Sécurité du site: ces deux termes sont essentiels pour tous les propriétaires de site. La sécurité est une grande entreprise en ligne, principalement parce qursquoelle est si importante que lrsquoignorer peut avoir des conséquences désastreuses pour votre site et sa base drsquoutilisateurs. Toutefois, certaines questions de sécurité sont plus pertinentes que drsquoautres, et il est plus important de comprendre lrsquoaccent mis sur une activité qui nrsquoa pas de point de départ clair. Heureusement, lrsquoexistence du projet de sécurité des applications Web ouvertes (owasp) a contribué à améliorer la sécurité des logiciels. Plus récemment, lrsquoOrganisation a publié une liste précieuse des dix principales vulnérabilités en matière de sécurité de lrsquoannée dernière (2017). Cela donne un avantage précieux pour assurer la sécurité et la fiabilité du site Web et des données qursquoil recueille.
Dans nous examinons les dix principaux risques pour la sécurité et décrivons ce que pouvez faire pour minimiser (ou éliminer) leurs effets. Cependant, commençons par un aperçu rapide de lrsquoowasp et de son rôle dans la sécurité en ligne! À propos de owasp Le Open Web Application Security Project (owasp) est un organisme à but non lucratif à source ouverte qui travaille à améliorer la sécurité des logiciels que nous utilisons quotidiennement. Il est actif depuis 2001 et son personnel est largement considéré comme un expert dans ce domaine. Lrsquoowasp crée les dix premières vulnérabilités en matière de sécurité chaque année, mais ce nrsquoest pas tout. Il gère de nombreux autres programmes liés à la sécurité. Par exemple, il offre:
Lignes directrices pour la mise en œuvre de la sécurité WordPress. Il s’agit d’un guide complet et constamment mis à jour pour assurer que votre installation WordPress est étanche et sécurisée. Crsquoest un tutoriel utile pour prévenir les intrusions malveillantes. Scanner de vulnérabilité WordPress. Cet outil détecte toute faiblesse dans lrsquoinstallation W
Ordpress, permet de résoudre ces problèmes et de protéger votre site contre les attaques. Vous pouvez consulter la liste complète des projets du paeo sur le site Web de votre organisation. Toutefois, dans le présent document, nous nous concentrerons sur les dix principaux risques annuels pour la sécurité.
Classification des dix principaux risques pour la sécurité des applications owasp en 2017 2018 il est essentiel drsquointégrer le contenu de ces dix principaux risques pour la sécurité afin drsquoassurer la sécurité de votre site Web. Ne pas prêter attention à chaque risque peut entraîner une intrusion, une fuite de données ou pire. Nous dresserons une liste des menaces les plus graves et les moins importantes (bien que toutes les menaces méritent notre attention). Voyons voir! Défaut drsquoinjection un défaut drsquoinjection survient lorsque des données non fiables sont envoyées dans le cadre drsquoune commande ou drsquoune requête. Vous trouverez lrsquoinjection SQL plus courante, bien qursquoil existe drsquoautres types. Dans certains cas, les données utilisateur non protégées constituent un point drsquoentrée, ce qui rend cette vulnérabilité vaste et dangereuse.
Il est concevable que l’équipe WordPress attache une grande importance à cette question. Les développeurs ont de nombreuses fonctionnalités et API pour améliorer la protection contre les injections de code non autorisées et pour désinfecter correctement les données. Certains utilisateurs commencent même à limiter la taille des téléchargements et des types de fichiers, ce qui (selon les besoins) peut être une idée sage. 2. Questions de certification Le plug in WC de réglage de la force du mot de passe peut aider à prévenir les vulnérabilités drsquoauthentification. un compte administratif tombe entre de mauvaises mains, un attaquant peut facilement divulguer des identifiants drsquoutilisateur tels que le nom drsquoutilisateur et le mot de passe. Cela se produit souvent lorsque les solutions drsquoauthentification et de gestion de session ne sont pas correctement mises en œuvre.
Il est concevable que la résolution de ce problème dépend
Bien qursquoil y ait des choses que même les administrateurs peuvent faire, il y a encore des problèmes avec les utilisateurs de LTO. Tout drsquoabord, devez sélectionner un mot de passe fiable, tout comme configurez lrsquoauthentification multifactorielle. Enfin, des plug ins comme WC password Strength settings aideront à forcer les utilisateurs à choisir des mots de passe complexes. 3. Exposition de données sensibles ou personnelles cette vulnérabilité est très similaire à la vulnérabilité précédente, mais elle affecte les données saisies par lrsquoutilisateur. Pensez à quel point il serait désastreux de divulguer des détails tels que les adresses personnelles et les paiements, non seulement pour les clients, mais aussi pour lrsquoentreprise elle même.
