DE{CODE}：在全球網絡攻擊增多的情況下確保您的 WordPress 網站安全

與 WP Engine 和 Cloudflare 的專家一起參加這個關於如何鎖定您的網站的安全會議。 討論重點介紹了最近的網絡攻擊趨勢以及 WP Engine 如何保護您的站點的具體示例。 開發人員將帶著一份清晰的步驟清單離開，以確保他們的網站安全。

會議幻燈片

全文抄本

ERIC JONES ：歡迎來到 DE{CODE}，並感謝您參加有望成為令人難以置信的分組會議。 我叫 Eric Jones，是 WP Engine 的企業營銷副總裁。 今天，我非常興奮地主持 Cloudflare 首席安全官 Joe Sullivan 和 WP Engine 安全副總裁 Brent Stackhouse 之間的討論，他們在安全方面擁有數十年的經驗。

我們的討論，在全球網絡安全攻擊增加的情況下確保您的 WordPress 網站安全，再及時不過了，因為網絡攻擊不僅在增加，而且還處於歷史最高水平。 喬，我們為什麼不從你開始呢？ 我很想從廣泛的宏觀角度了解您在網絡安全領域看到的趨勢。

喬·蘇利文：當然。 我很高興加入。感謝您邀請我參加這次談話。 我也很期待。 我認為目前安全領域有兩個大趨勢。 第一，它在世人眼中更為重要。

因此，在我們了解它的技術方面以及我們日復一日面臨的實際挑戰之前，值得花點時間看看自布倫特和我開始從事這個行業以來，安全領域發生了多大變化，因為你說，幾十年前。

安全不再是一個團隊或一個位於組織角落的概念。 它是我們所做一切的核心。 首席執行官被追究責任。 董事會正在提出尖銳的問題。 除非風險資本家看到正確的投資水平，否則他們不會做出貢獻。

而且，更重要的是，我們產品的客戶、消費者和企業買家對我們提出了更高的要求。 因此，對我來說，這是最重要的趨勢，也是我們進行這次對話的原因。 它對每個開發人員工作的各個方面都很重要。

因此，轉向安全領域實際發生的事情並沒有變得更容易。 挑戰不斷向我們襲來。 如果您關注頭條新聞，就會發現勒索軟件在過去一段時間內興起。 這真的很可怕。

勒索軟件在安全方面改變了遊戲規則，因為它從竊取一些數據或向世界公開某些東西到關閉您的業務。 因此，安全重要性的整個概念被這種風險放大了，我們可能會在早上醒來而無法打開我們的筆記本電腦，也無法運行我們的網站。 這真的很可怕。

地緣政治也真正開始影響我們所有人。 烏克蘭的情況並不局限於現實世界。 它現在主要在網絡環境中。 它正在溢出來影響我們其他人。 因此，現實世界中發生的地緣政治事件對我們這些試圖在互聯網上經營業務的人來說具有技術意義。

我認為從技術角度我要提到的第三件事是我們並不生活在我們自己的代碼世界中。 我們生活的世界是軟件和代碼的融合，它們共同代表一個組織。

因此，在安全方面，我們使用術語供應鏈來談論所有其他代碼和其他應用程序以及成為我們公司身份一部分的一切。 因此，例如，當最近有關於 Okta 遭到破壞的故事時，這不僅僅是 Okta 是否受到破壞的問題。 這是我的公司和所有其他使用 Okta 的公司是否受到損害的問題。

我的客戶並不關心 Okta。 他們關心他們對我們的使用，我們採取了哪些控制措施來降低 Okta 被破壞的風險？ 所以現在發生了很多事情。 現在是進行此對話的好時機。

