• Anasayfa
  • Nesne
  • Kılavuz
  • DE{CODE}: Küresel Siber Saldırılardaki Artışın Ortasında WordPress Sitelerinizi Güvende Tutma

DE{CODE}: Küresel Siber Saldırılardaki Artışın Ortasında WordPress Sitelerinizi Güvende Tutma

Yayınlanan: 2023-02-12

Web sitelerinizi nasıl kilitleyeceğiniz konusunda güvenliğe özel bu oturum için WP Engine ve Cloudflare uzmanlarına katılın. Tartışma, WP Engine'in sitelerinizi nasıl koruduğuna dair belirli örneklerle birlikte son siber saldırı trendlerini vurgular. Geliştiriciler, sitelerinin güvenliğini sağlamak için atılacak adımların açık bir kontrol listesiyle ayrılacaklar.

Video: Küresel Siber Saldırılardaki Artışın Ortasında WordPress Sitelerinizi Güvende Tutma

Oturum Slaytları

WP Engine'den Global Cyberattacks.pdf'deki Artışın Ortasında WordPress Sitelerinizi Güvende Tutmak

Tam Metin Transkript

ERIC JONES : DE{CODE}'a hoş geldiniz ve inanılmaz bir ara oturumu vaat eden toplantıya katıldığınız için teşekkür ederiz. Benim adım Eric Jones ve burada WP Engine'de Kurumsal Pazarlamadan Sorumlu Başkan Yardımcısıyım. Bugün Cloudflare'nin Güvenlikten Sorumlu Başkanı Joe Sullivan ile WP Engine'in Güvenlikten Sorumlu Başkan Yardımcısı Brent Stackhouse arasında güvenlik alanında onlarca yıllık deneyime sahip olan bu tartışmayı yönetmekten daha büyük heyecan duyamazdım.

Küresel Siber Güvenlik Saldırılarındaki Artışın Ortasında WordPress Sitelerinizi Güvenli Tutma tartışmamız, siber saldırıların sadece yükselişte olmadığı, aynı zamanda tüm zamanların rekor kıran zirvelerinde olduğu göz önüne alındığında daha zamanında olamazdı. Joe, neden seninle başlamıyoruz? Siber güvenlik manzarasında hangi eğilimleri gördüğünüzü geniş, makro bir perspektiften duymak isterim.

JOE SULLIVAN : Elbette. Katıldığım için mutluyum. Beni bu sohbete davet ettiğiniz için teşekkür ederim. Ben de gerçekten sabırsızlıkla bekliyorum. Sanırım şu anda güvenlik dünyasında iki mega trend var. Birincisi, dünyanın gözünde çok daha önemli.

İşin teknik yönüne ve her gün karşılaştığımız gerçek zorluklara geçmeden önce, Brent ve benim bu mesleğe başladığımızdan beri güvenlik dünyasının ne kadar geliştiğine bir göz atmaya değer. onlarca yıl önce demiştin.

Güvenlik artık bir organizasyonun bir köşesinde duran bir ekip ya da kavram değil. Yaptığımız her şeyin merkezinde yer alır. CEO'lar sorumlu tutuluyor. Kurullar zor sorular soruyor. Risk sermayedarları, doğru yatırım seviyesini görmedikçe katkıda bulunmayacaklardır.

Ve daha da önemlisi, müşterilerimiz, tüketicilerimiz ve ürünlerimizin kurumsal alıcıları bizden çok daha fazlasını talep ediyor. Ve bu, benim için en önemli trend ve neden bu konuşmayı yaptığımız. Her geliştirici için çalışmalarının her alanında önemlidir.

Dolayısıyla, güvenlik dünyasında gerçekte neler olup bittiğine dönersek, işler hiç de kolaylaşmıyor. Ve zorluklar üzerimize gelmeye devam ediyor. Manşetlere dikkat ediyorsanız, fidye yazılımlarının yükselişini son zamanlarda görmüşsünüzdür. Gerçekten korkutucu.

Fidye yazılımı güvenlik açısından oyunu değiştirdi çünkü bazı verileri çalmaktan veya bir şeyi dünyaya ifşa etmekten işinizi kapatmaya kadar gitti. Ve böylece güvenliğin önemine dair tüm kavram, bu riskle, yani sabah uyandığımızda dizüstü bilgisayarlarımızı açamayacağımız, web sitemizi çalıştıramayacağımız fikriyle büyütüldü. Bu gerçekten korkutucu.

