En fait, crsquoest le fil conducteur de tout ce que nous construisons, que ce soit de notre entreprise ou de notre intérieur, ou des produits que nous offrons à nos clients et à nos clients en général.
Ainsi, de la suppression des principales mises à jour WordPress sur la plaque signalétique du client afin qu’ils n’aient pas à le faire, afin que nous puissions nous assurer qu’ils utilisent la dernière version de WordPress, à la fin du rapport SOC 2 de catégorie II, Nous savons que nous répondons aux exigences de sécurité les plus élevées pour toutes nos activités et pour tous nos clients à lrsquoextérieur de la porte. Donc, dans cet esprit, et dans l’ensemble de la sécurité, du point de vue du produit, Casey, ce que considérez comme un pari de table, est prêt à être utilisé pour tout ce qui est hébergé précédemment, en particulier WordPress.
Kathy REM: Sarah, pour toute offre gérée, nous prendrons certainement quelques Paris en considération. Honnêtement, nous ne voulons pas que nos clients y réfléchissent. Souvent, comme l’avez dit, des choses comme les mises à jour WordPress en sont un bon exemple. Les nouvelles versions du système drsquoexploitation ou PHP qui doivent être mises à jour et réparées entrent dans cette catégorie. En fait, nous avons récemment rejoint la liste de notre côté. Nous en discuterons plus loin. Cependant, si suivez le chemin du bricolage, ces choses ne sont pas nécessairement essentielles à votre entreprise, mais devez absolument garder à lrsquoesprit le temps et lrsquoargent, car elles sont essentielles pour assurer la sécurité et le rendement de votre site Web.
Sarah Wells: Super. Donc, sachant qursquoil y a différents niveaux et différents types de sites Web, il peut y avoir des choses hors de la boîte que nous faisons désespérément. Tout le monde devrait avoir une solution.
Ou, srsquoils ne le font pas à lrsquointerne, par le fournisseur. Mais si préférez, qursquoest ce qui rend les clients, les sites Web ou les entreprises plus prudents en matière de sécurité? Casey REM: Oui. Bien entendu, dans certains cas, il est logique drsquoavoir un niveau de sécurité élevé. Tout drsquoabord, si votre site Web contient du contenu sensible ou controversé, risquez davantage drsquoêtre ciblé en raison de ce que avez fait.
La deuxième chose sur laquelle nous nous concentrons vraiment dans WP Engine est ce que jrsquoappelle un site Web basé sur des événements. Vos activités sont particulièrement sensibles au calendrier. Donc, si organisez un grand événement sportif. Les attaques qui se sont produites au cours de cet événement sont évidentes, mais elles peuvent également nuire à votre entreprise. Ou vendez des feux drsquoartifice ou des costumes drsquoHalloween. Par conséquent, à certains moments de lrsquoannée, votre risque de revenu augmente de façon exponentielle. Vous pouvez faire un pas en arrière avec le même type de lentille. Il est très facile drsquoappliquer cette logique drsquoune manière générale sur tous les sites de commerce électronique.
Par conséquent, si avez un site ECOM, vos revenus dépendent généralement de la sécurité du site. Comme si fermiez un magasin physique la nuit, il pourrait être logique de bloquer votre site dans une certaine mesure. Crsquoest logique. Crsquoest aussi Quand on pense Je veux dire, jrsquoaime lrsquoanalogie de fermer votre magasin la nuit. Réfléchissons à la sécurité. Pensons aux choses et aux gens qui srsquoimmiscent. Lrsquoune des choses que jrsquoentends de plus en plus au cours du cycle normal des nouvelles est lrsquoaugmentation des attaques DDOS et des attaques DDOS, même pour les nouvelles techniques de type créneau. Crsquoest ce dont nous parlons ici aujourdrsquohui.
