaan sulit, dan saya menjawab pertanyaan sulit.

Dan, lihat, tidak ada dari kita yang punya waktu untuk pergi atau sumber daya untuk masuk dan mengaudit setiap kali kita akan bekerja dengan pihak ketiga. Kami tidak memiliki tim yang cukup besar. Kami tidak memiliki keahlian untuk itu. Jadi kita mulai dengan sertifikasi keamanan sebagai konsep yang penting di sini.

Ketika saya mengatakan sertifikasi, maksud saya hal-hal seperti SOC 2, SOC 2 Tipe II seperti yang dimiliki WP Engine, atau ISO 27001, atau PCI. Ketika Anda mendengar kata-kata dan sertifikasi tersebut, yang seharusnya Anda pikirkan adalah pihak ketiga menggunakan serangkaian standar yang diakui untuk masuk dan mengaudit perusahaan tersebut dan mengevaluasi apakah mereka memenuhi semua kontrol untuk area tersebut.

Jadi masing-masing dari kita– Cloudflare memiliki laporan SOC 2 Tipe II yang dapat kita bagikan. WP Engine memiliki laporan SOC 2 Tipe II yang dapat kami bagikan. Dan hal yang menyenangkan ketika saya mengatakan Tipe II, itu berarti bahwa itu bukan hanya audit waktu tertentu. Itu adalah periode waktu yang diperpanjang.

Jadi, misalnya, dengan SOC 2 Tipe II kami, itu berarti bahwa selama setahun terakhir, kapan pun selama sertifikasi itu ada, kami mematuhi kontrol keamanan minimum tersebut. Seringkali itu cukup untuk pelanggan. Seperti, oh, perusahaan itu memiliki SOC 2 Tipe II. Oke, saya akan mempercayai mereka.

Tapi kemudian Anda mungkin ingin menggali lebih dalam berdasarkan implementasi spesifik Anda. Jadi ketika saya berpikir untuk membeli produk, saya tidak hanya memikirkan tentang kualitas kodenya, tetapi bagaimana kode tersebut terintegrasi dengan lingkungan saya.

Jadi sesuatu yang sangat penting bagi saya adalah otentikasi. Dapatkah saya mengintegrasikannya dengan sistem masuk tunggal saya sehingga saya dapat mengelola siapa saja di dalam organisasi saya dan di luar organisasi saya yang memiliki akses ke sana? Karena dari situlah, seperti yang saya katakan sebelumnya, sebagian besar masalah keamanan berasal.

Jadi, Anda ingin memilih produk seperti WP Engine, di mana Anda dapat mengintegrasikannya dengan SSO dan membiarkan keamanan berjalan melalui alat tanpa harus melakukan banyak pekerjaan langsung. Jadi, bagi saya, ini adalah sertifikasi plus kombinasi dari semua hal lain yang Anda inginkan untuk lingkungan spesifik Anda.

ERIC JONES: Dan, Brent, mengembalikan pertanyaannya kepada Anda, bagaimana pendapat Anda tentang hal itu dalam konteks WordPress?

BRENT STACKHOUSE: Ya, menurut saya itu bagus. Ketika orang-orang ingin memperluas ekosistem WordPress, jadi untuk berbicara, dengan menggunakan plugin dan tema, beberapa hal yang harus dicari bahkan dari konteks bisnis atau lapisan bisnis, seberapa populer potongan kode, plugin, atau tema? Dan dapatkah saya melihat di changelog mereka bahwa mereka memperbarui secara rutin, termasuk untuk pembaruan keamanan?

Itu adalah ukuran atau masukan yang sangat kualitatif, tetapi masih relevan. Biasanya, pengembang plugin atau pengembang tema yang memiliki footprint besar– mereka memiliki banyak pelanggan– mereka akan kehilangan dan memperoleh sesuatu, boleh dikatakan, dengan mempertahankan kode mereka dengan baik atau tidak, tergantung ke arah mana Anda ingin membalik itu. Jadi hanya memilih yang paling populer untuk apa pun yang Anda butuhkan umumnya merupakan praktik yang baik.