Jeopolitik şeyler de gerçekten hepimizi etkilemeye başlıyor. Ukrayna'daki durum fiziksel dünyayla sınırlı değil. Şu anda yoğun bir şekilde siber bağlamda. Ve geri kalanımızı etkilemek için yayılıyor. Bu nedenle, fiziksel dünyada meydana gelen jeopolitik olayların, internette iş yapmaya çalışan bizler için teknik sonuçları vardır.

Ve sanırım teknik açıdan bahsedeceğim üçüncü şey, kendi kodumuza ait dünyalarda yaşamadığımızdır. Bir organizasyonu temsil etmek için bir araya gelen yazılım ve kodun bir karışımı olan dünyalarda yaşıyoruz.

Ve bu nedenle, güvenlikte, tedarik zinciri terimini, tüm diğer kodlar ve diğer uygulamalar ve bir şirket olarak kimliğimizin bir parçası haline gelen her şey hakkında konuşmak için kullanıyoruz. Örneğin, son zamanlarda Okta'nın gizliliğinin ihlal edildiğine dair hikayeler olduğunda, bu sadece Okta'nın gizliliğinin ihlal edilip edilmediği sorusu değildi. Benim şirketimin ve Okta kullanan diğer tüm şirketlerin tehlikeye girip girmediği merak konusuydu.

Ve müşterilerim Okta'yı umursamadı. Bizi kullanmalarını önemsiyorlardı ve Okta'nın tehlikeye girme riskini azaltmak için hangi kontrollere sahibiz? Yani şu anda çok şey oluyor. Ve bu konuşmayı yapmak için iyi bir zaman.

ERIC JONES: Joe, sadece bir takip sorusu olarak, sahip olduğun ve her güvenlik organizasyonunun sahip olduğu tüm bu belirli zorlukların önceliklendirilmesi hakkında ne düşünüyorsun?

JOE SULLIVAN: Elbette. Bence nihai soru bu. Sınırsız bir bütçemiz ve işi yapabilecek sınırsız insanımız olsaydı, hepsini yapabilirdik. Ancak bu, gelişiminin herhangi bir aşamasındaki herhangi bir organizasyonda gerçek değildir.

Bu yüzden her zaman önceliklendirme sürecindeyiz. Ve söyleyeceğim şey, önce temellere öncelik vermeniz gerektiğidir. Uzlaşmaların büyük bir yüzdesinin temeldeki başarısızlıklardan kaynaklanması şok edici.

Güvenlik uzmanları olarak, sıfır gün saldırısını veya O gün saldırısını derinlemesine incelemeyi ve bu gerçekten karmaşık şeye bakmayı seviyoruz. Ancak, risklerin %90'ı, kimlik avı e-postalarından veya güvenliği ihlal edilmiş kişisel bir web sitesinde kullandıkları parolanın aynısını kullanmayı seçen ve çok faktörlü kimlik doğrulamayı açmayan birilerinden kaynaklanır.

Çoğu zaman, aslında temelleri iyi yapmak için araçlara sahibiz, ancak bunları uygulamak için zaman ayırmıyoruz.

ERIC JONES: Evet, güvenlik konusunda çok önemli bir noktaya parmak bastığınızı düşünüyorum, değil mi? Bunun hepimizin sorumlu olduğu bir şey olduğunu. Bu, tüm organizasyonda paylaşılan bir sorumluluktur. Sadece güvenlik ekibi içinde yaşamıyor. Belirli bir şirketteki her bir çalışanla birlikte yaşıyor.

Brent, WordPress perspektifinden sana dönersek, WordPress'te aynı olan, farklı olan nedir ve manzarada gördüğünüz en büyük güvenlik açığı noktalarından bazıları nelerdir?

BRENT STACKHOUSE : Teşekkürler Eric ve beni davet ettiğin için teşekkürler. Joe ile paylaştığınız zamanı takdir edin. Birçok şeyi biliyor. Birkaç kez bloğun etrafında bulunduk. Yani bu büyüleyici.

Birçok yönden WordPress – haberler, WordPress Core'un WordPress ekosistemindeki tüm eklentilerden, temalardan ve diğer şeylerden farklı olduğu anlamında genellikle iyidir. WordPress Core, yaygın saldırılara karşı sağlam ve dayanıklı olmaya devam ediyor.

Bu nedenle, WordPress'in kendisi, müşterilerin genellikle hemen hemen her bağlamda rahat hissetmeleri gereken iyi, istikrarlı ve güçlü bir platformdur. Buradaki zorluk, çoğunlukla, wordpress.org'un veya bu çekirdek geliştiricilerin çoğu eklenti ve temayla genel olarak hiçbir ilgisi olmadığı şeylerin eklenti tarafındadır.