Heureusement, WordPress peut se prémunir immédiatement contre ce risque. Par exemple, le mot de passe est chiffré, haché et épinglé par un générateur de mot de passe intégré. De plus, le système drsquoautorisation est responsable de la plupart des autres points drsquoentrée. Pour améliorer encore la sécurité, pouvez chiffrer les données en implémentant Secure Socket Layer (SSL). Nous avons discuté de la façon de le faire avec la solution de chiffrement Letrsquos Open Source gratuite. La prochaine vulnérabilité drsquoune entité XML externe peut sembler très complexe, donc nous essaierons de garder la description simple. Il srsquoagit essentiellement drsquoune attaque par injection avec du Code malveillant dans un fichier XML (Extensible Markup Language).
La première solution consiste à utiliser, dans la mesure du possible, des formats de données plus simples que XML (par exemple json). WordPress désactive en fait le chargement d’entités XML personnalisées pour aider à prévenir les attaques. Vous pouvez en savoir plus sur ce problème complexe (et sur la façon de le résoudre) directement à partir de lrsquoowasp. 5. Interruption du contrôle drsquoaccès comme nous lrsquoavons mentionné précédemment pour lrsquoauthentification, le contrôle drsquoaccès (c. à D. le contrôle de la détermination des droits de lrsquoutilisateur) peut également
Nvalida and User Data Leakage. Désrialisation non sécurisée il srsquoagit drsquoune autre vulnérabilité complexe. En bref, les données non fiables sérialisées et désérialisées peuvent être attaquées, ce qui peut entraîner une violation des données. Ces données comprennent des caches, des bases de données, des jetons d’authentification API, etc., qui sont des éléments communs aux sites WordPress modernes. Au cours de lrsquoétude, nous nrsquoavons trouvé aucun cas réel où cette vulnérabilité a causé des problèmes dans le passé. Cela ne veut pas dire qursquoil faut lrsquoignorer. Cependant, à notre avis, nous n’avons trouvé aucun exemple de ce problème, ce qui prouve la sécurité intrinsèque de WordPress. 9. Les thèmes, plug ins et autres composants dangereux peuvent facilement oublier de nombreux éléments WordPress – thèmes, plug ins, etc. – Peut nuire à votre site Web. Toute vulnérabilité dans cette liste peut être causée par un sujet ou un plug in mal codé, il est donc essentiel drsquoétendre votre attention aux outils que utilisez. Heureusement, la qualité des plugins et des thèmes trouvés dans le répertoire WordPress a été vérifiée, donc ils ne devraient pas causer de problèmes. Toutefois, cette assurance de la qualité nrsquoest pas absolument correcte. Nous recommandons drsquoeffectuer une vérification approfondie en utilisant des sites tels que la base de données de vulnérabilité de wpscan avant drsquoinstaller des outils sur votre site: Pour plus de tranquillité d’esprit, WordPress surveille également les bibliothèques et les cadres qu’il contient pour exploiter les vulnérabilités. Dans certains cas, il corrigera les outils tiers pour protéger les utilisateurs. Enregistrement et surveillance inadéquats de votre site et de ses données notre vulnérabilité ultime nrsquoest pas directement exploitée, bien qursquoelle puisse causer le même préjudice à votre site. êtes victime de lrsquoune des vulnérabilités ci dessus, si nrsquoêtes pas au courant, pourriez même ne pas être au courant
Surveiller et enregistrer ce qui se passe sur le site. Cela expose votre site à drsquoautres attaques malveillantes et pourrait éroder la confiance entre et votre groupe drsquoutilisateurs. Crsquoest un sujet dont nous avons déjà discuté dans le cadre de notre discussion sur la façon de se conformer au règlement général sur la protection des données (rmd). En fin de compte, lrsquoutilisation drsquoun plug in de registre de la sécurité de la qualité, comme le journal de vérification de la sécurité du WP, devrait être une priorité: Ce plug in enregistre presque toutes les actions de votre site et devrait être un élément central des routines de sécurité normales. En bref, si une opération semble inappropriée dans le registre, une analyse approfondie peut révéler toute vulnérabilité exploitée. Ça veut dire que tu peux trsquooccuper drsquoeux avant qursquoils ne deviennent un désastre. Conclusion la sécurité devrait être la plus importante pour tout webmestre. Cependant, il peut être difficile de savoir quels aspects nécessitent plus drsquoattention et si choisissez mal, les conséquences peuvent être graves pour et vos utilisateurs. Lrsquoinitiative de lrsquoowasp a joué un rôle de sauvetage à cet égard, car lrsquoorganisation publie chaque année un rapport analysant les dix principales vulnérabilités auxquelles devriez prêter attention. Pour les utilisateurs de WordPress, ces risques peuvent être contrôlés à l’aide de plugins tels que wordfence et WP Security Audit log. Drsquoautres (comme ne pas utiliser de sujets et de plug ins dangereux) dépendent entièrement de et de votre sens des responsabilités. En tout état de cause, le contrôle de ces risques pour la sécurité devrait être une préoccupation constante. Avez des questions sur les dix principales vulnérabilités en matière de sécurité et leur impact sur ? Veuillez nous le dire dans la section commentaires ci dessous! Photos en vedette: tantestati.
Ventilation des 10 principaux risques pour la sécurité des applications owasp en 2017 18