Di tingkat pengembang, Anda dapat menerapkan lebih banyak kontrol. Anda dapat menggunakan alat keamanan aplikasi statis untuk plugin tertentu. Apakah Anda mungkin menemukan sesuatu yang belum ditemukan oleh peneliti keamanan lainnya? Mungkin tidak, tetapi masih merupakan ide bagus untuk menjalankan hal-hal itu melalui apa pun perkakas Anda. Dan ada banyak alat gratis open source di luar sana atau bahkan alat komersial dengan biaya sangat rendah atau lisensi gratis yang memungkinkan Anda mendapatkan jaminan yang lebih baik atas kode apa pun yang Anda gunakan di lingkungan Anda.

Satu hal yang disinggung Joe yang akan saya bicarakan sedikit juga, adalah WP Engine juga merupakan konsumen kode sekaligus produsen, jadi kami juga penyedia layanan dan sangat peduli dengan integritas kode kami. upaya pembangunan secara end-to-end. Dan itu adalah tantangan yang berkelanjutan.

Jadi salah satu hal untuk pengembang kami di luar sana yang menjalankan situs WordPress adalah mereka harus menyadari, semoga, konteks organisasi mereka tentang risiko. Di vertikal mana mereka, misalnya? Berapa banyak toleransi yang dimiliki organisasi untuk hal-hal buruk yang terjadi? Sektor atau organisasi tertentu jauh lebih rentan terhadap hal-hal seperti serangan DDoS, dll.

Jadi memikirkan tentang itu dan berpotensi membuat kode untuk hal-hal itu, Anda tidak dapat membuat kode untuk DDoS, tetapi Anda pasti dapat menyadarinya dan memunculkannya. Ini sangat penting, menurut saya, pengembang melakukan hal yang benar.

ERIC JONES: Beralih sedikit, dan dengan tujuan mencoba memberikan beberapa rekomendasi yang sangat spesifik, Joe, dari perspektif keamanan tingkat tinggi, apa yang akan Anda rekomendasikan agar pemilik situs web lakukan untuk membantu menopang keamanan mereka?

JOE SULLIVAN: Ya, jadi menurut saya, satu ons pencegahan bernilai satu pon pengobatan. Dan, dalam konteks keamanan, itu berarti memilih alat dan platform yang tepat yang akan Anda gunakan sebelum memulai daripada mencoba membangun sesuatu, dan sekarang mari kita cari tahu bagaimana kita mem-bootstrap keamanan di atasnya.

Jadi, saat Anda memilih platform, saat Anda memilih alat, saat Anda memilih kode, Anda ingin memikirkannya dengan mengutamakan keamanan sejak awal. Jadi, seperti yang saya katakan, jika Anda bisa membuat keamanan terjadi secara otomatis melalui alat yang Anda pilih, Anda akan berada di tempat yang jauh lebih baik daripada jika Anda harus mempekerjakan orang untuk masuk dan melakukan banyak audit, dan kemudian mencoba dan memperbaiki semuanya saat kapal berlayar melintasi lautan.

Anda tidak dapat menambalnya dengan cara itu. Jadi, bagi saya, saya selalu mencari, apa yang saya dapatkan dari sudut pandang keamanan? Apa pengaturan yang ada untuk saya? Dan jika saya mengambil dasar-dasar keamanan, saya pikir sebenarnya hanya ada beberapa area.

Nomor satu, bagi saya, selalu identitas dan manajemen akses. Itulah mengapa saya berbicara tentang kemampuan untuk mengintegrasikan sistem masuk tunggal sejak awal. Jika saya memulai sebuah perusahaan, saya akan melakukannya, salah satu hal pertama yang akan saya pilih adalah penyiapan sistem masuk tunggal yang tepat yang akan disesuaikan dengan organisasi saya. Dan saya akan selalu mencoba dan memilih produk yang akan terintegrasi dengannya.

Hal kedua yang akan saya pikirkan adalah, Oke, saya akan memiliki banyak kode yang menghadap ke internet. Bagaimana cara menahan serangan dari internet? Apakah saya harus pergi dengan saya– Brent menyebutkan serangan penolakan layanan.

Apakah saya harus secara pribadi memikirkan cara memiliki penyeimbang beban dan mengelola semua itu dan membeli produk seperti Cloudflare? Atau apakah itu disertakan dengan platform yang saya beli sehingga saya tidak perlu memikirkan keamanan. Saya tahu itu sudah ada di dalamnya, dan seterusnya. Jadi saya secara metodis akan memeriksa karyawan dan manajemen identitas dan akses saya, kode yang menghadap ke internet.