ERIC JONES：Joe，作為一個後續問題，您如何看待您所面臨的以及每個安全組織所面臨的所有這些特定挑戰的優先級？

喬·蘇利文：當然。 我認為這是最終的問題。 如果我們有無限的預算和無限的人來做這項工作，我們就可以做到這一切。 但這不是任何組織在其發展的任何階段的現實。

因此，我們始終處於確定優先級的過程中。 所以我要說的是，你必須首先優先考慮基礎知識。 令人震驚的是，很大一部分妥協來自基礎方面的失敗。

作為安全專家，我們喜歡深入研究零日攻擊或 O-day 攻擊，並研究這個非常複雜的事情。 但 90% 的時間，妥協來自網絡釣魚電子郵件，或者有人選擇使用他們在個人網站上使用的相同密碼，但這些密碼已被洩露且未開啟多因素身份驗證。

很多時候，我們實際上擁有做好基礎工作的工具，但我們沒有花時間去實施它們。

ERIC JONES： 是的，我認為你正在觸及安全的關鍵點，對吧？ 這是我們所有人都有責任的事情。 這是整個組織的共同責任。 它不僅僅存在於安全團隊中。 它與特定公司的每一位員工息息相關。

布倫特，請問您，從 WordPress 的角度來看，WordPress 有何相同之處、不同之處，以及您在該領域看到的一些最大的漏洞點是什麼？

布倫特·斯塔克豪斯：謝謝埃里克，也謝謝你邀請我。 感謝與喬分享時間。 他知道很多東西。 我們來過這個街區好幾次了。 所以這很有趣。

WordPress 在很多方面——從 WordPress Core 與 WordPress 生態系統中的所有插件和主題以及其他東西不同的意義上來說，這個消息通常是好的。 WordPress Core 繼續對常見攻擊保持穩健和彈性。

所以 WordPress 本身是一個良好、穩定、強大的平台，客戶通常應該在幾乎任何情況下都能放心使用。 挑戰主要在於插件方面，wordpress.org 或那些核心開發人員通常與大多數插件和主題沒有任何關係。

代碼質量的可變性，類似於您將在 Google 的 Play 商店或類似應用程序中獲得的應用程序，正如我剛才所說，這些不是由 Google 編寫的。 它們不是由 WordPress 編寫的，這些插件和主題可以是從單個開發人員到團隊的任何東西。 這些插件或主題的足跡可能非常小到非常大。 他們可能有快速或不快速修補的良好歷史。

所以這取決於。 因此，隨著 WordPress 越來越受歡迎，生態系統越來越受歡迎，您可以假設攻擊者會繼續加大攻擊力度，因為攻擊者會去賺錢的地方，這類似於 Windows 比 Mac 擁有更多惡意軟件的原因。 那是因為那是足跡所在，也是金錢所在。

所以 WordPress 也不例外，隨著它越來越受歡迎，你可以預料到攻擊者會繼續做它正在做的事情。 好消息是，與我四年前開始使用 WP Engine 時相比，生態系統在很大程度上更加健康。

插件開發人員、主題開發人員更清楚他們將從安全研究人員或其他注意到漏洞的人那裡獲得輸入。 他們中的大多數人都在負責任地鍛煉肌肉，這樣他們就可以非常非常快地扭轉補丁。

所以情況比以前好多了。 四年前，當漏洞發生時，許多開發人員都感到驚訝，而且他們並沒有真正快速或能夠滿足客戶在定期修補方面的需求。

作為技術消費者，我們所有人都習慣引用“星期二補丁”或我們來自 Apple 的定期更新，等等。 所以我們對漏洞並不感到驚訝。 然而，如果該供應商沒有負責任地快速修補某些東西，我們會感到非常驚訝。

因此，我認為 WordPress 生態系統總體上比四年前更健康。 同樣，WordPress Core 很棒，但我認為插件和主題通常會跟上。 所以這是非常積極的。

ERIC JONES：只要雙擊你所說的關於 WordPress Core 的內容，開源軟件的本質是什麼，它可能有助於解決圍繞它的安全問題？ 因為我認為這是開源軟件從根本上並不安全的誤解和神話之一。

布倫特·斯塔克豪斯：嗯，這是一個很好的問題。 我對 Joe 對此的想法很感興趣。 埃里克，我不是要向你拋出彎路，但我已經夠大了。 我已經看到我們所說的開源的含義隨著時間的推移發生了相當大的變化。

