CISA 的損害 WordPress 安全性的不良做法列表

已發表: 2022-08-24

CISA 代表網絡安全和基礎設施安全局,是美國國土安全部下屬的聯邦機構。 它成立於 2018 年,取代了 NPPD——國家保護和計劃局,其任務是提高網絡安全,以抵禦來自私人和國家支持的黑客的攻擊。

CISA 開展了大量工作來幫助確保關鍵基礎設施和系統的安全性。 為此,它發布了一些指南和列表,以幫助政府實體和私營企業保持良好的安全實踐並保持在線安全。 您可以輕鬆地將 CISA 的指南應用於您的個人或企業 WordPress 網站,以獲得符合 CISA 標準的安全性。

CISA 向公眾提供的其中一項資源是其不良做法目錄。 雖然這份目錄是一項正在進行的工作——並且總是由於威脅的動態和不斷變化的性質——它讓我們對 CISA 認為真正的不良做法有寶貴的洞察力。

CISA 和 WordPress 安全性

CISA 的不良做法通常在 WordPress 環境中普遍存在,這使得該列表與 WordPress 管理員和網站所有者更加相關。 幸運的是,消除這些不良做法很容易,而且可以立即完成。

如果您希望將您的安全性提升到一個新的水平,請參閱 WordPress 安全指南以獲取完整而詳細的列表,其中列出了您可以採取的所有措施以確保您的網站安全。
該機構還開設了一個 GitHub 頁面,管理員和其他 IT 專業人員可以在該頁面上就不良做法發表意見,以便將其納入目錄。

風險 1:使用不受支持的軟件

軟件總是帶有錯誤——這也是開發人員發布更新的原因之一。 更新不僅解決了錯誤和安全漏洞,還添加了新功能和改進。 盡快安裝這些更新對於確保您的基礎架構安全非常重要。

不受支持的軟件,例如舊版本、已達到其生命週期的軟件和無效插件,不會收到更新,這使得它們特別危險,因為它們可能會給您的環境帶來已知的漏洞。
攻擊者可以利用這些漏洞未經授權訪問您的系統。 反過來,這使他們能夠竊取您的數據、關閉您的網站並進行許多其他惡意活動。

解決方案

盡快安裝更新可以顯著降低與安全漏洞和錯誤相關的風險。 同樣,您希望確保您選擇的供應商和開發人員能夠及時響應並經常發布更新(而不是一年一次)。

選擇插件時,請查看版本歷史記錄以了解更新發布的頻率。 每日更新不是一個好兆頭; 但是,因此每年的更新也可能表明有問題。 您可能還想查看用戶評論以了解開發人員對用戶問題的響應程度。

風險2:密碼錯誤

不良密碼包括默認密碼、回收密碼、之前洩露的密碼和弱密碼。 錯誤的密碼很容易被破解,為攻擊者提供了進入您系統的簡單途徑。 密碼共享是另一種在 WordPress 環境及其他環境中經常發生的不良做法。 共享密碼極大地增加了密碼洩露的風險,使追踪問題和追究團隊責任變得困難。 Wpassword 藝術品

解決方案

強大的 WordPress 密碼策略在幫助您排除錯誤密碼方面大有幫助。 WPassword 是一個 WordPress 插件,它為管理員提供對用戶如何設置密碼策略的精細控制,確保使用安全有效的密碼。

風險 3:單因素身份驗證

單因素身份驗證是進入 CISA 不良做法目錄的第三個也是最後一個風險。 在單因素身份驗證設置中,用戶只需使用其用戶名和密碼即可登錄。 在雙重身份驗證 (2FA) 或 MFA 環境中,用戶必須通過第二種(或更多)方法進行身份驗證。

如果密碼洩露,單因素身份驗證可能會特別成問題,雖然良好的密碼策略在最大限度地降低風險方面大有幫助,但二級身份驗證因素大大提高了 WordPress 網站的整體安全性。

2FA 正迅速成為身份驗證的黃金標準。 雖然它的前提非常簡單,但它可以阻止大多數最常見的攻擊。 這使其成為行業巨頭、愛好者以及介於兩者之間的所有人的最愛。

解決方案

WordPress 不提供開箱即用的 2FA。 但是,由於 WP 2FA,在您的 WordPress 網站上實施 2FA 很容易。 這個 WordPress 2FA 插件提供了比您無法動搖的更多選項,確保您的所有用戶都可以利用 2FA 來獲得更安全的 WordPress。

一個 WordPress 安全行動計劃,以消除不良做法

安全提示 壞習慣就像壞習慣。 必須隨著時間的推移對其進行檢查,以確保沒有任何東西從裂縫中掉下來。 這就是為什麼 WordPress 安全是一個迭代過程的原因; 我們必須經常注意這一點,以確保我們始終遵循最佳做法。

雖然毫無疑問還有其他沒有列入 CISA 名單的不良做法,但它們提供的內容是一個很好的起點。 回顧一下,

  1. 更新可用時立即安裝。 如果您擔心更新會破壞您的站點,請在將更新發佈到實時環境之前安裝一個臨時環境來測試更新。
  2. 使用 WPassword 實施強大的 WordPress 密碼策略,從您的環境中清除弱密碼。 鼓勵用戶使用密碼管理器來減少對過於復雜的忘記密碼的支持請求。
  3. 啟用和使用策略以要求對所有用戶進行 WordPress 雙重身份驗證。 使用 WP 2FA 來利用其許多功能,其中包括 Authy 集成、寬限期和白標等。

雖然 CISA 的列表是一個很好的起點,但保護您的 WordPress 網站需要更全面的方法。 從確保強密碼到強化 WordPress,您可以按照 WP White Security 的指南來做很多事情,以獲得出色的 WordPress 安全性。

PS 如果您在保護 WordPress 網站方面的經驗有限,我們建議您設置一個 WordPress 測試環境。