Pular para o conteúdo

O tripé de segurança da CIA: O que você deve saber sendo um proprietário de site

    Do título original: The Cybersecurity CIA Triad: What You Need to Know as a WordPress Site Owner (Wordfence Blog) – Versão reduzida

    Um dos principais conceitos de segurança cibernética é conhecido como o tripé da CIA (Central de Inteligência Americana). Existem três pilares para o tripé, com cada pilar sendo projetado para abordar um aspecto de segurança de dados. Esses três pilares são Confidencialidade, Integridade e Disponibilidade.

    O pilar Confidencialidade visa impedir o acesso não autorizado aos dados, enquanto o pilar Integridade garante que os dados sejam modificados apenas quando e como devem ser modificados. Por fim, o pilar Disponibilidade garante o acesso aos dados quando necessário. Quando empregados, esses três pilares trabalham juntos para construir um ambiente onde os dados são devidamente protegidos contra qualquer tipo de ataque, comprometimento ou contratempo.

    Embora o gerenciamento de um site nem sempre pareça uma função de segurança cibernética, um objetivo crucial de qualquer site é manter os dados, o que exige o uso deste tripé. Gerenciar um site WordPress não é exceção, mesmo que você não esteja escrevendo ativamente nenhum código para o site.

    À medida que você cria ou atualiza um site, é importante este pensamento ao determinar quais plugins e funcionalidades serão usados no site. Embora a experiência do usuário seja muitas vezes a principal consideração, é importante pesquisar quaisquer componentes que você possa considerar para o seu site para garantir que você esteja instalando apenas aqueles que são bem mantidos e não têm um histórico de serem um vetor de ataque em violações de dados. Ignorar qualquer um dos três pilares pode levar a uma fraqueza em seu site que pode impactar os visitantes, usuários ou seus negócios. Isso torna importante entender como a tríade se aplica ao gerenciamento de um site WordPress.

    Este conteúdo de e-mail também foi publicado em nosso blog e você pode postar um comentário lá se quiser participar da conversa. Ou você pode ler o post completo neste e-mail.

    Mantendo a Confidencialidade dos Dados Privilegiados

    O pilar de confidencialidade está frequentemente aos olhos do público, especialmente quando falha. O conceito básico é que quaisquer dados que devem ser mantidos em sigilo são restritos para impedir o acesso não autorizado. Os dados privilegiados em um site WordPress podem variar, mas incluem credenciais de administrador e usuário, bem como informações de identificação pessoal, como endereços e números de telefone. Dependendo da finalidade do site, informações adicionais do cliente também podem ser incluídas, especialmente em cenários em que você pode estar executando um site de comércio eletrônico ou de associação. Além dos dados pessoais, você também pode ter dados comerciais que devem ser mantidos em sigilo, o que significa que o conceito de confidencialidade precisa ser empregado adequadamente para proteger esses dados de acesso não autorizado.

    Uma coisa a ter em mente é que o acesso não autorizado pode ser facilmente acidental. Cada página em um site WordPress pode ser configurada para exigir permissões específicas para acesso. Se você estiver publicando informações restritas, precisará garantir que a página não seja publicada publicamente. Mesmo ao atualizar uma página, uma boa prática é sempre verificar a visibilidade da postagem antes de publicar qualquer alteração para garantir que os dados restritos não possam ser acessados ​​sem um nível de acesso adequado. Essa verificação é rápida e leva apenas um momento para corrigir se a visibilidade estiver configurada incorretamente.

    Artigo WordPress mostrando a privacidade do postO acesso malicioso também é algo que precisa ser considerado ao gerenciar um site. Um dos tipos mais comuns de ataques em aplicativos da Web é o cross-site scripting (XSS). Um perigo dos ataques XSS é que eles geralmente são simples de serem implementados por um invasor, simplesmente gerando uma URL especialmente criada. Se uma vulnerabilidade XSS estiver presente no site e um invasor puder convencer seus usuários, ou administradores, a clicar em um link que eles geraram, eles poderão facilmente roubar os cookies do usuário ou realizar ações usando a sessão da vítima.

    Se a vulnerabilidade for armazenada em XSS, um administrador do site acessando a página vulnerável pode ser tudo o que é necessário para que o invasor obtenha acesso de administrador ao site. Se o invasor conseguir obter cookies de autenticação, ele terá o mesmo acesso às informações no site que o usuário ou administrador de quem roubou o cookie. Além disso, quando se trata de sites WordPress, as vulnerabilidades XSS podem ser facilmente exploradas para injetar novos usuários administrativos ou adicionar backdoors (programas de acesso extra) por meio de JavaScript especialmente criado que torna incrivelmente fácil para invasores obter acesso não autorizado a informações confidenciais em seu site WordPress.

    O acesso não autorizado a informações confidenciais pode ter efeitos negativos duradouros em uma empresa ou proprietário de um site, mas tomar medidas para proteger esses dados ajuda bastante a mitigar esses riscos. Esteja você executando um blog pessoal que coleta endereços de e-mail de assinantes ou um site de varejo online, haverá dados que devem ser protegidos contra acessos acidentais e maliciosos. Mantendo o conceito de confidencialidade em mente ao construir e atualizar seu site WordPress é uma parte crítica da proteção desses dados. Mesmo que pareça um incômodo fazer a pesquisa inicial e escolher plugins conhecidos por sua segurança, você acabará economizando tempo e dinheiro evitando uma possível violação de dados no futuro.

