Wordfence récemment lancé CLI Wordfenceun scanner de logiciels malveillants en ligne de commande hautes performances, qui utilise notre vaste ensemble de signatures de détection de logiciels malveillants pour analyser rapidement les systèmes de fichiers à la recherche d’infections.
Ces dernières années, la communauté WordPress a constaté un changement d’orientation vers la prévention plutôt que la détection des incidents de sécurité. Cela reflète l’adoption accrue de bonnes pratiques telles que l’authentification multifacteur, la gestion des vulnérabilités et le renforcement de la configuration.
Même si nous convenons que la prévention est toujours meilleure que la détection ou la remédiation, un concept important en cybersécurité est la défense en profondeur. Il est donc important de disposer d’un plan de réponse aux incidents bien pensé et d’une surveillance de sécurité adéquate en place. Aucune solution de sécurité n’offre une protection parfaite contre les vulnérabilités du jour zéro, et même un site entièrement verrouillé peut être compromis s’il partage des ressources avec d’autres sites qui restent vulnérables. Dans l’article d’aujourd’hui, nous discuterons de notre philosophie en matière de sécurisation des sites Web, y compris plusieurs défis et concepts clés en matière de cybersécurité et leur lien avec le cas des scanners de logiciels malveillants.
La sécurité doit servir les utilisateurs, et non l’inverse
Il y a un vieil adage selon lequel la meilleure caméra est celle que vous avez sur vous, et de même, la meilleure solution de sécurité est celle que vous utiliserez réellement. Les utilisateurs ajoutent à la complexité de la sécurisation des systèmes, et il est facile de sécuriser un système que personne ne veut utiliser car il est verrouillé. Une sécurité facile à utiliser et difficile à contourner est bien meilleure qu’une sécurité difficile à utiliser et impossible à contourner, et l’une des philosophies qui guident la cybersécurité est que rien n’est vraiment impossible à contourner.
C’est pourquoi Wordfence donne la priorité à l’expérience utilisateur et s’efforce d’incorporer autant de couches de sécurité que possible dans un package facile à utiliser pour la grande majorité des propriétaires de sites WordPress. Traditionnellement, cela signifiait des offres basées sur des plugins. Malgré les limites liées à l’exécution de la sécurité en tant que plug-in, nos nombreuses fonctionnalités, notamment notre pare-feu d’application Web, l’authentification à deux facteurs, la liste de blocage IP en temps réel et l’analyseur de logiciels malveillants et de vulnérabilités, aident à sécuriser plus de 4 millions de sites, à détecter des millions de fichiers malveillants et à bloquer des milliards d’attaques chaque année.
Dans notre Rapport Wordfence 2022 sur l’état de la sécurité de WordPress, nous avons signalé que notre pare-feu avait bloqué plus de 159 milliards d’attaques de credential stuffing, 23 milliards d’analyses de configuration et environ 12 milliards d’attaques contre des vulnérabilités. Vous pouvez également obtenir une vue en temps réel du volume d’attaques que nous bloquons sur le site. Tableau de bord de renseignement Wordfence.
Assumer un état d’esprit de violation
Même si cela peut paraître pessimiste, « supposer une violation » est un état d’esprit essentiel en matière de cybersécurité qui implique de planifier des mesures d’atténuation au cas où un site serait compromis. Pour de nombreux sites, même les plus verrouillés, la compromission est une question de moment et non de si, et une détection rapide est essentielle pour minimiser les dégâts. Si votre site a été compromis, il est important de le découvrir le plus tôt possible pour empêcher l’attaquant de gagner du terrain et d’élever ses privilèges dans l’ensemble du système. Un plan de réponse aux incidents bien pensé est inutile si vous ignorez qu’un incident se produit.
La faille Solarwinds, par exemple, est restée indétectée pendant plus d’un an, permettant aux acteurs malveillants d’infecter des milliers de systèmes critiques via une attaque de la chaîne d’approvisionnement. Avec une surveillance et une détection de sécurité adéquates en place, cette infection qui dure depuis un an aurait pu être détectée beaucoup plus tôt et avoir eu un impact sur beaucoup moins de systèmes si elle avait été détectée plus tôt. Cela montre également que même ceux qui s’efforcent d’offrir la meilleure sécurité peuvent encore avoir des lacunes dans la couverture où un attaquant peut violer les défenses.