Vous pouvez peut être faire une sauvegarde et expliquer lrsquoattaque DDOS. Mais il pensera aussi
Et lrsquoampleur des attaques, mais leur fréquence augmente en conséquence. Dans lrsquoensemble, je pense que cela peut être attribué au fait que, tout comme lrsquoinformatique en nuage a débloqué la capacité de rendre les gens plus faciles à construire des sites Web et à gérer des affaires sur le Web, Mais même les mêmes progrès technologiques facilitent la collecte et la génération de trafic à une certaine échelle distribuée pour submerger le serveur. Malheureusement, lrsquoépidémie srsquoest également déclarée lrsquoannée dernière, de nombreuses entreprises ayant adopté plus de commerce électronique qursquoauparavant et nrsquoayant connu une accélération que lrsquoannée dernière. Je pense que crsquoest une partie de la raison pour laquelle nous assistons maintenant à cette augmentation. Crsquoest logique. Sur le premier point, étant donné que le commerce électronique est une tâche essentielle ou que tous vos revenus sont là, il est encore plus important de comprendre ce que sont ces attaques. Alors, Michael, pouvez expliquer, par exemple, quels types drsquoattaques DDOS les gens devraient ils considérer et se protéger pour continuer à faire des affaires en ligne avec succès? Michael Smith: lorsque nous examinons les attaques DDOS et la façon de nous protéger, nous pensons à trois types drsquoattaques différentes, chacune nécessitant un mécanisme de protection différent. Par conséquent, la première catégorie est la première catégorie est une annexe volumétrique. Par conséquent, ces types drsquoattaques profitent en fait de la quantité de trafic habituellement générée pour submerger le réseau qui héberge le site. Par exemple, le type drsquoattaque volumétrique le plus courant peut être une attaque DNS amplification, un moyen par lequel un attaquant peut utiliser une bande passante relativement petite pour générer une large bande passante ciblant une attaque et une victime spécifiques. Pour se protéger.
Serveur, et force le serveur à répondre à cette action en faisant ce qursquoil fait habituellement, crsquoest à dire en rendant la page et en lrsquoenvoyant au client. Pour les sites WordPress, cela peut inclure l’exécution du Code PHP, l’extraction des données de la base de données et leur regroupement en pages HTML pour les envoyer aux clients, etc. Tout cela exige un effort. le faites: avez suffisamment de clients pour faire le travail en même temps, il peut submerger la capacité du serveur à traiter la demande. Par conséquent, il est également difficile de se prémunir contre cela, mais lrsquoapproche typique est très commun un bon point de départ est de srsquoassurer que vos serveurs et votre réseau sont optimisés, rapides et compétents plus répondez rapidement à ces exigences, plus la charge nécessaire pour gérer ces attaques est faible. De plus, pouvez effectuer des opérations telles que lrsquoactivation drsquoun cache plus agressif, ce qui est généralement une bonne pratique, même pour la performance globale. Mais la mise en cache permet de réduire la concurrence que le serveur doit faire. Une autre chose que pouvez faire est drsquoactiver les règles de pare feu des applications Web pour les bloquer en fonction des caractéristiques de certains types de demandes. Par conséquent, si êtes capable drsquoidentifier les capacités uniques drsquoun attaquant et de les distinguer des utilisateurs légitimes, pouvez écrire des règles pour arrêter les méchants et laisser entrer les gentils. Enfin, un autre mécanisme est que si ces outils ne fonctionnent pas, pouvez introduire une sorte de page de défi, ou le Code de vérification est un contenu commun que pouvez voir sur le Web, où les utilisateurs sont essentiellement tenus de prouver qursquoils sont humains. Une fois qursquoils ont passé le Code de vérification, cela leur permet drsquoaccéder à un site qui nrsquoest pas accessible aux robots et autres autocrawlers. Cela les arrêtera plus efficacement. Bien sûr. Les codes de vérification qui trouvent la lumière sont toujours div
Quand ils répondent aux questions. Identifiez le bus scolaire. Crsquoest vrai. Mais avez mentionné ici quelque chose de très intéressant. Il y a ces robots, il y a de mauvais acteurs, mais il y a aussi de bons acteurs. nous nous souvenons de ce que Casey a dit plus tôt, nous lrsquoavons fait: Nous avons vu que les clients du moteur WP avaient des choses basées sur les événements. Dans lrsquoensemble, ils vont voir ce gros clou. Ensuite, nous savons qursquoil y a de bons robots qui peuvent être utilisés pour la recherche, lrsquooptimisation sociale ou quelque chose comme ça. Je ne peux qursquoimaginer que cela rend plus difficile pour les gens de comprendre quand une attaque DDOS se produira et donc de mieux la protéger. Michael Smith: Oui. le trafic sur votre site augmente, il peut srsquoagir drsquoune attaque ou drsquoun bon événement déclenché par de nombreuses personnes qui visitent votre