Ve kod kalitesi değişkenliği, Google'ın Play Store'unda alacağınız uygulamalara veya buna benzer bir şeye benzer, bunlar az önce söylediğim gibi Google tarafından yazılmaz. WordPress, bu eklentiler ve temalar tarafından yazılmazlar ve tek bir geliştiriciden bir ekibe kadar her şey olabilir. Bu eklentilerin veya temaların kapladığı alan çok küçükten çok büyüğe kadar olabilir. Bir şeyleri hızlı bir şekilde yamalama konusunda iyi bir geçmişe sahip olabilirler veya olmayabilirler.

Ve bu yüzden bağlıdır. Dolayısıyla, WordPress'in popülaritesi arttıkça ve ekosistemin popülaritesi arttıkça, saldırganların çabalarını artırmaya devam edeceğini varsayabilirsiniz, çünkü saldırganlar paranın olduğu yere giderler, Windows'un genel olarak Mac'lerden daha fazla kötü amaçlı yazılıma sahip olmasına benzer şekilde. Bunun nedeni ayak izinin olduğu yer ve paranın olduğu yer orası.

Yani WordPress farklı değil ve popülaritesi arttıkça saldırganların yaptığı şeyi yapmaya devam etmesini bekleyebilirsiniz. İyi haber şu ki, dört yıl önce WP Motorunu başlattığım zamana kıyasla ekosistem büyük ölçüde daha sağlıklı.

Eklenti geliştiricileri, tema geliştiricileri, güvenlik araştırmacılarından veya güvenlik açıklarını belirten diğer kişilerden girdi alacaklarının daha çok farkındalar. Ve çoğu, yamaları çok, çok hızlı bir şekilde değiştirebilmek için sorumlu bir şekilde bu kası inşa ediyor.

Yani işler eskisinden çok daha iyi. Dört yıl önce, pek çok geliştirici, güvenlik açıkları ortaya çıktığında şaşırdı ve gerçekten o kadar hızlı olamadılar veya düzenli olarak yama yapma konusunda müşterilerinin ihtiyaçlarını karşılayamadılar.

Teknoloji tüketicileri olarak hepimiz, alıntı yapmadan "Salı Yaması"na veya Apple'dan düzenli güncellemelerimize vb. Alışkınız. Bu yüzden güvenlik açıklarına şaşırmadık. Bununla birlikte, satıcı bir şeyi sorumlu bir şekilde ve hızlı bir şekilde düzeltmezse çok şaşırırız.

Dolayısıyla, WordPress ekosistemi genel olarak dört yıl öncesine göre daha sağlıklı. Yine, WordPress Core harika, ancak eklentiler ve temalar bence genel olarak ayak uyduruyor. Yani bu oldukça olumlu.

ERIC JONES: WordPress Core hakkında söylediğiniz bir şeye çift tıklamak için, açık kaynaklı yazılımın doğasının, güvenli olmasıyla ilgili bu soruna yardımcı olabilecek özelliği nedir? Çünkü bence bu, açık kaynaklı yazılımın bir şekilde temelde güvenli olmadığına dair yanlış anlamalardan ve mitlerden biri.

BRENT STACKHOUSE: Bu harika bir soru. Ve Joe'nun bu konudaki düşünceleriyle ilgilenirim. Sana laf atmak gibi olmasın Eric ama ben yeterince yaşlıyım. Açık kaynak değişikliği ile ne demek istediğimizi zamanla biraz gördüm.

Eskiden açık kaynak, Apache dışında çok iyi bilinen projelerdi veya örneğin OpenSSH veya diyelim ki Linux ve bunun gibi şeylerdi ve o zamanlar açık kaynak dediğimizde, genellikle yaptığımız şey buydu. atıfta.

Ve evet, pek çok ikincil, üçüncül, daha küçük ne olursa olsun, neredeyse iyi korunmayan projeler vardı, vs. başka yakalayabilir.

Kitaplıklardan bahsediyorsunuz, herkesin söyleyebileceği çok küçük kodlar, ah, özelliklerine göre harika görünüyor, bunu dahil edeceğiz. Joe'nun tedarik zinciri sorunlarından bahsettiği gibi biraz sonra konuşacağım. Tedarik zinciri riskinin azaltılması açısından geliştiriciye özgü zorluklardan biraz sonra konuşacağım.

