DE{CODE}：在全球网络攻击增多的情况下确保您的 WordPress 网站安全

与 WP Engine 和 Cloudflare 的专家一起参加这个关于如何锁定您的网站的安全会议。 讨论重点介绍了最近的网络攻击趋势以及 WP Engine 如何保护您的站点的具体示例。 开发人员将带着一份清晰的步骤清单离开，以确保他们的网站安全。

会议幻灯片

全文抄本

ERIC JONES ：欢迎来到 DE{CODE}，并感谢您参加有望成为令人难以置信的分组会议。 我叫 Eric Jones，是 WP Engine 的企业营销副总裁。 今天，我非常兴奋地主持 Cloudflare 首席安全官 Joe Sullivan 和 WP Engine 安全副总裁 Brent Stackhouse 之间的讨论，他们在安全方面拥有数十年的经验。

我们的讨论，在全球网络安全攻击增加的情况下确保您的 WordPress 网站安全，再及时不过了，因为网络攻击不仅在增加，而且还处于历史最高水平。 乔，我们为什么不从你开始呢？ 我很想从广泛的宏观角度了解您在网络安全领域看到的趋势。

乔·苏利文：当然。 我很高兴加入。感谢您邀请我参加这次谈话。 我也很期待。 我认为目前安全领域有两个大趋势。 第一，它在世人眼中更为重要。

因此，在我们了解它的技术方面以及我们日复一日面临的实际挑战之前，值得花点时间看看自布伦特和我开始从事这个行业以来，安全领域发生了多大变化，因为你说，几十年前。

安全不再是一个团队或一个位于组织角落的概念。 它是我们所做一切的核心。 首席执行官被追究责任。 董事会正在提出尖锐的问题。 除非风险资本家看到正确的投资水平，否则他们不会做出贡献。

而且，更重要的是，我们产品的客户、消费者和企业买家对我们提出了更高的要求。 因此，对我来说，这是最重要的趋势，也是我们进行这次对话的原因。 它对每个开发人员工作的各个方面都很重要。

因此，转向安全领域实际发生的事情并没有变得更容易。 挑战不断向我们袭来。 如果您关注头条新闻，就会发现勒索软件在过去一段时间内兴起。 这真的很可怕。

勒索软件在安全方面改变了游戏规则，因为它从窃取一些数据或向世界公开某些东西到关闭您的业务。 因此，安全重要性的整个概念被这种风险放大了，我们可能会在早上醒来而无法打开我们的笔记本电脑，也无法运行我们的网站。 这真的很可怕。

地缘政治也真正开始影响我们所有人。 乌克兰的情况并不局限于现实世界。 它现在主要在网络环境中。 它正在溢出来影响我们其他人。 因此，现实世界中发生的地缘政治事件对我们这些试图在互联网上经营业务的人来说具有技术意义。

我认为从技术角度我要提到的第三件事是我们并不生活在我们自己的代码世界中。 我们生活的世界是软件和代码的融合，它们共同代表一个组织。

因此，在安全方面，我们使用术语供应链来谈论所有其他代码和其他应用程序以及成为我们公司身份一部分的一切。 因此，例如，当最近有关于 Okta 遭到破坏的故事时，这不仅仅是 Okta 是否受到破坏的问题。 这是我的公司和所有其他使用 Okta 的公司是否受到损害的问题。

我的客户并不关心 Okta。 他们关心他们对我们的使用，我们采取了哪些控制措施来降低 Okta 被破坏的风险？ 所以现在发生了很多事情。 现在是进行此对话的好时机。

