Ventilation des 10 principaux risques pour la sécurité des applications owasp en 2017 \/ 18

Sécurité du site: ces deux termes sont essentiels pour tous les propriétaires de site. La sécurité est une grande entreprise en ligne, principalement parce qu’elle est si importante que l’ignorer peut avoir des conséquences désastreuses pour votre site et sa base d’utilisateurs. Toutefois, certaines questions de sécurité sont plus pertinentes que d’autres, et il est plus important de comprendre l’accent mis sur une activité qui n’a pas de point de départ clair. Heureusement, l’existence du projet de sécurité des applications Web ouvertes (owasp) a contribué à améliorer la sécurité des logiciels. Plus récemment, l’Organisation a publié une liste précieuse des dix principales vulnérabilités en matière de sécurité de l’année dernière (2017). Cela vous donne un avantage précieux pour assurer la sécurité et la fiabilité du site Web et des données qu’il recueille.
Dans cet article, nous examinons les dix principaux risques pour la sécurité et décrivons ce que vous pouvez faire pour minimiser (ou éliminer) leurs effets. Cependant, commençons par un aperçu rapide de l’owasp et de son rôle dans la sécurité en ligne! À propos de owasp Le Open Web Application Security Project (owasp) est un organisme à but non lucratif à source ouverte qui travaille à améliorer la sécurité des logiciels que nous utilisons quotidiennement. Il est actif depuis 2001 et son personnel est largement considéré comme un expert dans ce domaine. L’owasp crée les dix premières vulnérabilités en matière de sécurité chaque année, mais ce n’est pas tout. Il gère de nombreux autres programmes liés à la sécurité. Par exemple, il offre:
Lignes directrices pour la mise en œuvre de la sécurité WordPress. Il s’agit d’un guide complet et constamment mis à jour pour vous assurer que votre installation WordPress est étanche et sécurisée. C’est un tutoriel utile pour prévenir les intrusions malveillantes. Scanner de vulnérabilité WordPress. Cet outil détecte toute faiblesse dans l’installation W
Ordpress, vous permet de résoudre ces problèmes et de protéger votre site contre les attaques. Vous pouvez consulter la liste complète des projets du paeo sur le site Web de votre organisation. Toutefois, dans le présent document, nous nous concentrerons sur les dix principaux risques annuels pour la sécurité.
Classification des dix principaux risques pour la sécurité des applications owasp en 2017 \/ 2018 il est essentiel d’intégrer le contenu de ces dix principaux risques pour la sécurité afin d’assurer la sécurité de votre site Web. Ne pas prêter attention à chaque risque peut entraîner une intrusion, une fuite de données ou pire. Nous dresserons une liste des menaces les plus graves et les moins importantes (bien que toutes les menaces méritent notre attention). Voyons voir! Défaut d’injection un défaut d’injection survient lorsque des données non fiables sont envoyées dans le cadre d’une commande ou d’une requête. Vous trouverez l’injection SQL plus courante, bien qu’il existe d’autres types. Dans certains cas, les données utilisateur non protégées constituent un point d’entrée, ce qui rend cette vulnérabilité vaste et dangereuse.
Il est concevable que l’équipe WordPress attache une grande importance à cette question. Les développeurs ont de nombreuses fonctionnalités et API pour améliorer la protection contre les injections de code non autorisées et pour désinfecter correctement les données. Certains utilisateurs commencent même à limiter la taille des téléchargements et des types de fichiers, ce qui (selon les besoins) peut être une idée sage. 2. Questions de certification Le plug – in WC de réglage de la force du mot de passe peut aider à prévenir les vulnérabilités d’authentification. Si un compte administratif tombe entre de mauvaises mains, un attaquant peut facilement divulguer des identifiants d’utilisateur tels que le nom d’utilisateur et le mot de passe. Cela se produit souvent lorsque les solutions d’authentification et de gestion de session ne sont pas correctement mises en œuvre.
Il est concevable que la résolution de ce problème dépend
Bien qu’il y ait des choses que même les administrateurs peuvent faire, il y a encore des problèmes avec les utilisateurs de LTO. Tout d’abord, vous devez sélectionner un mot de passe fiable, tout comme vous configurez l’authentification multifactorielle. Enfin, des plug – ins comme WC password Strength settings vous aideront à forcer les utilisateurs à choisir des mots de passe complexes. 3. Exposition de données sensibles ou personnelles cette vulnérabilité est très similaire à la vulnérabilité précédente, mais elle affecte les données saisies par l’utilisateur. Pensez à quel point il serait désastreux de divulguer des détails tels que les adresses personnelles et les paiements, non seulement pour les clients, mais aussi pour l’entreprise elle – même.