Çünkü açık kaynak – WordPress hakkındaki sorunuza geri dönelim Eric. Kaynağın orada olması harika. Birçok insan ona bakıyor. Bence bu aynı zamanda Apache ve bunun gibi şeyler için de geçerli. Yaygın olarak kullanılan herhangi bir şey, hem iyi adamlar hem de kötü adamlar tarafından çok fazla incelemeye tabi tutulacak ve bence bu iyi bir şey. Belirsizlik yoluyla güvenlik hiçbir zaman iyi bir uygulama olmamıştır. Ve bu yüzden kodun orada olması harika.

Ancak açık kaynak, kapalıdan daha iyi güvenlik anlamına gelir ya da tam tersi, yanıtlanması zor bir sorudur. Çünkü onlar tam anlamıyla elma ve portakaldır. Bir ekip olarak WordPress'in, bir hata ödül programı kullanmak gibi kendi zekası dışındaki diğer girdileri kullanarak harika bir iş çıkardığını düşünüyorum. WordPress Core bunu yıllardır yapıyor. Bence bu akıllıca.

Hiç şüphesiz, bulgularıyla düzenli olarak onları pingleyen bağımsız araştırmacılara sahipler. Ve akıllı ekipler bu girdileri alır ve doğru olanı yapar. Eminim kendileri kalem testi yaptırıyorlar vs. Yani WP Engine'de benzer şeyler yapıyoruz, ancak bu kurs için bir nevi eşit.

Joe, bunun hakkında bir fikrin var mı? İşi devraldığım için üzgünüm Eric ama...

ERIC JONES: Hayır, bu mükemmel.

JOE SULLIVAN: Bence çok önemli noktalara değindin. Açık kaynaklı yazılımı düşündüğümde – herhangi bir kaynaktan gelen yazılımı düşündüğümde, onu kendi ortamımıza koymadan önce değerlendirmemiz gerektiğini düşünüyorum. Ve bazen açık kaynaklı yazılım, tescilli bir yazılımdan daha iyi bir seçim olacaktır. Çünkü biliyor musun? Güneş ışığı enfeksiyonu öldürür.

Ve birçok açık kaynaklı yazılımda gördüğümüz şey, diğer birçok insanın da ona bakması. Bence bu, genel olarak güvenlik dünyasında yeterince iyi yapmadığımız bir şey, hepimizin küçük ekiplerimizde ve köşelerimizde oturması ve her şeyi kendimiz çözmeye çalışmamız.

Toplumu dahil etmek iyi bir şey. Belirli yazılım parçaları etrafındaki riskler hakkında şeffaflık ve diyalog iyi bir şeydir. Ve bunda daha iyiye gidiyoruz. Hata ödül programı örneğiniz, şeffaflık getirmenin ve üçüncü tarafları delik açmaya davet etmenin başka bir yoludur.

Açık kaynaklı yazılımın en çok kullanılan ve en önemli parçalarından bahsederken, açık kaynaklı yazılıma bakan birçok insan var. Ancak aynı şekilde, GitHub'dan bir kod alıp gerçekten incelemeden ürünüme bırakmazdım.

Ayrıca, tescilli bir yazılım için lisans satın alırken aynı dikkati göstermeniz gerektiğini söyleyebilirim. Hala onu kimin yaptığına, hangi uygulamalara sahip olduklarına ve ne kadar sağlam olduğuna bakmanız gerekiyor.

BRENT STACKHOUSE: Evet, çoğu - ve bu bir risk inek terimi - ama güvence hakkında. A, B, C'yi yaptığımızda teknik anlamda ne kadar güvenli yapıyoruz.

Açık kaynakta, kodu kontrol etmek için kimin ne yaptığına dair daha kolay bir fikir edinebilirsiniz. Kapalı kaynakla biraz daha zor. Bu şirketin zaman içinde iyi güvenlik uygulamalarına sahip olduğunu vb. gösteren dolaylı girdiler kullanmak zorundasınız.

Ancak, evet, genel olarak hangi teknolojiyi kullanırsanız kullanın, konuşlandırırken günün sonunda yapmaya çalıştığınız şey güvence kazanmaktır. Teşekkürler.

ERIC JONES: O halde, dışarıdaki geliştiriciler için, ikinizin de şirketlerde aradığınız özel güvenceler nelerdir? Bu projelerde veya yazılım parçalarında bu şeyler varsa, o zaman onların iyi, olabileceklerinden biraz daha güvenli olduğunu düşünürsünüz.

BRENT STACKHOUSE: Bir WordPress yanıtı ister misiniz? Genel olarak başlamak istersen Joe'nun gitmesine izin vereceğim.

ERIC JONES: Evet, Joe, belki geniş bir perspektif sağlayabilirsen ve sonra Brent, daha spesifik WordPress perspektifi sağlayabilirsin.