Lalu seperti pilar ketiga mungkin– yang tidak benar-benar kita bicarakan di sini– adalah, bagaimana cara menyiapkan laptop dan hal-hal seperti itu?

ERIC JONES: Dan, Brent, mungkin akan membahas Anda, apa saja hal spesifik yang harus dipikirkan oleh pengembang WordPress untuk membangun situs paling aman yang mereka bisa?

BRENT STACKHOUSE: Ya, tanggapan awal saya adalah menarik. Banyak hal yang kita bicarakan adalah keputusan tentang kapan membangun versus membeli. Apakah Anda akan membuat plugin Anda sendiri dan semua hal yang ingin Anda lakukan untuk memperluas ekosistem WordPress Anda? Atau apakah Anda akan membeli sehingga untuk berbicara meskipun gratis?

Tapi ini berlaku untuk, menurut saya, Joe dan saya juga, dalam arti bahwa kami menggunakan kode orang lain melalui GitHub atau mekanisme apa pun dan kami dapat mempekerjakan pengembang dan melakukan semua itu dari awal. Atau kita dapat menggunakan sesuatu yang telah dilakukan orang lain.

Dan mengapa membuat ulang roda saat Anda tidak perlu melakukannya? Tapi lalu bagaimana Anda mendapatkan jaminan bahwa kode yang Anda gunakan dalam kondisi baik? Jadi kembali ke WordPress secara khusus, saya pikir ada beberapa hal– ini mungkin masuk akal bagi audiens pengembang, tetapi kami akan tetap mengatakannya. Saat Anda membuat kode, buat kode dengan aman, artinya ketahuilah apa yang Anda coba lakukan. Cobalah untuk membatasi apa yang Anda coba lakukan dalam hal fungsi Anda, semua hal semacam itu.

Tapi ingat OWASP Top 10. OWASP Top 10 mungkin sudah dikenal oleh audiens kami. Tapi, sekali lagi, dasar-dasar itu penting seperti yang disinggung Joe sebelumnya dan dasar-dasar untuk pengembang tentu termasuk OWASP Top 10.

Dan kemudian gunakan salah satu alat keamanan aplikasi statis yang saya sebutkan itu sangat bagus untuk diterapkan sebelumnya atau saat Anda menerapkan. Anda dapat melakukannya secara otomatis, begitulah. Dan pastikan bahwa kode yang Anda kirim ke sana benar-benar dalam kondisi yang cukup baik dan tidak ada kerentanan yang jelas diketahui dengan kode Anda sendiri jika Anda mengembangkan kode khusus.

Hal ketiga terkait dengan masalah rantai pasokan yang kita bicarakan. Dan GitHub memiliki beberapa fungsi gratis yang benar-benar dapat memberi tahu Anda saat dependensi upstream Anda mengetahui kerentanan. Jadi Dependabot, bot ketergantungan, adalah hal hebat yang disediakan GitHub, dan Anda harus benar-benar mengaktifkannya di repo Anda. Dan itu benar-benar dapat membuat PR secara otomatis. Dan kemudian Anda akan memiliki opsi untuk menggabungkannya jika Anda merasa perlu sehingga dependensi upstream Anda setidaknya tidak memiliki kerentanan yang diketahui.

Agaknya semua kode memiliki bug bahkan ketika Anda mengirimkannya dan ada subset yang mungkin merupakan bug keamanan, tetapi setidaknya kita perlu menghindari tantangan nyata yang disinggung Joe sebelumnya. Kami tidak ingin masuk koran karena kami melewatkan yang sudah jelas. Seperti, hei, Anda harus menambal sesuatu. Jadi, ya, itu adalah tiga hal yang menurut saya dapat diingat oleh pengembang untuk menjaga diri mereka dari api, begitulah.

ERIC JONES: Saya kira pertanyaan untuk Anda berdua adalah, hal-hal apa yang Anda lihat muncul yang tidak masuk radar saat ini? Dan hal-hal apa yang harus dipikirkan oleh orang-orang, pengembang, pemilik situs web yang tidak mereka miliki saat ini? Dan itu pertanyaan terbuka untuk salah satu dari Anda.