ERIC JONES：Joe，作为一个后续问题，您如何看待您所面临的以及每个安全组织所面临的所有这些特定挑战的优先级？

乔·苏利文：当然。 我认为这是最终的问题。 如果我们有无限的预算和无限的人来做这项工作，我们就可以做到这一切。 但这不是任何组织在其发展的任何阶段的现实。

因此，我们始终处于确定优先级的过程中。 所以我要说的是，你必须首先优先考虑基础知识。 令人震惊的是，很大一部分妥协来自基础方面的失败。

作为安全专家，我们喜欢深入研究零日攻击或 O-day 攻击，并研究这个非常复杂的事情。 但 90% 的时间，妥协来自网络钓鱼电子邮件，或者有人选择使用他们在个人网站上使用的相同密码，但这些密码已被泄露且未开启多因素身份验证。

很多时候，我们实际上拥有做好基础工作的工具，但我们没有花时间去实施它们。

ERIC JONES： 是的，我认为你正在触及安全的关键点，对吧？ 这是我们所有人都有责任的事情。 这是整个组织的共同责任。 它不仅仅存在于安全团队中。 它与特定公司的每一位员工息息相关。

布伦特，请问您，从 WordPress 的角度来看，WordPress 有何相同之处、不同之处，以及您在该领域看到的一些最大的漏洞点是什么？

布伦特·斯塔克豪斯：谢谢埃里克，也谢谢你邀请我。 感谢与乔分享时间。 他知道很多东西。 我们来过这个街区好几次了。 所以这很有趣。

WordPress 在很多方面——从 WordPress Core 与 WordPress 生态系统中的所有插件和主题以及其他东西不同的意义上来说，这个消息通常是好的。 WordPress Core 继续对常见攻击保持稳健和弹性。

所以 WordPress 本身是一个良好、稳定、强大的平台，客户通常应该在几乎任何情况下都能放心使用。 挑战主要在于插件方面，wordpress.org 或那些核心开发人员通常与大多数插件和主题没有任何关系。

代码质量的可变性，类似于您将在 Google 的 Play 商店或类似应用程序中获得的应用程序，正如我刚才所说，这些不是由 Google 编写的。 它们不是由 WordPress 编写的，这些插件和主题可以是从单个开发人员到团队的任何东西。 这些插件或主题的足迹可能非常小到非常大。 他们可能有快速或不快速修补的良好历史。

所以这取决于。 因此，随着 WordPress 越来越受欢迎，生态系统越来越受欢迎，您可以假设攻击者会继续加大攻击力度，因为攻击者会去赚钱的地方，这类似于 Windows 比 Mac 拥有更多恶意软件的原因。 那是因为那是足迹所在，也是金钱所在。

所以 WordPress 也不例外，随着它越来越受欢迎，你可以预料到攻击者会继续做它正在做的事情。 好消息是，与我四年前开始使用 WP Engine 时相比，生态系统在很大程度上更加健康。

插件开发人员、主题开发人员更清楚他们将从安全研究人员或其他注意到漏洞的人那里获得输入。 他们中的大多数人都在负责任地锻炼肌肉，这样他们就可以非常非常快地扭转补丁。

所以情况比以前好多了。 四年前，当漏洞发生时，许多开发人员都感到惊讶，而且他们并没有真正快速或能够满足客户在定期修补方面的需求。

作为技术消费者，我们所有人都习惯引用“星期二补丁”或我们来自 Apple 的定期更新，等等。 所以我们对漏洞并不感到惊讶。 然而，如果该供应商没有负责任地快速修补某些东西，我们会感到非常惊讶。

因此，我认为 WordPress 生态系统总体上比四年前更健康。 同样，WordPress Core 很棒，但我认为插件和主题通常会跟上。 所以这是非常积极的。

ERIC JONES：只要双击你所说的关于 WordPress Core 的内容，开源软件的本质是什么，它可能有助于解决围绕它的安全问题？ 因为我认为这是开源软件从根本上并不安全的误解和神话之一。

布伦特·斯塔克豪斯：嗯，这是一个很好的问题。 我对 Joe 对此的想法很感兴趣。 埃里克，我不是要向你抛出弯路，但我已经够大了。 我已经看到我们所说的开源的含义随着时间的推移发生了相当大的变化。