JOE SULLIVAN: Evet, oturduğum yerden, bu soruyu bir alıcı ve bir satıcı olarak düşünüyorum çünkü insanların ürünlerimizi uyguladığı Cloudflare'de çalışıyorum. Ve herhangi bir Cloudflare müşterisinin Cloudflare'i uygulamadan önce sahip olduğu bir numaralı soru, Cloudflare'a güvenmeli miyim? Çünkü onların tüm işinin önünde oturuyoruz. Ve bu, ona güvenmediğiniz sürece birini koymak için gerçekten riskli bir yer.

Ama aynı zamanda, büyümekte olduğumuz ve ürünlerimizi geliştirmemiz gerektiği için üçüncü taraflara da güveniyoruz. Ve bu yüzden zor soruların alıcı tarafındayım ve zor soruların soran tarafındayım.

Ve bakın, hiçbirimizin üçüncü bir tarafla her çalışacağımızda gidip denetlemek için ne zamanı ne de kaynakları var. Yeterince büyük ekiplerimiz yok. Yeteneğimiz yok. Dolayısıyla, burada önemli olan bir kavram olarak güvenlik sertifikalarıyla başlıyoruz.

Sertifikalar derken, SOC 2, WP Engine'in sahip olduğu SOC 2 Tip II veya ISO 27001 veya PCI gibi şeyleri kastediyorum. Bu sözleri ve sertifikaları duyduğunuzda, üçüncü bir tarafın o şirkete gidip denetlemek ve o alandaki tüm kontrolleri karşılayıp karşılamadıklarını değerlendirmek için kabul edilmiş bir dizi standart kullandığını düşünmeniz gerekir.

Ve böylece her birimizin – Cloudflare'in paylaşabileceğimiz bir SOC 2 Type II raporu var. WP Engine'in paylaşabileceğimiz bir SOC 2 Type II raporu var. Ve Tip II dediğimde güzel olan şey, bunun sadece bir zaman denetimi olmadığı anlamına geliyor. Uzatılmış bir zaman dilimiydi.

Örneğin, SOC 2 Tip II ile bu, geçen yıl boyunca, bu sertifikanın var olduğu süre boyunca herhangi bir noktada, bu minimum güvenlik kontrollerine uyduğumuz anlamına gelir. Çoğu zaman bu bir müşteri için yeterlidir. Mesela, oh, o şirketin bir SOC 2 Tip II'si var. Tamam, onlara güveneceğim.

Ancak, özel uygulamanıza bağlı olarak biraz daha derine inmek isteyebilirsiniz. Bu yüzden bir ürün satın almayı düşündüğümde, sadece kodun kalitesini değil, çevremle nasıl bütünleştiğini düşünüyorum.

Ve benim için çok önemli olan bir şey kimlik doğrulamadır. Kuruluşumun içinden ve dışından kimlerin buna erişimi olduğunu yönetebilmek için bunu tek oturum açmamla entegre edebilir miyim? Çünkü, daha önce de söylediğim gibi, güvenlik sorunlarının büyük bir yüzdesi buradan kaynaklanmaktadır.

Dolayısıyla, SSO'nuzla entegre edebileceğiniz ve çok fazla uygulamalı iş yapmanıza gerek kalmadan güvenliğin araçlardan geçmesine izin verebileceğiniz WP Engine gibi ürünleri seçmek istiyorsunuz. Bana göre bu, sertifikalar artı kendi ortamınız için istediğiniz diğer her şeyin birleşimidir.

ERIC JONES: Ve Brent, soruyu sana geri verirsek, WordPress bağlamında bunun hakkında ne düşünüyorsun?

BRENT STACKHOUSE: Evet, bence bu harika. İnsanlar, tabiri caizse, eklentileri ve temaları kullanarak WordPress ekosistemini genişletmeye bakarken, yalnızca bir iş bağlamından veya iş katmanından bile aranacak birkaç şey, bu verilen kod parçasının, eklentinin veya tema? Güvenlik güncellemeleri de dahil olmak üzere düzenli olarak güncelleme yaptıklarını değişiklik günlüklerinde görebilir miyim?

Bunlar çok niteliksel ölçümler veya girdilerdir, ancak yine de alakalıdırlar. Tipik olarak, büyük bir ayak izine sahip olan eklenti geliştiricileri veya tema geliştiricileri – çok fazla müşterileri vardır – tabiri caizse, hangi yolu kullandığınıza bağlı olarak kodlarını iyi veya kötü koruyarak kaybedecekleri ve kazanacakları şeyleri vardır. Bunu çevirmek istiyorum. Ve bu nedenle, ihtiyacınız olan her şey için en yaygın ve en popüler olanları seçmek genellikle iyi bir uygulamadır.