BRENT STACKHOUSE: Ya, saya ingin melompat karena Joe menjawab hal Okta sebelumnya. Jadi kelompok tertentu– ini menarik. Jadi kita sudah melihatnya. Jadi saya bahkan tidak bisa mengatakan bahwa ini hampir tiba.

Tetapi grup yang meledakkan Okta dan juga nama-nama besar lainnya yang tidak perlu kami sebutkan di podcast ini atau wawancara ini tentu saja, mereka menggunakan teknik rekayasa sosial yang sangat-sangat menarik terutama, bukan serangan yang sangat teknis sama sekali.

Jadi mungkin pengembang tidak rentan terhadap serangan semacam ini. Itu tergantung pada organisasi dan di mana pengembang itu cocok. Tetapi yang pasti siapa pun yang bertindak sebagai staf TI atau orang yang memiliki akses ke aset, boleh dikatakan, untuk organisasi tertentu dapat menjadi sasaran serangan rekayasa sosial.

Jadi itu adalah sesuatu yang tidak ingin kami bicarakan karena kami tidak bisa memperbaikinya secara teknis. Tapi manusia sejujurnya terus menjadi titik lemah. Melewati pintu depan seperti yang kami sebut, yang berarti serangan eksternal, yang secara teknis seringkali lebih sulit dan lebih banyak pekerjaan untuk penyerang. Dan terkadang, atau seringkali, mereka akan mengalami serangan rekayasa sosial. Phishing masih sangat-sangat efektif melalui media apapun.

Jadi saya pikir itu adalah sesuatu yang terbukti masih menjadi tantangan. Dan organisasi mungkin tidak memfokuskan waktu mereka sebanyak yang seharusnya.

JOE SULLIVAN: Ya, menurut saya cara lain untuk mengatakan apa yang dikatakan Brent dengan suara yang sedikit berbeda adalah saya sebenarnya tidak ingin pengembang menghabiskan banyak waktu dengan bola kristal, mencoba mengantisipasi masalah keamanan berikutnya. Lebih penting untuk mendapatkan dasar-dasarnya dengan benar.

Dan dasar-dasar itu akan menangani sebagian besar hal besar berikutnya, apa pun itu. Dan sebagai contoh, saya sebutkan ada perubahan mendasar dalam hal munculnya ransomware. Ini telah membuat perusahaan terhenti dengan cara yang tidak pernah dilakukan kejahatan dunia maya sebelumnya.

Tapi itu tidak seperti Anda keluar dan membeli produk untuk memblokir ransomware. Anda kembali dan melakukan hal yang persis sama yang seharusnya sudah Anda lakukan untuk menghadapi ancaman sebelumnya. Apa itu ransomware? Ini adalah perangkat lunak berbahaya yang ditempatkan di lingkungan Anda.

Nah, setiap kali penyusup masuk ke lingkungan Anda, itu buruk. Jadi kami berhak– jika kami terus berfokus pada perimeter dan tidak membiarkan karyawan kami disusupi atau kode kami disusupi, maka kami tidak perlu berurusan dengan ransomware.

Jadi, alih-alih duduk dan khawatir tentang ransomware apa yang akan datang, tetap fokus pada dasar-dasarnya. Dan biarkan kita semua di dunia keamanan berspekulasi tentang masa depan.

ERIC JONES: Joe dan Brent, terima kasih banyak atas perspektif Anda, waktu Anda, dan saran Anda hari ini. Begitu banyak yang harus dipikirkan mulai dari memperbaiki dasar-dasarnya, pentingnya transparansi, apa yang harus dicari dari sudut pandang asuransi.

Dan mungkin hal terpenting dari semuanya adalah keamanan tidak boleh menjadi renungan. Anda harus membangunnya sejak awal. Saya mendorong semua orang, jika Anda tertarik untuk mempelajari lebih lanjut tentang penawaran keamanan WP Engine atau Cloudflare, silakan kunjungi situs web kami. Dan, tentu saja, di WP Engine, kami memiliki banyak informasi keamanan yang tersedia untuk semua orang di Pusat Sumber Daya kami jika Anda tertarik dengan perspektif WordPress tertentu. Jadi, sekali lagi, untuk semua yang menonton hari ini, terima kasih telah meluangkan waktu dan bergabung dengan kami hari ini.