Lista de más práticas da CISA que prejudicam a segurança do WordPress

Publicados: 2022-08-24

CISA, que significa Cybersecurity & Infrastructure Security Agency, é uma agência federal dos EUA que opera sob o Departamento de Segurança Interna. Criada em 2018, substitui a NPPD – Direção Nacional de Proteção e Programas e tem a tarefa de melhorar a segurança cibernética contra ataques originados de hackers privados e apoiados pelo Estado.

A CISA realiza muito trabalho para ajudar a garantir a segurança de infraestruturas e sistemas críticos. Para isso, publica diversos guias e listas para ajudar entidades governamentais e empresas privadas a manterem boas práticas de segurança e se manterem seguros online. Você pode facilmente aplicar os guias da CISA ao seu site WordPress pessoal ou comercial para obter segurança compatível com os padrões da CISA.

Um desses recursos que a CISA está disponibilizando ao público é seu catálogo de más práticas. Embora este catálogo seja um trabalho em andamento – e sempre será devido à natureza dinâmica e evolutiva das ameaças – ele nos fornece informações valiosas sobre o que a CISA considera práticas realmente ruins.

Segurança CISA e WordPress

As más práticas da CISA geralmente prevalecem em ambientes WordPress, tornando a lista ainda mais relevante para administradores e proprietários de sites do WordPress. Felizmente, eliminar essas más práticas é fácil e pode ser feito em pouco tempo.

Se você deseja levar sua segurança para o próximo nível, consulte o guia de segurança do WordPress para obter uma lista completa e detalhada de tudo o que você pode fazer para garantir que seu site seja seguro.
A agência também abriu uma página no GitHub onde administradores e outros profissionais de TI podem opinar sobre más práticas para inclusão no catálogo.

Risco 1: usando software não suportado

Invariavelmente, o software vem com bugs – que é uma das razões pelas quais os desenvolvedores lançam atualizações. As atualizações não apenas abordam bugs e falhas de segurança, mas também adicionam novos recursos e melhorias. Instalar essas atualizações o mais rápido possível é muito importante para manter sua infraestrutura segura.

Software sem suporte, como versões antigas, software que chegou ao fim da vida útil e plug-ins nulos, não recebem atualizações, tornando-os especialmente perigosos, pois podem introduzir vulnerabilidades conhecidas em seu ambiente.
Os invasores podem explorar essas vulnerabilidades para obter acesso não autorizado ao seu sistema. Por sua vez, isso permite que eles roubem seus dados, desativem seu site e realizem uma série de outras atividades maliciosas.

Solução

A instalação de atualizações o mais rápido possível pode minimizar significativamente o risco associado a falhas e bugs de segurança. Da mesma forma, você deseja garantir que os fornecedores e desenvolvedores escolhidos sejam responsivos e emitam atualizações com frequência (e não uma vez por ano).

Ao escolher plugins, observe o histórico de versões para ver com que frequência as atualizações são lançadas. Atualizações diárias não são um bom sinal; no entanto, as atualizações anuais também podem indicar que algo está errado. Você também pode verificar os comentários dos usuários para ver como o desenvolvedor responde às perguntas dos usuários.

Risco 2: senhas incorretas

Senhas incorretas incluem senhas padrão, senhas recicladas, senhas que vazaram anteriormente e senhas fracas. Senhas incorretas podem ser muito fáceis de decifrar, fornecendo aos invasores um caminho fácil para seus sistemas. O compartilhamento de senha é outra prática ruim que geralmente ocorre em ambientes WordPress e além. As senhas compartilhadas aumentam muito o risco de vazamento de senhas e dificultam o rastreamento de problemas e a responsabilização da equipe. Arte da senha W

Solução

Uma política de senha forte do WordPress ajuda muito você a expulsar senhas ruins. WPassword é um plugin do WordPress que oferece aos administradores controle granular sobre como os usuários configuram suas políticas de senha, garantindo que senhas seguras e eficazes sejam usadas.

Risco 3: autenticação de fator único

A autenticação de fator único é o terceiro e último risco que faz parte do catálogo de más práticas da CISA. Em configurações de autenticação de fator único, os usuários podem fazer login apenas com seu nome de usuário e senha. Em ambientes de autenticação de dois fatores (2FA) ou MFA, os usuários devem autenticar por meio de um segundo (ou mais) método.

A autenticação de fator único pode ser especialmente problemática se as senhas vazarem e, embora uma boa política de senhas ajude bastante a minimizar os riscos, um fator de autenticação secundário aumenta muito a segurança geral do seu site WordPress.

O 2FA está rapidamente se tornando o padrão de ouro para autenticação. Embora sua premissa seja bastante simples, ele pode interromper a maioria dos ataques mais comuns em suas trilhas. Isso o torna um favorito entre os gigantes da indústria, amadores e todos os outros.

Solução

O WordPress não oferece 2FA imediatamente. No entanto, implementar o 2FA no seu site WordPress é fácil, graças ao WP 2FA. Este plugin WordPress 2FA vem com mais opções do que você pode imaginar, garantindo que todos os seus usuários possam aproveitar o 2FA para um WordPress mais seguro.

Um plano de ação de segurança do WordPress para colocar as más práticas na cama

Dicas de segurança As más práticas são como os maus hábitos. Eles devem ser mantidos sob controle ao longo do tempo para garantir que nada caia pelas rachaduras. É por isso que a segurança do WordPress é um processo iterativo; um que devemos atender de vez em quando para garantir que estamos seguindo as melhores práticas em todos os momentos.

Embora existam, sem dúvida, outras más práticas que não entraram na lista da CISA, o que elas oferecem é um bom ponto de partida. Para recapitular,

  1. Instale as atualizações assim que estiverem disponíveis. Se você estiver preocupado com as atualizações quebrando seu site, instale um ambiente de teste para testar as atualizações antes de implantá-las no ambiente ativo.
  2. Implemente uma política de senha forte do WordPress usando o WPassword para eliminar senhas fracas do seu ambiente. Incentive os usuários a usar um gerenciador de senhas para mitigar as chamadas de suporte para senhas esquecidas que são muito complexas.
  3. Habilite e use políticas para exigir a autenticação de dois fatores do WordPress em todos os usuários. Use o WP 2FA para aproveitar seus muitos recursos, que incluem integração Authy, períodos de carência e white label, entre muitos outros.

Embora a lista da CISA seja um bom ponto de partida, proteger seu site WordPress requer uma abordagem mais abrangente. De garantir senhas fortes a proteger o WordPress, há muito que você pode fazer seguindo os guias do WP White Security para obter uma excelente segurança do WordPress.

PS Recomendamos configurar um ambiente de teste do WordPress se você tiver experiência limitada na proteção de sites do WordPress.