Geliştirici düzeyinde, tabiri caizse daha fazla kontrol uygulayabilirsiniz. Belirli bir eklenti için statik uygulama güvenlik araçlarını kullanabilirsiniz. Başka bir güvenlik araştırmacısının bulamadığı bir şey bulma ihtimaliniz var mı? Belki hayır, ama aletleriniz ne olursa olsun bu şeyleri gözden geçirmek yine de iyi bir fikirdir. Ayrıca, ortamınızda kullandığınız kod üzerinde daha iyi bir güvence elde etmenizi sağlayabilecek çok sayıda açık kaynaklı ücretsiz araç ve hatta çok düşük maliyetli veya ücretsiz lisanslara sahip ticari araçlar vardır.

Joe'nun değindiği bir şey de sizinle biraz konuşacağım, WP Engine aynı zamanda hem kod tüketicisi hem de üreticisidir ve bu nedenle biz aynı zamanda bir hizmet sağlayıcıyız ve bütünlüğümüz konusunda çok endişeliyiz. uçtan uca geliştirme çabaları. Ve bu devam eden bir meydan okuma.

Bu nedenle, WordPress sitelerini çalıştıran geliştiricilerimiz için bir şey, umarız, kuruluşlarının riskle ilgili bağlamının farkında olmalarıdır. Örneğin, hangi sektördeler? Kuruluşun meydana gelen kötü şeylere ne kadar toleransı var? Belirli sektörler veya kuruluşlar, DDoS saldırıları vb. şeylere karşı çok daha hassastır.

Yani bunu düşünerek ve potansiyel olarak bu şeyleri kodlayarak, DDoS için kod yazamazsınız, ancak kesinlikle bunun farkında olabilir ve bunu ortaya çıkarabilirsiniz. Geliştiricilerin doğru şeyi yapması bence çok önemli.

ERIC JONES: Biraz vites değiştirip, Joe, üst düzey güvenlik açısından bazı çok özel öneriler sunmaya çalışmak amacıyla, web sitesi sahiplerine güvenliklerini güçlendirmeye yardımcı olmak için ne yapmalarını önerirsiniz?

JOE SULLIVAN: Evet, bu yüzden düşündüğüm gibi, bir gram önlem, bir kilo tedaviye bedeldir. Ve güvenlik bağlamında bu, bir şey oluşturmaya çalışmak yerine başlamadan önce kullanacağınız doğru araçları ve platformları seçmek anlamına gelir ve şimdi bunun üzerine güvenliği nasıl önyükleyeceğimizi bulalım.

Bu nedenle, platformları seçerken, araçları seçerken, kodu seçerken, bunu en başından güvenliği göz önünde bulundurarak düşünmek istersiniz. Ve dediğim gibi, seçtiğiniz araçlarla güvenliğin otomatik olarak gerçekleşmesini sağlayabilirseniz, dışarıdan gelip bir şey yapmak için insanları işe almak zorunda olduğunuzdan çok daha iyi bir yerde olacaksınız. bir sürü denetim ve ardından gemi okyanusta seyrederken her şeyi düzeltmeye çalışın.

Bu şekilde yama yapamazsınız. Ve benim için her zaman arıyorum, güvenlik açısından kutudan ne çıkarım? Benim için orada olan ayarlar nelerdir? Ve güvenliğin temellerini ele alırsam, aslında sadece birkaç alan olduğunu düşünüyorum.

Benim için bir numara, her zaman bu kimlik ve erişim yönetimidir. Bu yüzden, tek oturum açmayı baştan entegre etme yeteneğinden bahsettim. Bir şirket kuruyor olsaydım, seçeceğim ilk şeylerden biri, kuruluşumla birlikte ölçeklenecek doğru çoklu oturum açma kurulumu olurdu. Ve her zaman onunla bütünleşecek ürünleri seçmeye çalışırdım.

Düşüneceğim ikinci şey, tamam, internete dönük bir sürü kodum olacak. İnternetten gelen saldırılara nasıl dayanabilirim? Brent hizmet reddi saldırılarından bahsetti.

Yük dengeleyicilere nasıl sahip olacağımı ve tüm bunları nasıl yöneteceğimi ve Cloudflare gibi ürünleri nasıl satın alacağımı kişisel olarak bulmam gerekiyor mu? Yoksa güvenliği düşünmek zorunda kalmamak için satın aldığım bir platformla birlikte mi geliyor? Zaten orada yerleşik olduğunu biliyorum, vb. Bu yüzden metodik olarak çalışanlarımdan, kimlik ve erişim yönetiminden, internete bakan koddan geçerdim.