在過去，開源曾經是非常知名的項目，比如 Apache，或者說，OpenSSH，或者說，Linux，等等，所以當我們說開源的時候，這就是我們通常所說的指的是。

而且，是的，有很多次要的、第三次的，無論那裡有多少維護得不太好的小型項目，等等。現在我認為我們所說的開源實際上是指 GitHub 中的任何東西，任何人在那裡發布的任何東西，任何人別的可以搶。

你在談論庫，非常小的代碼，任何人都可以說，哦，根據它的特性看起來很棒，我們將把它合併。 當喬提到供應鏈問題時，我會稍後再談。 稍後我將討論供應鏈風險緩解方面的開發人員特定挑戰。

因為開源——我回想起你關於 WordPress 的問題，埃里克。 很高興源在那裡。 很多人都在看著它。 我認為在 Apache 和類似的東西的時代也是如此。 任何被廣泛使用的東西都會受到好人和壞人的大量審查，我認為這是一件好事。 默默無聞的安全從來都不是一個好的做法。 因此，擁有代碼非常棒。

但是開源等於比封閉源更好的安全性，反之亦然，這是一個很難回答的問題。 因為它們實際上就是蘋果和橘子。 我認為 WordPress 作為一個團隊在使用其他輸入而不是他們自己的智慧方面做得很好，例如使用漏洞賞金計劃。 多年來，WordPress Core 一直在這樣做。 我認為這很聰明。

毫無疑問，他們有獨立的研究人員定期向他們詢問他們的發現。 聰明的團隊接受這些輸入並做正確的事。 我確定他們正在接受筆試，等等。所以我們在 WP Engine 上做類似的事情，但這對課程來說是很正常的。

喬，對此有什麼想法嗎？ 很抱歉接管它，埃里克，但是——

ERIC JONES：不，那很完美。

JOE SULLIVAN：我認為你在高點上打了很多。 當我想到開源軟件時——當我想到來自任何來源的軟件時，我認為我們必須在將它放入我們的環境之前對其進行評估。 有時開源軟件將是比專有軟件更好的選擇。 因為你知道嗎？ 陽光殺死感染。

我們有很多開源軟件的原因是很多其他人也在關注它。 我認為這是安全領域中我們做得不夠好的事情，我們都坐在我們的小團隊和角落裡，我們嘗試自己解決所有問題。

讓社區參與進來是一件好事。 關於特定軟件的風險的透明度和對話是一件好事。 而且我們在這方面做得越來越好。 您的錯誤賞金計劃示例是另一種帶來透明度並邀請第三方來挖洞的方式。

當我們談論最常用和最重要的開源軟件時，很多人都在關注開源軟件。 但以同樣的方式，我不會只是從 GitHub 上抓取一些代碼，然後在沒有真正仔細檢查的情況下將其放入我的產品中。

我還要說的是，當您購買專有軟件的許可時，您也需要謹慎行事。 您仍然需要看看是誰在做，他們有什麼實踐，以及它有多穩健。

布倫特·斯塔克豪斯：是的，很多都是關於——這是一個風險書呆子術語——但關於保證。 一旦我們執行 A、B、C，我們在技術意義上可以為我們正在做的任何事情獲得什麼保證。而且很多保證，取決於閉源的情況，更難獲得。

在開源中，您可以更輕鬆地更好地了解誰做了什麼來檢查代碼。 閉源有點棘手。 您必須使用間接輸入來表明該公司隨著時間的推移擁有良好的安全實踐等。

但是，是的，獲得保證最終是您在部署時嘗試做的事情，通常使用任何技術。 謝謝。

ERIC JONES：那麼，對於那裡的開發人員，你們在公司中尋找的那些具體保證是什麼？ 如果這些項目或軟件有這些東西，你就會認為它們很好，比它們本來可能更安全一點。