Heureusement, WordPress peut se prémunir immédiatement contre ce risque. Par exemple, le mot de passe est chiffré, haché et épinglé par un générateur de mot de passe intégré. De plus, le système d’autorisation est responsable de la plupart des autres points d’entrée. Pour améliorer encore la sécurité, vous pouvez chiffrer les données en implémentant Secure Socket Layer (SSL). Nous avons discuté de la façon de le faire avec la solution de chiffrement Let’s Open Source gratuite. La prochaine vulnérabilité d’une entité XML externe peut sembler très complexe, donc nous essaierons de garder la description simple. Il s’agit essentiellement d’une attaque par injection avec du Code malveillant dans un fichier XML (Extensible Markup Language).
La première solution consiste à utiliser, dans la mesure du possible, des formats de données plus simples que XML (par exemple json). WordPress désactive en fait le chargement d’entités XML personnalisées pour aider à prévenir les attaques. Vous pouvez en savoir plus sur ce problème complexe (et sur la façon de le résoudre) directement à partir de l’owasp. 5. Interruption du contrôle d’accès comme nous l’avons mentionné précédemment pour l’authentification, le contrôle d’accès (c. – à – D. le contrôle de la détermination des droits de l’utilisateur) peut également
Nvalida and User Data Leakage. Désrialisation non sécurisée il s’agit d’une autre vulnérabilité complexe. En bref, les données non fiables sérialisées et désérialisées peuvent être attaquées, ce qui peut entraîner une violation des données. Ces données comprennent des caches, des bases de données, des jetons d’authentification API, etc., qui sont des éléments communs aux sites WordPress modernes. Au cours de l’étude, nous n’avons trouvé aucun cas réel où cette vulnérabilité a causé des problèmes dans le passé. Cela ne veut pas dire qu’il faut l’ignorer. Cependant, à notre avis, nous n’avons trouvé aucun exemple de ce problème, ce qui prouve la sécurité intrinsèque de WordPress. 9. Les thèmes, plug – ins et autres composants dangereux peuvent facilement oublier de nombreux éléments WordPress – thèmes, plug – ins, etc. – Peut nuire à votre site Web. Toute vulnérabilité dans cette liste peut être causée par un sujet ou un plug – in mal codé, il est donc essentiel d’étendre votre attention aux outils que vous utilisez. Heureusement, la qualité des plugins et des thèmes trouvés dans le répertoire WordPress a été vérifiée, donc ils ne devraient pas causer de problèmes. Toutefois, cette assurance de la qualité n’est pas absolument correcte. Nous vous recommandons d’effectuer une vérification approfondie en utilisant des sites tels que la base de données de vulnérabilité de wpscan avant d’installer des outils sur votre site: Pour plus de tranquillité d’esprit, WordPress surveille également les bibliothèques et les cadres qu’il contient pour exploiter les vulnérabilités. Dans certains cas, il corrigera les outils tiers pour protéger les utilisateurs. Enregistrement et surveillance inadéquats de votre site et de ses données notre vulnérabilité ultime n’est pas directement exploitée, bien qu’elle puisse causer le même préjudice à votre site. Si vous êtes victime de l’une des vulnérabilités ci – dessus, si vous n’êtes pas au courant, vous pourriez même ne pas être au courant
Surveiller et enregistrer ce qui se passe sur le site. Cela expose votre site à d’autres attaques malveillantes et pourrait éroder la confiance entre vous et votre groupe d’utilisateurs. C’est un sujet dont nous avons déjà discuté dans le cadre de notre discussion sur la façon de se conformer au règlement général sur la protection des données (rmd). En fin de compte, l’utilisation d’un plug – in de registre de la sécurité de la qualité, comme le journal de vérification de la sécurité du WP, devrait être une priorité: Ce plug – in enregistre presque toutes les actions de votre site et devrait être un élément central des routines de sécurité normales. En bref, si une opération semble inappropriée dans le registre, une analyse approfondie peut révéler toute vulnérabilité exploitée. Ça veut dire que tu peux t’occuper d’eux avant qu’ils ne deviennent un désastre. Conclusion la sécurité devrait être la plus importante pour tout webmestre. Cependant, il peut être difficile de savoir quels aspects nécessitent plus d’attention et si vous choisissez mal, les conséquences peuvent être graves pour vous et vos utilisateurs. L’initiative de l’owasp a joué un rôle de sauvetage à cet égard, car l’organisation publie chaque année un rapport analysant les dix principales vulnérabilités auxquelles vous devriez prêter attention. Pour les utilisateurs de WordPress, ces risques peuvent être contrôlés à l’aide de plugins tels que wordfence et WP Security Audit log. D’autres (comme ne pas utiliser de sujets et de plug – ins dangereux) dépendent entièrement de vous et de votre sens des responsabilités. En tout état de cause, le contrôle de ces risques pour la sécurité devrait être une préoccupation constante. Avez – vous des questions sur les dix principales vulnérabilités en matière de sécurité et leur impact sur vous? Veuillez nous le dire dans la section commentaires ci – dessous! Photos en vedette: tantestati.