Ve sonra üçüncü sütun muhtemelen – burada gerçekten bahsetmediğimiz şey – dizüstü bilgisayarları ve bunun gibi şeyleri nasıl kurarım?

ERIC JONES: Ve Brent, belki sana gelecek olursak, WordPress geliştiricilerinin yapabilecekleri en güvenli siteleri oluşturmak için düşünmeleri gereken bazı özel şeyler nelerdir?

BRENT STACKHOUSE: Evet, ilk yanıtım ilginç olduğu yönünde. Bahsettiğimiz şeylerin çoğu, ne zaman inşa edileceğine veya ne zaman satın alınacağına ilişkin bir karardır. WordPress ekosisteminizi genişletmek için kendi eklentilerinizi ve yapmak istediğiniz her şeyi mi oluşturacaksınız? Yoksa tabiri caizse bedava olsa bile satın alacak mısınız?

Ancak bu, bence Joe ve benim için de geçerli, yani GitHub veya başka bir mekanizma aracılığıyla diğer insanların kodlarını tüketiyoruz ve makul bir şekilde geliştiricileri işe alabilir ve tüm bunları sıfırdan yapabiliriz. Veya başka birinin zaten yapmış olduğu bir şeyi kullanabiliriz.

Ve zorunda olmadığın zaman neden tekerleği yeniden yaratasın? Ancak, kullandığınız kodun iyi durumda olduğundan nasıl emin olabilirsiniz? Spesifik olarak WordPress'e geri dönersek, bence birkaç şey var – bu muhtemelen bir geliştirici kitlesi için sağduyudur, ancak yine de söyleyeceğiz. Kodlama yaparken güvenli bir şekilde kodlayın, yani ne yapmaya çalıştığınızı bilin. Yapmaya çalıştığınız şeyi, işlevleriniz, tüm bu tür şeyler açısından sınırlamaya çalışın.

Ancak OWASP İlk 10'u aklınızda bulundurun. OWASP İlk 10 muhtemelen izleyicilerimiz tarafından iyi bilinmektedir. Ancak Joe'nun daha önce ima ettiği gibi temel bilgiler önemlidir ve bu nedenle geliştiriciler için temel bilgiler kesinlikle OWASP İlk 10'u içerir.

Ve sonra, bahsettiğim, çok iyi önceden konuşlandırılmış veya siz konuşlandırırken statik uygulama güvenlik araçlarından birini kullanın. Tabiri caizse bunu otomatik olarak sihirli bir şekilde yapabilirsiniz. Özel kod geliştiriyorsanız, gönderdiğiniz kodun gerçekten iyi durumda olduğundan ve kendi kodunuzla ilgili bilinen bariz güvenlik açıkları olmadığından emin olun.

Üçüncü şey, bahsettiğimiz tedarik zinciri konusuna geri dönüyor. Ve GitHub'ın, yukarı akış bağımlılıklarınızda bilinen güvenlik açıkları olduğunu gerçekten söyleyebilecek bazı ücretsiz işlevleri vardır. Bu nedenle, bir bağımlılık botu olan Dependabot, GitHub'ın sağladığı harika bir şeydir ve depolarınızda bunu kesinlikle etkinleştirmiş olmanız gerekir. Ve aslında PR'leri otomatik olarak oluşturabilir. Ve sonra, yukarı akış bağımlılıklarınızın en azından bilinen herhangi bir güvenlik açığı olmaması için ihtiyacınız olduğunu düşünüyorsanız, bunu birleştirme seçeneğiniz olacak.

Muhtemelen, gönderdiğinizde bile tüm kodlarda hatalar vardır ve bunun muhtemelen güvenlik hataları olan bir alt kümesi vardır, ancak en azından Joe'nun daha önce ima ettiği bariz zorluklardan kaçınmamız gerekir. Gazetelere çıkmak istemiyoruz çünkü bariz olanı kaçırıyoruz. Mesela, hey, bir şeyleri yamamalısın. Yani, evet, geliştiricilerin tabiri caizse kendilerini ateşten uzak tutmak için akıllarında tutabileceklerini düşündüğüm üç şey bunlar.

ERIC JONES: Sanırım ikiniz için de soru şu, şu anda tam olarak radarda olmayan, kargadan aşağı inerken gördüğünüz şeyler neler? Ve insanların, geliştiricilerin, web sitesi sahiplerinin düşünmesi gereken ama şu anda olmayan şeyler neler? Ve bu ikinizden biri için açık bir soru.