在过去，开源曾经是非常知名的项目，比如 Apache，或者说，OpenSSH，或者说，Linux，等等，所以当我们说开源的时候，这就是我们通常所说的指的是。

而且，是的，有很多次要的、第三次的，无论那里有多少维护得不太好的小型项目，等等。现在我认为我们所说的开源实际上是指 GitHub 中的任何东西，任何人在那里发布的任何东西，任何人别的可以抢。

你在谈论库，非常小的代码，任何人都可以说，哦，根据它的特性看起来很棒，我们将把它合并。 当乔提到供应链问题时，我会稍后再谈。 稍后我将讨论供应链风险缓解方面的开发人员特定挑战。

因为开源——我回想起你关于 WordPress 的问题，埃里克。 很高兴源在那里。 很多人都在看着它。 我认为在 Apache 和类似的东西的时代也是如此。 任何被广泛使用的东西都会受到好人和坏人的大量审查，我认为这是一件好事。 默默无闻的安全从来都不是一个好的做法。 因此，拥有代码非常棒。

但是开源等于比封闭源更好的安全性，反之亦然，这是一个很难回答的问题。 因为它们实际上就是苹果和橘子。 我认为 WordPress 作为一个团队在使用其他输入而不是他们自己的智慧方面做得很好，例如使用漏洞赏金计划。 多年来，WordPress Core 一直在这样做。 我认为这很聪明。

毫无疑问，他们有独立的研究人员定期向他们询问他们的发现。 聪明的团队接受这些输入并做正确的事。 我确定他们正在接受笔试，等等。所以我们在 WP Engine 上做类似的事情，但这对课程来说是很正常的。

乔，对此有什么想法吗？ 很抱歉接管它，埃里克，但是——

ERIC JONES：不，那很完美。

JOE SULLIVAN：我认为你在高点上打了很多。 当我想到开源软件时——当我想到来自任何来源的软件时，我认为我们必须在将它放入我们的环境之前对其进行评估。 有时开源软件将是比专有软件更好的选择。 因为你知道吗？ 阳光杀死感染。

我们有很多开源软件的原因是很多其他人也在关注它。 我认为这是安全领域中我们做得不够好的事情，我们都坐在我们的小团队和角落里，我们尝试自己解决所有问题。

让社区参与进来是一件好事。 关于特定软件的风险的透明度和对话是一件好事。 而且我们在这方面做得越来越好。 您的错误赏金计划示例是另一种带来透明度并邀请第三方来挖洞的方式。

当我们谈论最常用和最重要的开源软件时，很多人都在关注开源软件。 但以同样的方式，我不会只是从 GitHub 上抓取一些代码，然后在没有真正仔细检查的情况下将其放入我的产品中。

我还要说的是，当您购买专有软件的许可时，您也需要谨慎行事。 您仍然需要看看是谁在做，他们有什么实践，以及它有多稳健。

布伦特·斯塔克豪斯：是的，很多都是关于——这是一个风险书呆子术语——但关于保证。 一旦我们执行 A、B、C，我们在技术意义上可以为我们正在做的任何事情获得什么保证。而且很多保证，取决于闭源的情况，更难获得。

在开源中，您可以更轻松地更好地了解谁做了什么来检查代码。 闭源有点棘手。 您必须使用间接输入来表明该公司随着时间的推移拥有良好的安全实践等。

但是，是的，获得保证最终是您在部署时尝试做的事情，通常使用任何技术。 谢谢。

ERIC JONES：那么，对于那里的开发人员，你们在公司中寻找的那些具体保证是什么？ 如果这些项目或软件有这些东西，你就会认为它们很好，比它们本来可能更安全一点。