site en même temps. Tout drsquoabord, devez reconnaître si crsquoest nocif. Cela aide à décider si voulez prendre des mesures pour bloquer réellement Certains visiteurs du site. De plus, ce sont de bons robots contre les robots. Tous les autocrawlers sur le site ne sont pas malveillants. En fait, tous vos moteurs de recherche scannent constamment les sites Web et les indexent. Vous ne voulez pas empêcher ces reptiles de finir leur travail. Par conséquent, il devient très complexe et devez faire attention à la façon dont le faites afin drsquoéviter des effets négatifs sur lrsquoutilisation légitime du site. Sarah Wells: si quelqu’un dans cette salle pense, eh bien, je dois être sûr que c’est en fait un acteur malveillant, ou c’est le DDOS dont nous venons de parler. Ce qursquoils devraient faire lorsqursquoils sont « attaqués » dans les guillemets. À quoi ressemble ce schéma drsquoattaque? Qursquoest ce qursquoils sont censés faire? Michael Smith: Je veux dire, si le faites même, en gérant votre serveur ou site Web, la première chose à voir est, je suis le système drsquoexploitation
Attaque sur un serveur ou un réseau capable de gérer une attaque massive. De plus, pouvez faire drsquoautres choses à partir de niveaux inférieurs drsquooptimisation du système drsquoexploitation. Par exemple, pour cette attaque syn flood, il existe un mécanisme appelé syn PCP Cookie que pouvez activer, qui assure essentiellement que le client nrsquoen a pas besoin, ou que le client peut Désolé, le serveur nrsquoa pas besoin de suivre lrsquoétat de chaque client. Cela permet de décharger une partie de la charge du serveur, ce qui la rend plus résistante aux inondations syn. Cela se fait au détriment drsquoun peu plus de charge CPU sur le serveur. Mais si êtes particulièrement attaqué, cela pourrait être un bon compromis. Par conséquent, certaines règles de pare feu doivent être activées en plus de cela. Où, si le trafic malveillant peut être identifié en fonction drsquoun modèle particulier, il peut être bloqué avant qursquoil nrsquoatteigne un niveau plus profond dans la pile drsquoapplication. Par conséquent, cela peut entraîner le blocage du contenu de la pile réseau de la machine immédiatement avant que la machine nrsquoatteigne le niveau de lrsquoapplication, ou pouvez le bloquer plus près des visiteurs. Cela conduit donc à la quatrième et la plus efficace méthode possible, à savoir lrsquoutilisation de services spécialisés pour protéger les sites Web contre de tels événements. Il existe de nombreuses solutions commerciales à votre disposition. Dans l’espace WordPress, il y a beaucoup de fournisseurs que les gens utilisent. Cloudflare est lrsquoun des produits que nous utilisons souvent et que nous connaissons bien ici. Mais au delà de cela, il y a beaucoup de grandes entreprises: fastly, Security, imperva, Akamai. Pour tout cela, il existe une gamme de différents types de fournisseurs. Ils ont tous des spécialités différentes. Certains sont plus axés sur la sécurité et drsquoautres sur le rendement. Certains sont plus
Partenariat avec cloudflare. Le premier est le Réseau avancé. Les réseaux avancés sont en fait relativement nouveaux. Lrsquoidée est qursquoil est vraiment temps de changer les niveaux de référence en matière de sécurité et de rendement. Donc, pour revenir aux drames de bureau dont nous venons de parler, ça a vraiment augmenté ce niveau. Grâce à un réseau avancé, nos clients ont accès au réseau CDN cloudflare ainsi qursquoau niveau initial de protection DDOS. En fait, il y a quelques optimisations drsquoimage. Crsquoest gratuit pour nos clients de moteurs WP. Parce que de notre point de vue, crsquoest vraiment une nouvelle table de jeu lorsque nous parlons des besoins commerciaux de nos clients. Sarah Wells: c’est logique, surtout parce que nous avons vu les tendances DDOS devenir de plus en plus fréquentes. Comme Michael lrsquoa déjà dit, il est logique de faire de cette cuisine une partie de celle ci pour srsquoassurer que le front est défensif. Je lrsquoai également vu, bien qursquoil y ait des niveaux plus élevés, peut être pour une plus grande attention à la sécurité. Oui, bien sûr. Ainsi, comme nous lrsquoavons dit, certains clients sont plus à risque pour diverses raisons. Pour ces clients, nous offrons des produits de sécurité drsquoentreprise sous la forme drsquoune sécurité mondiale edge. Global Edge Security travaille également avec cloudflare pour tirer parti des capacités supplémentaires de protection DDOS pour accéder au pare feu de lrsquoapplication Web cloudflare dont nous avons discuté précédemment. En outre, il dispose drsquoune capacité supplémentaire drsquoacheminement intelligent du trafic, qui est équivalente à la capacité drsquoacheminer le trafic Internet autour des embouteillages qui se produisent dans les réseaux mondiaux. Crsquoest drôle. Personne nrsquoaime les embouteillages, surtout quand on essaie drsquoarriver sur les lieux. Avez des anecdotes ou des produits intéressants?