BRENT STACKHOUSE: Evet, araya girmek istiyorum çünkü Joe daha önce Okta olayını yanıtlamıştı. Yani o belirli grup – bu ilginç. Yani onu zaten gördük. Bu yüzden bunun neredeyse mızraktan aşağı indiğini bile söyleyemem.

Ancak Okta'yı patlatan grup ve ayrıca bu podcast'te veya bu röportajda mutlaka bahsetmemize gerek olmayan diğer büyük isimler, öncelikle çok, çok ilginç toplum mühendisliği teknikleri kullanıyorlar, çok teknik saldırılar yapmıyorlar.

Ve belki de geliştiriciler bu tür bir saldırıya duyarlı değildir. Bu, kuruluşa ve geliştiricinin nerede yer aldığına bağlıdır. Ancak, tabiri caizse, belirli bir kuruluş için BT personeli veya varlıklara erişimi olan kişi olarak hareket eden herhangi biri, pekala sosyal mühendislik saldırılarının hedefi olabilir.

Yani bu hakkında konuşmaktan hoşlanmadığımız bir konu çünkü teknik olarak düzeltemiyoruz. Ama dürüst olmak gerekirse, insanlar yumuşak nokta olmaya devam ediyor. Ön kapı olarak adlandırdığımız dış saldırı, bu genellikle teknik olarak daha zor ve saldırganlar için daha fazla iş anlamına geliyor. Ve bazen, ya da çoğu zaman, toplum mühendisliği saldırılarından geçerler. Kimlik avı, hangi araçla olursa olsun hala çok ama çok etkilidir.

Bu yüzden bunun hala bir meydan okuma olduğunu kanıtlayan bir şey olduğunu düşünüyorum. Ve kuruluşlar muhtemelen zamanlarını buna olması gerektiği kadar odaklamıyorlar.

JOE SULLIVAN: Evet, bence Brent'in biraz farklı bir sesle söylediklerini söylemenin başka bir yolu da, geliştiricilerin bir sonraki güvenlik sorununu tahmin etmeye çalışarak bir kristal küreyle çok fazla zaman harcamasını istemiyorum. Temelleri doğru yapmak daha önemlidir.

Ve bu temel bilgiler, her ne ise, bir sonraki büyük şeyin çoğunu halledecektir. Ve örnek olarak, fidye yazılımlarının ortaya çıkışı açısından köklü bir değişim olduğundan bahsetmiştim. Siber suçların daha önce hiç yapmadığı bir şekilde şirketleri durma noktasına getirdi.

Ancak bu, fidye yazılımlarını engellemek için bir ürün satın almanıza benzemez. Geri dönüp, önceki tehditlerle başa çıkmak için yapmanız gerekenlerin aynısını yapın. Fidye yazılımı nedir? Ortamınıza yerleştirilen kötü amaçlı bir yazılımdır.

Ne zaman bir davetsiz misafir ortamınıza girse, bu kötüdür. Bu yüzden hakkımız var – sadece çevreye odaklanmaya devam edersek ve çalışanlarımızın tehlikeye girmesine veya kodumuzun tehlikeye girmesine izin vermezsek, o zaman fidye yazılımlarıyla uğraşmak zorunda kalmayız.

Bu nedenle, oturup bir sonraki fidye yazılımının ne olacağı konusunda endişelenmek yerine, temel bilgilere odaklanmaya devam edin. Ve güvenlik dünyasındaki geri kalanımızın gelecek hakkında spekülasyon yapmasına izin verin.

ERIC JONES: Joe ve Brent, bakış açınız, zamanınız ve bugünkü tavsiyeleriniz için çok teşekkür ederim. Temelleri doğru bir şekilde belirlemek, şeffaflığın önemi, bir sigortanın bakış açısından nelere bakılması gerektiği konusunda düşünülmesi gereken çok şey var.

Ve sonra belki de en önemli şey, güvenliğin asla sonradan düşünülmemesi gerektiğidir. En başından onu yerleşik hale getirmelisin. WP Engine veya Cloudflare güvenlik teklifleri hakkında daha fazla bilgi edinmek istiyorsanız, lütfen web sitelerimize göz atın. Ve tabii ki, WP Engine'de, belirli bir WordPress perspektifiyle ilgileniyorsanız, Kaynak Merkezimizde herkesin kullanımına açık çok sayıda güvenlik bilgisine sahibiz. Bu nedenle, bugün bizi izleyen herkese, zaman ayırdığınız ve bugün bize katıldığınız için tekrar teşekkür ederiz.