布伦特·斯塔克豪斯：你想要一个 WordPress 答案吗？ 如果您想从总体上开始，我会让 Joe 走。

ERIC JONES：是的，Joe，如果你能提供一个广阔的视角，那么 Brent，你可以提供更具体的 WordPress 视角。

JOE SULLIVAN：是的，所以，从我的角度来看，我作为买家和卖家考虑这个问题，因为我在 Cloudflare 工作，人们正在那里实施我们的产品。 任何 Cloudflare 客户在实施 Cloudflare 之前遇到的第一个问题是，我应该信任 Cloudflare 吗？ 因为我们坐在他们整个业务的前面。 除非你信任他们，否则将某人放在那是一个非常危险的地方。

但我也是，因为我们正在成长并且需要构建我们的产品，所以我们也依赖第三方。 因此，我是难题的接受者，也是难题的提出者。

而且，看，每次我们要与第三方合作时，我们都没有时间或资源去审计。 我们没有足够大的团队。 我们没有技能。 因此，我们从安全认证作为这里重要的概念开始。

当我说认证时，我指的是 SOC 2、像 WP Engine 那样的 SOC 2 Type II，或者 ISO 27001 或 PCI。 当您听到这些话和证书时，您应该想到的是第三方使用一套公认的标准进入并审计该公司并评估他们是否满足该领域的所有控制。

因此，我们每个人 - Cloudflare 都有一份我们可以分享的 SOC 2 Type II 报告。 WP Engine 有一份我们可以分享的 SOC 2 Type II 报告。 当我说类型 II 时的好处是，这意味着它不仅仅是时间点审计。 这是一段很长的时间。

因此，例如，对于我们的 SOC 2 Type II，这意味着在过去的一年中，在该认证存在的那段时间的任何时候，我们都遵守了这些最低安全控制。 通常这对客户来说就足够了。 就像，哦，那家公司有一个 SOC 2 Type II。 好的，我会相信他们。

但随后您可能希望根据您的具体实施进行更深入的研究。 因此，当我考虑购买产品时，我不仅会考虑代码的质量，还会考虑它如何与我的环境集成。

所以对我来说很重要的是身份验证。 我能否将它与我的单点登录集成，以便我可以管理组织内外的哪些人可以访问它？ 因为正如我之前所说，大部分安全问题都来自于此。

因此，您想选择像 WP Engine 这样的产品，您可以在其中将它与您的 SSO 集成，并让安全性通过工具运行，而无需您进行大量动手操作。 所以，对我来说，它是认证加上您特定环境所需的所有其他内容的组合。

ERIC JONES：布伦特，把问题交还给你，你如何看待 WordPress 环境中的这个问题？

布伦特·斯塔克豪斯： 是的，我认为这很好。 当人们正在考虑扩展 WordPress 生态系统时，可以这么说，通过使用插件和主题，甚至从业务上下文或业务层中寻找一些东西是，这段给定的代码、插件或主题？ 我可以在他们的更新日志中看到他们定期更新，包括安全更新吗？

这些是非常定性的措施或投入，但它们仍然相关。 通常，插件开发人员或主题开发人员的足迹很大——他们有很多客户——他们会失去和获得一些东西，可以这么说，通过维护好或不好维护他们的代码，这取决于你用什么方式想翻转那个。 因此，无论您需要什么，简单地选择最常见的最受欢迎的通常是一个很好的做法。

在开发人员级别，您可以应用更多控制，可以这么说。 您可以为给定的插件使用静态应用程序安全工具。 您是否可能找到其他安全研究人员没有找到的东西？ 也许不是，但通过任何工具运行这些东西仍然是一个好主意。 并且有很多开源免费工具，甚至是成本非常低或免费许可的商业工具，可以让您更好地保证您在环境中使用的任何代码。

Joe 提到的一件事我也会和你谈谈，WP Engine 既是代码的消费者也是生产者，所以我们也是服务提供者并且非常关心我们的完整性端到端的开发工作。 这是一个持续的挑战。

