GDPR: asigurați securitatea site-ului web

0
255
GDPR - asigurați securitatea site-ului web

În conformitate cu noile reglementări generale privind protecția datelor (GDPR), noile date arată că 86,5% din site-urile WordPress din România sunt vulnerabile la exploatările cunoscute ale hackerilor.

Cu GDPR, întreprinderile din Europa se pregătesc pentru ceea ce va fi unul dintre cele mai mari schimbări în legile privind confidențialitatea datelor din Legea CAN-SPAM din 2003.

Întreprinderile se vor confrunta cu amenzi de până la 20 de milioane de euro dacă nu respectă legislația și procesele noi, care pun în final utilizatorii în control despre cine, cum și unde sunt stocate datele lor personale.

O parte cheie a GDPR este responsabilitatea afacerii de a securiza datele și site-urile clienților pentru a preveni încălcarea datelor, phishing-ul și alte forme de activitate online dăunătoare.

Estimările arată că WordPress este utilizat de 25–40% din internet, în funcție de sursa pe care o citiți și, având în vedere popularitatea și utilizarea largă, este o țintă principală pentru hackeri.

Un studiu de cercetare recent este realizat de platforma de monitorizare a cibersecurității CyberScanner –  aceștia au scanat 93.930 de site-uri WordPress și 9834 de site-uri WooCommerce cu sediul în Marea Britanie și au descoperit că, în medie, 80,7% conțineau cel puțin o exploatare cunoscută, hackibilă, care poate fi considerată un risc sever de securitate.

Unele dintre cele mai frecvente vulnerabilități cunoscute scanate pentru scripturi încrucișate (XSS), injecție SQL, falsificare a cererilor de site-uri (CSRF) și probleme de certificare SSL.

Cel mai grav site de WordPress ofensat a avut în total 23 de vulnerabilități cunoscute de risc ridicat, printre alte exploatări clasificate cu risc mediu și mic.

Securizarea site-ului WordPress

Există mai mult de 100.000 de vulnerabilități cunoscute care pot fi exploatate de hackeri pentru a extrage datele clienților, a software-ului de instalare a cripto-instalațiilor sau chiar a configura câmpuri de forme ascunse pentru a fura informațiile despre cardurile de credit pe care utilizatorii le-au salvat în browserele lor.

Nu există nicio soluție curată pentru securizarea site-ului WordPress, dar există pași pe care toți webmasterii WordPress îi pot face pentru a asigura zonele utilizate în mod obișnuit ale platformei.

Atacuri de forță brută

Atacurile de forță brută sunt o metodă folosită de hackeri pentru a obține informații de conectare pe site-uri web, cum ar fi numele de utilizator, parolele și codurile PIN. De obicei realizat cu ajutorul unui software automat, un atac de forță brută generează un volum mare de ghiciri consecutive atât pentru câmpul de conectare, cât și pentru parola.

Deși o parolă puternică este întotdeauna încurajată, este posibil să nu fie suficient pentru a preveni un atac de forță brută. Cu toate acestea, puteți face unele lucruri pentru a vă reduce riscul.

Personalizați adresele URL ale paginii de conectare

În general, adresa URL a paginii de conectare pentru un site web WordPress este /wp-login.php sau / wp-admin /, iar un software automat poate ghici acest lucru. Redenumirea adresei URL la mai unic, este posibil ca software-ul automatizat să nu poată găsi prima pagină pentru a începe atacul.

Limitați încercările de conectare

O caracteristică comună a site-urilor WordPress (și a tuturor site-urilor web) este limitarea încercărilor de autentificare.

Există o serie de pluginuri gratuite (cum ar fi WP Limit tentative de conectare) care permit implementarea ușoară pentru webmasteri și pot merge într-un fel pentru a vă proteja site-ul.

Activați autentificarea în doi pași

Acest lucru devine mai comun în toate aplicațiile web care necesită o parolă și poate fi implementat cu o ușurință relativă pe un site Web WordPress (și printr-un plugin precum Google Authenticator – Autentificare cu doi factori).

Aceasta necesită utilizatorului să instaleze o aplicație pe telefonul său, iar atunci când va merge la autentificare pe site-ul web, va trebui să meargă la aplicație pentru a obține un cod generat la întâmplare pentru a fi introdus pentru a finaliza procesul de autentificare.

Utilizați SSL pentru a cripta date în tranzit

În timp ce SSL și TLS nu securizează în totalitate un site web, acestea securizează datele utilizatorului în timp ce se deplasează între browserul utilizatorului și serverul site-ului.

Din nou, acest lucru poate fi instalat cu o ușurință relativă prin integrarea WordPress a Cloudflare și prin oferta sa SSL.

De asemenea, Google consideră HTTPS ca un pas de securitate de bază pe care trebuie să îl facă site-urile web pentru a proteja utilizatorii, iar în browser-ul Chrome 70, site-urile care nu sunt pe HTTPS vor fi marcate ca fiind sigure de standard.

Securizarea bazei de date

Oricât de sigur este un site web, păstrarea și menținerea copilor de rezervă regulate a bazelor de date este o bună practică esențială care ar trebui să facă parte din procesele oricărui webmaster.

Există o serie de soluții gratuite și premium, variind de la VaultPress, BlogVault și Backup Buddy, toate fiind opțiuni viabile, iar soluția aleasă ar trebui să fie adecvată nevoilor afacerii.

Curățenie periodică și actualizări

Temele și pluginurile sunt coloana vertebrală a oricărui site web WordPress, dar pot deveni cu ușurință amenințări de securitate dacă nu sunt actualizate și întreținute în mod regulat.

Neactualizarea temelor și a pluginurilor poate însemna probleme grave. Mulți hackeri se bazează pe simplul fapt că oamenii nu pot fi deranjați să își actualizeze pluginurile și temele. Mai des, acei hackeri exploatează bug-uri care au fost deja rezolvate.

Neactualizarea temei și a pluginurilor poate duce la exploatări ușoare în spate și exploatări, deoarece mulți hackeri se bazează pe faptul că se uită la webmasteri care sunt laxe și nu își actualizează activele.

De asemenea, este recomandat să eliminați numărul de versiune WordPress, deoarece acesta este vizibil public în codul sursă. Unele versiuni istorice WordPress au dezvoltat un număr mai mare de vulnerabilități decât altele, astfel încât aceasta ar putea fi o reclamă pentru hackeri să încerce o serie de provocări de securitate deja cunoscute. Sururi oferă un plugin gratuit pentru a elimina numărul de versiune de pe site-ul dvs.