布倫特·斯塔克豪斯：你想要一個 WordPress 答案嗎？ 如果您想從總體上開始，我會讓 Joe 走。

ERIC JONES：是的，Joe，如果你能提供一個廣闊的視角，那麼 Brent，你可以提供更具體的 WordPress 視角。

JOE SULLIVAN：是的，所以，從我的角度來看，我作為買家和賣家考慮這個問題，因為我在 Cloudflare 工作，人們正在那裡實施我們的產品。 任何 Cloudflare 客戶在實施 Cloudflare 之前遇到的第一個問題是，我應該信任 Cloudflare 嗎？ 因為我們坐在他們整個業務的前面。 除非你信任他們，否則將某人放在那是一個非常危險的地方。

但我也是，因為我們正在成長並且需要構建我們的產品，所以我們也依賴第三方。 因此，我是難題的接受者，也是難題的提出者。

而且，看，每次我們要與第三方合作時，我們都沒有時間或資源去審計。 我們沒有足夠大的團隊。 我們沒有技能。 因此，我們從安全認證作為這裡重要的概念開始。

當我說認證時，我指的是 SOC 2、像 WP Engine 那樣的 SOC 2 Type II，或者 ISO 27001 或 PCI。 當您聽到這些話和證書時，您應該想到的是第三方使用一套公認的標准進入並審計該公司並評估他們是否滿足該領域的所有控制。

因此，我們每個人 - Cloudflare 都有一份我們可以分享的 SOC 2 Type II 報告。 WP Engine 有一份我們可以分享的 SOC 2 Type II 報告。 當我說類型 II 時的好處是，這意味著它不僅僅是時間點審計。 這是一段很長的時間。

因此，例如，對於我們的 SOC 2 Type II，這意味著在過去的一年中，在該認證存在的那段時間的任何時候，我們都遵守了這些最低安全控制。 通常這對客戶來說就足夠了。 就像，哦，那家公司有一個 SOC 2 Type II。 好的，我會相信他們。

但隨後您可能希望根據您的具體實施進行更深入的研究。 因此，當我考慮購買產品時，我不僅會考慮代碼的質量，還會考慮它如何與我的環境集成。

所以對我來說很重要的是身份驗證。 我能否將它與我的單點登錄集成，以便我可以管理組織內外的哪些人可以訪問它？ 因為正如我之前所說，大部分安全問題都來自於此。

因此，您想選擇像 WP Engine 這樣的產品，您可以在其中將它與您的 SSO 集成，並讓安全性通過工具運行，而無需您進行大量動手操作。 所以，對我來說，它是認證加上您特定環境所需的所有其他內容的組合。

ERIC JONES：布倫特，把問題交還給你，你如何看待 WordPress 環境中的這個問題？

布倫特·斯塔克豪斯： 是的，我認為這很好。 當人們正在考慮擴展 WordPress 生態系統時，可以這麼說，通過使用插件和主題，甚至從業務上下文或業務層中尋找一些東西是，這段給定的代碼、插件或主題？ 我可以在他們的更新日誌中看到他們定期更新，包括安全更新嗎？

這些是非常定性的措施或投入，但它們仍然相關。 通常，插件開發人員或主題開發人員的足跡很大——他們有很多客戶——他們會失去和獲得一些東西，可以這麼說，通過維護好或不好維護他們的代碼，這取決於你用什麼方式想翻轉那個。 因此，無論您需要什麼，簡單地選擇最常見的最受歡迎的通常是一個很好的做法。

在開發人員級別，您可以應用更多控制，可以這麼說。 您可以為給定的插件使用靜態應用程序安全工具。 您是否可能找到其他安全研究人員沒有找到的東西？ 也許不是，但通過任何工具運行這些東西仍然是一個好主意。 並且有很多開源免費工具，甚至是成本非常低或免費許可的商業工具，可以讓您更好地保證您在環境中使用的任何代碼。

Joe 提到的一件事我也會和你談談，WP Engine 既是代碼的消費者也是生產者，所以我們也是服務提供者並且非常關心我們的完整性端到端的開發工作。 這是一個持續的挑戰。