因此，对于我们运行 WordPress 网站的开发人员来说，其中一件事就是他们应该意识到他们组织的风险背景。 例如，它们处于什么垂直方向？ 组织对坏事发生的容忍度有多大？ 某些部门或组织更容易受到 DDoS 攻击等攻击。

因此，考虑到这一点并可能为这些事情编写代码，你不能为 DDoS 编写代码，但你当然可以意识到它并将其浮出水面。 我认为这对于开发人员做正确的事非常重要。

埃里克·琼斯：换个角度，为了提供一些非常具体的建议，乔，从高级别的安全角度来看，您会建议网站所有者采取什么措施来帮助加强他们的安全性？

JOE SULLIVAN：是的，所以我认为，一盎司的预防值得一磅的治疗。 而且，在安全上下文中，这意味着在开始之前选择要使用的正确工具和平台，而不是尝试构建一些东西，现在让我们弄清楚如何在其之上引导安全性。

因此，当您选择平台、选择工具、选择代码时，您希望从一开始就考虑到安全性。 因此，就像我说的那样，如果您可以通过您选择的工具自动实现安全性，那么与您必须雇用人员介入并执行一堆审计，然后在船在海洋中航行时尝试修复所有问题。

你不能那样修补它。 因此，对我来说，我一直在寻找，从安全的角度来看，我能开箱即用吗？ 有哪些适合我的设置？ 如果我了解安全的基础知识，我认为实际上只有几个方面。

对我来说，第一位始终是身份和访问管理。 所以这就是为什么我从一开始就谈到集成单点登录的能力。 如果我要创办一家公司，我会选择的第一件事就是正确的单点登录设置，以适应我的组织。 而且我总是会尝试选择可以与之集成的产品。

我会考虑的第二件事是，好吧，我要有一堆面向互联网的代码。 如何抵御来自互联网的攻击？ 我是否必须按照我的 - 布伦特提到的拒绝服务攻击。

我是否必须亲自弄清楚如何拥有负载均衡器并管理所有这些并购买像 Cloudflare 这样的产品？ 或者它是否内置了我正在购买的平台，这样我就不必考虑安全性。 我知道它已经内置了，等等。 所以我会有条不紊地检查我的员工和身份和访问管理，面向互联网的代码。

然后就像第三个支柱可能是——我们在这里并没有真正谈论——是，我如何设置笔记本电脑和类似的东西？

ERIC JONES：而且，布伦特，也许要问你，WordPress 开发人员应该考虑哪些具体的事情来构建他们可以构建的最安全的网站？

布伦特·斯塔克豪斯：是的，我最初的反应是这很有趣。 我们谈论的很多内容都是关于何时构建还是购买的决定。 您打算构建自己的插件和所有您想做的事情来扩展您的 WordPress 生态系统吗？ 或者即使它是免费的，你也打算购买吗？

但这也适用于，我认为，乔和我，在我们通过 GitHub 或任何机制使用其他人的代码的意义上，我们可以想象雇佣开发人员并从头开始做所有这些。 或者我们可以使用别人已经做过的东西。

为什么在不需要时重新创建轮子？ 但是，您如何保证所使用的代码状态良好呢？ 所以具体回到 WordPress，我认为有两点——这可能是开发人员的常识，但我们还是要说。 当您编码时，安全地编码，这意味着知道您要做什么。 试着根据你的功能，所有这些事情来限制你想做的事情。

但请记住 OWASP Top 10。 OWASP Top 10 可能为我们的观众所熟知。 但是，同样，正如 Joe 之前提到的那样，基础知识很重要，因此开发人员的基础知识当然包括 OWASP Top 10。

然后使用我提到的其中一种静态应用程序安全工具，它非常适合预部署或在部署时使用。 可以这么说，你可以自动地做到这一点。 并确保您发送到那里的代码实际上状态良好，并且如果您正在开发自定义代码，则您自己的代码没有已知的明显漏洞。

