V januári používatelia obľúbeného doplnku WPML WordPress dostal relevantný e-mail. Varovalo, že doplnok obsahuje vážne bezpečnostné chyby. E-mail prišiel zo skutočnej adresy WPML a zákazníci nemali dôvod si myslieť, že nie je legitímny. WPML sa používa na desiatkach tisícov stránok WordPress a kritická neopravená zraniteľnosť mohla byť bezpečnostnou nočnou morou.
Ibaže neexistovala žiadna zraniteľnosť a e-mail bol odoslaný nespokojným bývalým zamestnancom, ktorý získal prístup k infraštruktúre WPML. Útočník na získanie prístupu použil staré heslo SSH.
Útoky zasvätených nie sú také zriedkavé, ako by ste si mohli myslieť. V nedávnom prieskume 53 % respondentov uviedlo, že ich organizácia áno utrpel útok zasvätených osôb v minulom roku. Zasvätené osoby sú zapojené do takmer tretiny všetkých porušení počítačovej kriminality. Prieskum PwC ukázal, že zamestnanci, poskytovatelia služieb a dodávatelia sú zodpovedný za obrovské množstvo narušenia bezpečnosti. Tretina vedúcich pracovníkov uviedla, že online zločiny spáchané dôveryhodnými insidermi spôsobili ich organizácii finančné straty a straty reputácie.
Proti hrozbám zasvätených osôb je náročné brániť sa. Aby zamestnanci mohli vykonávať svoju prácu, vyžaduje sa určitá úroveň dôvery. Ak sa rozhodnú túto dôveru zneužiť, majiteľ firmy s tým môže urobiť len málo, kým nedôjde k poškodeniu. Existujú však kroky, ktoré môžu majitelia firiem, ktorí si uvedomujú bezpečnosť, podniknúť, aby obmedzili riziko vnútorných hrozieb pre ich podnikanie s WordPress.
Dajte každému zamestnancovi vlastný účet
Každý zamestnanec a vývojár na voľnej nohe, dizajnér alebo obchodník by mal dostať svoj vlastný používateľský účet, ak ho vôbec potrebuje. Pre každú aplikáciu alebo server, ku ktorému potrebujú prístup, by mal byť vytvorený jedinečný účet len pre nich. Nemali by existovať žiadne zdieľané účty.
Často je pohodlnejšie používať zdieľané účty, čo sa možno stalo v prípade WPML. Nemali by existovať žiadne „staré účty SSH“, ktoré by mohol používať ktokoľvek, kto náhodou pozná heslo. Zvážte, koľko ďalších bývalých zamestnancov a dodávateľov mohlo mať prístup k rovnakému účtu.
Obmedzte prístup pomocou úloh a schopností WordPress
WordPress prichádza s a rozsah užívateľských rolí, z ktorých každá má priradené funkcie. Používateľ s rolou správcu má plnú kontrolu nad všetkými funkciami správcu na lokalite. Editor môže publikovať a spravovať svoje vlastné príspevky a príspevky iných používateľov. Autor môže publikovať a spravovať iba svoje vlastné príspevky.
Keďže každému poskytnete jeho vlastný účet, môžete obmedziť jeho privilégiá na tých, ktorých potrebujú na vykonávanie svojej práce.
Odstráňte účty hneď, ako zamestnanec odíde
Hlavnou výhodou poskytnutia vlastného účtu každému je to, že ho možno okamžite odstrániť, ak odíde. Akonáhle sú účty odchádzajúceho zamestnanca vymazané, už nemajú prístup k páchaniu neplechu. Keď si najmete spisovateľa a poskytnete mu prístup k publikovaniu obsahu na vašom webe WordPress, je zlý nápad nechať mu prístup navždy.
Zaznamenajte si, ku ktorým účtom má zamestnanec prístup, a čo najskôr ich vymažte.
Vzdelávať zamestnancov
Poskytnúť každému účet s obmedzenými oprávneniami je zmysluplné zabezpečenie, ale nepomôže, ak zamestnanci zdieľajú svoje heslá. Existuje veľa dôvodov na zdieľanie hesiel a často je vhodné dať spolupracovníkovi heslo, aby mal prístup k funkciám a údajom, ku ktorým by sa bežne nedostal. Zdieľanie hesiel však podkopáva bezpečnosť. Zamestnanci a dodávatelia by si mali byť vedomí rizika a mali by byť odrádzaní od zdieľania overovacích poverení.
Bezpečnostné opatrenia, ktorými sme sa zaoberali, sú všeobecne uznávané ako správne, no málokedy sa implementujú. prečo? Pretože je to nepohodlné, vytvára to prácu navyše a stojí to peniaze. Prijatie bezpečnostných opatrení však nie je také nepohodlné ako finančná a reputačná katastrofa v dôsledku narušenia bezpečnosti spôsobeného zasvätenou osobou.