, comme les victories, un cas drsquoutilisation de lrsquoune de ces solutions est fourni par un client qui subit une attaque DDOS. Et comment ils protègent ou résolvent les problèmes qui en découlent. Oui, bien sûr. Mais crsquoest lrsquoastuce. Il nrsquoy a pas de bonne histoire de sécurité qui commence par
Les fournisseurs que jrsquoai mentionnés, en plus de ceux que nous offrons. Cela donnera plus de contrôle pour manipuler les choses directement. Peut être avez une meilleure idée de ce qui devrait être bloqué, de ce qui ne devrait pas lrsquoêtre, et pourquoi ce qui se passe dans votre entreprise en ce moment. Ou souhaitez profiter des outils ou des fonctionnalités disponibles sur drsquoautres plateformes qui ne sont pas actuellement disponibles dans le cadre de notre offre hébergée. Crsquoest donc ce qursquoils devraient penser et ce que pourriez vouloir faire. Notre objectif est drsquoassurer la compatibilité de nos solutions. Jrsquoaime ça. Pensez à la façon dont décidez de ce que sont ces outils du point de vue du produit, Kathy. Hey, non, il devrait rester dans la boîte à outils accessible aux clients et il peut voir ces tables à haut risque ou drsquoautres outils dans lrsquoarsenal par rapport à la boîte à outils que nous offrons ou toute autre solution gérée qursquoil offre. Casey raim: donc, en général, quand il s’agit de compromis pour améliorer la sécurité. Lrsquoamélioration de la sécurité exige souvent plus de temps, soit de lrsquoargent, soit parfois simplement un inconvénient. Bon nombre de nos conversations internes sur ce sujet portent sur la question de savoir si lrsquoidée drsquoune chose convient à tous nos clients ou si elle est de nouveau utilisée comme outil pour retourner à la boîte à outils, ce qui est vraiment significatif pour les clients dans une situation particulière ou les clients à haut risque. Ainsi, chaque fois que nous parlons drsquoaugmenter les Paris à la table, nous voulons être très clairs et nous continuerons à être inspirés par nos clients sans rendre la création et le fonctionnement du site plus difficile. Un bon exemple en est le pare feu drsquoapplication Web dont nous avons discuté. Crsquoest un outil très puissant. Mais pour nos clients
nrsquoen avez vraiment pas besoin, il suffit drsquoajouter un niveau de surcharge supplémentaire à la gestion du site. Par conséquent, nous nrsquoavons pratiquement ajouté cette fonctionnalité qursquoà nos produits de sécurité drsquoentreprise, et nous pensons que ces clients peuvent vraiment en tirer le meilleur parti. Super intuition. On est presque arrivés. Jrsquoai donc une dernière question. Ainsi, pour tous ceux qui assistent à la téléconférence d’aujourd’hui, qu’ils soient ou non des clients de WP Engine, supposons qu’ils soient sur WordPress, nous pouvons faire cette hypothèse générale. Et srsquoils pouvaient quitter la réunion et faire quelque chose pour srsquoassurer que leur site Web est sécurisé aujourdrsquohui? Michael, je commence par toi. Michael Smith: Je pense que si pensez à la sécurité du site, une des choses que devriez faire est de assurer que avez un plan au cas où quelque chose de mal arriverait. Cela ne signifie pas nécessairement que devez le faire: Jrsquoai parlé des nombreux niveaux de protection que pouvez ajouter à votre site, mais cela ne signifie pas nécessairement que devez les ajouter dès le premier jour et les garder en marche. Mais devez savoir quels sont vos choix, ce que je ferais si jrsquoétais vraiment attaqué, et je dois décider et comprendre ces choses maintenant. Il vaut mieux y réfléchir à lrsquoavance. Bien sûr. Avec vos plans, vos plans drsquoévasion, vos sacs à dos, serez prêts quand la fin du monde arrivera. Casey, la même question. Que voulez que tout le monde Parte aujourdrsquohui? Donc, en fait Je pense que je vais revenir au début de cette conversation et dire que je pense que mettre à jour et réparer vos composants de site est la première étape pour moi. Ce nrsquoest généralement pas la capacité de base de lrsquoentreprise, de sorte qursquoelle peut être oubliée. Mais si nous adoptons une approche apocalyptique,
Crsquoest un peu comme mettre une serrure sur la porte drsquoentrée qui dit:
2021 Sommet sur les percées technologiques: pourquoi la protection DDOS est elle essentielle pour votre entreprise?