    Ao pesquisar temas e plugins, um aspecto que você deve considerar é a transparência do desenvolvedor com quaisquer vulnerabilidades. Algumas vulnerabilidades divulgadas e corrigidas provavelmente significam que o desenvolvedor corrige ativamente quaisquer problemas. Um tema ou plugin que não lista nenhuma vulnerabilidade corrigida no changelog pode ser um problema tanto quanto um que teve muitas vulnerabilidades, especialmente quando o tema ou plugin já existe há um tempo significativo. Isso significa a importância de não apenas confiar se um plugin ou tema teve alguma vulnerabilidade divulgada anteriormente, mas sim focar na transparência e comunicação sobre gerenciamento de segurança dos desenvolvedores de software WordPress.

    Garantir a integridade dos dados do site

    A integridade é o pilar que define como os dados são mantidos e modificados. A ideia aqui é que os dados devem ser modificados apenas por indivíduos definidos, e qualquer modificação deve ser precisa e necessária, conforme definido pela finalidade dos dados. Alterações incorretas ou desnecessárias nos dados podem causar, no mínimo, confusão e podem até ter consequências legais e financeiras em alguns casos. Embora o pilar de confidencialidade desempenhe um papel aqui, a integridade deve ser abordada de forma independente para garantir que os dados acessados ​​não tenham sido comprometidos de forma maliciosa ou acidental.

    As verificações de capacidade são uma maneira de o WordPress não apenas proteger a confidencialidade, mas também a integridade. Todos os plug-ins devem usar verificações de capacidade para garantir que o usuário que faz uma alteração nas informações do site, configuração ou dados contidos realmente tenha as permissões corretas para fazer essas alterações. Do ponto de vista do proprietário ou mantenedor do site, pesquisar quaisquer plug-ins e testar qualquer um que esteja sendo considerado para o site para garantir que os dados só possam ser alterados pelo proprietário ou por um nível apropriado de editor ou administrador. Se os dados estiverem disponíveis no site de qualquer forma, eles precisarão ser verificados porque um plug-in vulnerável pode permitir que um invasor altere ou exclua dados se souber como explorar a vulnerabilidade. As configurações e o código do site também são dados e, se sua integridade for afetada, isso pode resultar em um comprometimento total da confidencialidade e disponibilidade de quaisquer outros dados no site.
    uma imagem mostrando uma verificação de capacidade

    Devido ao fato de que nem todos os plugins usarão corretamente as verificações de capacidade, é responsabilidade do mantenedor do site garantir a integridade dos dados. Além de testar plugins para erros de acesso, todos os usuários devem ser mantidos adequadamente com níveis de acesso apropriados. Em um ambiente de negócios, isso também significará que auditorias de usuários precisarão ser realizadas, e qualquer funcionário que sair da empresa deverá ser imediatamente removido ou desabilitado no site. Em muitos casos, ter uma política de separação de colaboradores e editores também é uma boa prática. Isso fornecerá um ambiente em que mais de um conjunto de olhos está vendo as alterações para ajudar a detectar quaisquer erros nas alterações feitas nos dados. A integridade tem tudo a ver com a manutenção adequada dos dados, mas tanto a intenção maliciosa quanto os erros não intencionais devem ser levados em consideração para proteger a integridade dos dados.

    Garantindo a disponibilidade de todos os dados

    O pilar final do tripé é a disponibilidade. Nesse sentido, disponibilidade significa que os dados estão disponíveis quando solicitados. Com um site WordPress, isso significa que o site está online, o banco de dados está acessível e todos os dados que deveriam estar disponíveis para um determinado usuário estão disponíveis desde que estejam logados com o nível de acesso correto. O que disponibilidade não significa é que os dados estarão disponíveis para todos a qualquer momento. Os dois primeiros pilares da tríade devem ser levados em consideração ao determinar a disponibilidade de dados. Este é o pilar que depende mais da infraestrutura do que do que a maioria considerará ser segurança.

    A disponibilidade pode ser o pilar mais óbvio para o usuário final, pois fica claro para ele quando um site não está disponível ou os dados que eles tentam acessar no site não carregam. O usuário final pode nem sempre saber quando informações confidenciais são acessadas sem autorização ou quando os dados são modificados incorretamente, mas a falta de disponibilidade sempre será óbvia. Os sites WordPress têm muitas partes funcionais e, para que os dados em um site WordPress estejam disponíveis sob demanda, todas essas partes devem funcionar perfeitamente juntas. Isso significa que o site deve ser hospedado em algum lugar confiável, as taxas associadas ao nome de domínio, hospedagem ou outros aspectos da infraestrutura devem ser pagas em tempo hábil, os certificados TLS (o que aquele cadeado ao lado do endereço do domínio no navegador mostra) precisam ser renovados a tempo e o software do site deve ser atualizado regularmente.

    Fonte: Wordfence blog

    Iniciar conversa
    1
    Posso te ajudar em algo?
    Olá,
    Em que posso ajudá-lo? Clique no botão abaixo para nos chamar pelo Whatsapp.