因此，對於我們運行 WordPress 網站的開發人員來說，其中一件事就是他們應該意識到他們組織的風險背景。 例如，它們處於什麼垂直方向？ 組織對壞事發生的容忍度有多大？ 某些部門或組織更容易受到 DDoS 攻擊等攻擊。

因此，考慮到這一點並可能為這些事情編寫代碼，你不能為 DDoS 編寫代碼，但你當然可以意識到它並將其浮出水面。 我認為這對於開發人員做正確的事非常重要。

埃里克·瓊斯：換個角度，為了提供一些非常具體的建議，喬，從高級別的安全角度來看，您會建議網站所有者採取什麼措施來幫助加強他們的安全性？

JOE SULLIVAN：是的，所以我認為，一盎司的預防值得一磅的治療。 而且，在安全上下文中，這意味著在開始之前選擇要使用的正確工具和平台，而不是嘗試構建一些東西，現在讓我們弄清楚如何在其之上引導安全性。

因此，當您選擇平台、選擇工具、選擇代碼時，您希望從一開始就考慮到安全性。 因此，就像我說的那樣，如果您可以通過您選擇的工具自動實現安全性，那麼與您必須僱用人員介入並執行一堆審計，然後在船在海洋中航行時嘗試修復所有問題。

你不能那樣修補它。 因此，對我來說，我一直在尋找，從安全的角度來看，我能開箱即用嗎？ 有哪些適合我的設置？ 如果我了解安全的基礎知識，我認為實際上只有幾個方面。

對我來說，第一位始終是身份和訪問管理。 所以這就是為什麼我從一開始就談到集成單點登錄的能力。 如果我要創辦一家公司，我會選擇的第一件事就是正確的單點登錄設置，以適應我的組織。 而且我總是會嘗試選擇可以與之集成的產品。

我會考慮的第二件事是，好吧，我要有一堆面向互聯網的代碼。 如何抵禦來自互聯網的攻擊？ 我是否必須按照我的 - 布倫特提到的拒絕服務攻擊。

我是否必須親自弄清楚如何擁有負載均衡器並管理所有這些併購買像 Cloudflare 這樣的產品？ 或者它是否內置了我正在購買的平台，這樣我就不必考慮安全性。 我知道它已經內置了，等等。 所以我會有條不紊地檢查我的員工和身份和訪問管理，面向互聯網的代碼。

然後就像第三個支柱可能是——我們在這裡並沒有真正談論——是，我如何設置筆記本電腦和類似的東西？

ERIC JONES：而且，布倫特，也許要問你，WordPress 開發人員應該考慮哪些具體的事情來構建他們可以構建的最安全的網站？

布倫特·斯塔克豪斯：是的，我最初的反應是這很有趣。 我們談論的很多內容都是關於何時構建還是購買的決定。 您打算構建自己的插件和所有您想做的事情來擴展您的 WordPress 生態系統嗎？ 或者即使它是免費的，你也打算購買嗎？

但這也適用於，我認為，喬和我，在我們通過 GitHub 或任何機制使用其他人的代碼的意義上，我們可以想像僱傭開發人員並從頭開始做所有這些。 或者我們可以使用別人已經做過的東西。

為什麼在不需要時重新創建輪子？ 但是，您如何保證所使用的代碼狀態良好呢？ 所以具體回到 WordPress，我認為有兩點——這可能是開發人員的常識，但我們還是要說。 當您編碼時，安全地編碼，這意味著知道您要做什麼。 試著根據你的功能，所有這些事情來限制你想做的事情。

但請記住 OWASP Top 10。 OWASP Top 10 可能為我們的觀眾所熟知。 但是，同樣，正如 Joe 之前提到的那樣，基礎知識很重要，因此開發人員的基礎知識當然包括 OWASP Top 10。

然後使用我提到的其中一種靜態應用程序安全工具，它非常適合預部署或在部署時使用。 可以這麼說，你可以自動地做到這一點。 並確保您發送到那裡的代碼實際上狀態良好，並且如果您正在開發自定義代碼，則您自己的代碼沒有已知的明顯漏洞。