第三件事与我们谈到的供应链问题有关。 而 GitHub 有一些免费的功能，实际上可以告诉你你的上游依赖项何时存在已知漏洞。 所以 Dependabot，一个依赖机器人，是 GitHub 提供的一个很棒的东西，你绝对应该在你的 repos 上启用它。 它实际上可以自动创建 PR。 然后，如果您认为需要，您可以选择合并它，这样您的上游依赖项至少没有任何已知漏洞。

据推测，即使您发布代码，所有代码都存在错误，其中一部分可能是安全错误，但至少我们需要避免 Joe 之前提到的明显挑战。 我们不想上报纸，因为我们错过了显而易见的事情。 就像，嘿，你应该修补东西。 所以，是的，可以这么说，我认为开发人员可以牢记这三件事，让自己远离火海。

ERIC JONES：我想你们两个的问题是，你们看到哪些东西从长矛上下来但现在还没有引起人们的注意？ 人们、开发人员、网站所有者应该考虑哪些他们现在没有考虑的事情？ 这对你们中的任何一个都是开放的问题。

布伦特·斯塔克豪斯：嗯，是的，我想加入进来，因为乔早些时候回答了 Okta 问题。 所以那个特定的群体——这很有趣。 所以我们已经看到了。 所以我什至不能说这几乎是顺势而为。

但是炸毁 Okta 的组织以及我们不必在此播客或本次采访中提及的其他知名人士，他们主要使用非常非常有趣的社会工程技术，而不是完全技术性的攻击。

因此，也许开发人员不容易受到这种攻击。 这取决于组织和开发人员适合的位置。但是可以肯定的是，对于给定的组织，任何充当 IT 人员或有权访问资产的人都可能成为社会工程攻击的目标。

所以这是我们不想谈论的事情，因为我们不能仅仅从技术上解决它。 但老实说，人类仍然是软肋。 通过我们所说的前门，意味着外部攻击，这在技术上通常更难，攻击者需要做更多的工作。 有时，或经常，他们会经历社会工程攻击。 通过任何媒介，网络钓鱼仍然非常非常有效。

所以我认为这被证明仍然是一个挑战。 并且组织可能没有像他们应该的那样将时间集中在这上面。

JOE SULLIVAN：是的，我认为布伦特用稍微不同的声音表达的另一种方式是我实际上不希望开发人员花费大量时间在水晶球上，试图预测下一个安全问题。 掌握正确的基础知识更为重要。

这些基础知识将解决下一件大事的大部分问题，无论它是什么。 举例来说，我提到勒索软件的出现发生了根本性的转变。 它以网络犯罪从未有过的方式使公司陷入停顿。

但这不像您出去购买产品来阻止勒索软件。 你回去做你应该做的完全相同的事情来应对之前的威胁。 什么是勒索软件？ 它是放置在您环境中的恶意软件。

好吧，只要有入侵者进入您的环境，那就很糟糕了。 所以我们有权利——如果我们只关注外围，不让我们的员工受到损害或我们的代码受到损害，那么我们就不必处​​理勒索软件。

因此，与其坐下来担心下一个勒索软件是什么，不如继续关注基础知识。 让安全领域的我们其他人去推测未来吧。

埃里克·琼斯：乔和布伦特，非常感谢你们今天的观点、时间和建议。 从获得正确的基本面、透明度的重要性、从保险的角度寻找什么，需要考虑很多。

然后也许最重要的事情是安全永远不应该是事后的想法。 您必须从一开始就将其内置。 我鼓励大家，如果您有兴趣了解有关 WP Engine 或 Cloudflare 安全产品的更多信息，请访问我们的网站。 当然，在 WP Engine，如果您对特定的 WordPress 观点感兴趣，我们的资源中心确实为每个人提供了丰富的安全信息。 因此，再次感谢所有今天收看的人，感谢你们抽出宝贵的时间和今天加入我们。