第三件事與我們談到的供應鏈問題有關。 而 GitHub 有一些免費的功能，實際上可以告訴你你的上游依賴項何時存在已知漏洞。 所以 Dependabot，一個依賴機器人，是 GitHub 提供的一個很棒的東西，你絕對應該在你的 repos 上啟用它。 它實際上可以自動創建 PR。 然後，如果您認為需要，您可以選擇合併它，這樣您的上游依賴項至少沒有任何已知漏洞。

據推測，即使您發布代碼，所有代碼都存在錯誤，其中一部分可能是安全錯誤，但至少我們需要避免 Joe 之前提到的明顯挑戰。 我們不想上報紙，因為我們錯過了顯而易見的事情。 就像，嘿，你應該修補東西。 所以，是的，可以這麼說，我認為開發人員可以牢記這三件事，讓自己遠離火海。

ERIC JONES：我想你們兩個的問題是，你們看到哪些東西從長矛上下來但現在還沒有引起人們的注意？ 人們、開發人員、網站所有者應該考慮哪些他們現在沒有考慮的事情？ 這對你們中的任何一個都是開放的問題。

布倫特·斯塔克豪斯：嗯，是的，我想加入進來，因為喬早些時候回答了 Okta 問題。 所以那個特定的群體——這很有趣。 所以我們已經看到了。 所以我什至不能說這幾乎是順勢而為。

但是炸毀 Okta 的組織以及我們不必在此播客或本次採訪中提及的其他知名人士，他們主要使用非常非常有趣的社會工程技術，而不是完全技術性的攻擊。

因此，也許開發人員不容易受到這種攻擊。 這取決於組織和開發人員適合的位置。但是可以肯定的是，對於給定的組織，任何充當 IT 人員或有權訪問資產的人都可能成為社會工程攻擊的目標。

所以這是我們不想談論的事情，因為我們不能僅僅從技術上解決它。 但老實說，人類仍然是軟肋。 通過我們所說的前門，意味著外部攻擊，這在技術上通常更難，攻擊者需要做更多的工作。 有時，或經常，他們會經歷社會工程攻擊。 通過任何媒介，網絡釣魚仍然非常非常有效。

所以我認為這被證明仍然是一個挑戰。 並且組織可能沒有像他們應該的那樣將時間集中在這上面。

JOE SULLIVAN：是的，我認為布倫特用稍微不同的聲音表達的另一種方式是我實際上不希望開發人員花費大量時間在水晶球上，試圖預測下一個安全問題。 掌握正確的基礎知識更為重要。

這些基礎知識將解決下一件大事的大部分問題，無論它是什麼。 舉例來說，我提到勒索軟件的出現發生了根本性的轉變。 它以網絡犯罪從未有過的方式使公司陷入停頓。

但這不像您出去購買產品來阻止勒索軟件。 你回去做你應該做的完全相同的事情來應對之前的威脅。 什麼是勒索軟件？ 它是放置在您環境中的惡意軟件。

好吧，只要有入侵者進入您的環境，那就很糟糕了。 所以我們有權利——如果我們只關注外圍，不讓我們的員工受到損害或我們的代碼受到損害，那麼我們就不必處理勒索軟件。

因此，與其坐下來擔心下一個勒索軟件是什麼，不如繼續關注基礎知識。 讓安全領域的我們其他人去推測未來吧。

埃里克·瓊斯：喬和布倫特，非常感謝你們今天的觀點、時間和建議。 從獲得正確的基本面、透明度的重要性、從保險的角度尋找什麼，需要考慮很多。

然後也許最重要的事情是安全永遠不應該是事後的想法。 您必須從一開始就將其內置。 我鼓勵大家，如果您有興趣了解有關 WP Engine 或 Cloudflare 安全產品的更多信息，請訪問我們的網站。 當然，在 WP Engine，如果您對特定的 WordPress 觀點感興趣，我們的資源中心確實為每個人提供了豐富的安全信息。 因此，再次感謝所有今天收看的人，感謝你們抽出寶貴的時間和今天加入我們。