Sécurité en couches
Aucune solution unique ne sera jamais parfaite, et il n’est pas possible d’éliminer complètement le risque, il suffit de le gérer. L’un des moyens les plus efficaces de gérer les risques consiste à superposer les défenses afin que le contournement d’une couche ne permette pas à un attaquant d’en prendre le contrôle total. C’est pourquoi, par exemple, il est important d’utiliser à la fois des mots de passe forts et une authentification multifacteur, et pourquoi les sauvegardes sont importantes mais ne remplacent pas la détection des intrusions.
Un autre exemple est le contraste entre les solutions basées sur le Cloud et notre pare-feu d’application Web : une solution Cloud serait bien adaptée pour fournir une protection DDOS et bloquer certaines attaques génériques, tandis que notre WAF bénéficie du fait de fonctionner avec le plugin car il peut bloquer les attaques. spécifiquement ciblé contre les vulnérabilités de WordPress sans bloquer inutilement le trafic administratif légitime.
Notre équipe a déployé des centaines de règles de pare-feu qui ne bénéficieraient jamais d’une protection adéquate avec un pare-feu d’applications Web générique. La plupart des vulnérabilités d’élévation de privilèges et de contournement d’authentification que nous constatons ont des paramètres et des valeurs uniques qui nécessitent une expérience spécialisée pour être bloquées de manière adéquate. Par exemple, de nombreuses vulnérabilités d’élévation de privilèges, comme celle que nous avons trouvée dans le Thème JupiterXutilisez des fonctionnalités d’administration qui ont été accidentellement exposées à des utilisateurs de bas niveau, souvent via une action AJAX.
Avec un ensemble de règles génériques de ModSecurity, les attaques de ce type ne pouvaient pas être bloquées sans interrompre complètement la plupart des fonctionnalités du site. Même les pare-feu cloud les plus avancés, capables d’analyser les paramètres POST en mettant fin à TLS en périphérie, empêcheraient toujours les utilisateurs administratifs d’effectuer les tâches nécessaires. Grâce à nos règles de pare-feu personnalisées, le pare-feu Wordfence est capable de bloquer facilement le trafic malveillant sans affecter les fonctionnalités du site, et grâce à nos recherches internes sur les vulnérabilités, nous sommes souvent les premiers à publier des règles de pare-feu pour les nouvelles vulnérabilités critiques.
Faire confiance
Un concept souvent négligé en matière de cybersécurité est le problème de la « confiance ». Sur n’importe quel système donné, un attaquant capable d’exécuter du code peut falsifier tout autre code exécuté avec le même niveau de privilège. Ceci est souvent utilisé comme argument contre les scanners de logiciels malveillants basés sur des plugins et présente certes un défi puisque tout attaquant capable de compromettre un site au point de pouvoir exécuter du code peut exécuter ce code au même niveau qu’un plugin.
Beaucoup de nos utilisateurs installent Wordfence après ils ont pris conscience d’une violation et utilisent avec succès notre scanner pour y remédier. La plupart des logiciels malveillants ne sont pas encore suffisamment sophistiqués pour échapper à la détection de cette manière, et même les logiciels malveillants conçus pour cela ne parviennent souvent pas à masquer complètement leurs traces. De plus, d’après les recherches effectuées par notre équipe sur les acteurs de la menace WordPress, beaucoup ne veulent pas ou ne peuvent pas développer leurs propres charges utiles d’évasion ou payer le prix fort pour des solutions prêtes à l’emploi.
Néanmoins, une telle falsification est de plus en plus courante, et aucun scanner basé sur un plugin n’y est à l’abri, mais notre scanner basé sur un plugin détecte toujours de manière fiable une énorme quantité de logiciels malveillants et nous disposons de la télémétrie pour le prouver : environ 1 million de sites ont utilisé Wordfence avec succès. pour nettoyer les logiciels malveillants en 2022, sur la base du nombre total de sites sur lesquels nous avons constaté des infections par rapport au nombre de sites restés infectés à la fin de l’année.
Heureusement, même les logiciels malveillants basés sur des fichiers les plus intelligemment conçus ne peuvent pas se cacher d’un scanner qu’ils ne peuvent pas altérer, et Wordfence CLI est une solution efficace pour les sites qui ont besoin de cette couche de détection supplémentaire.
Remédiation responsable
Lorsqu’il s’agit de remédiation, une approche universelle ne fonctionne tout simplement pas. De nombreux sites ont des besoins uniques, un code personnalisé ou une dette technique. Le remplacement des fichiers et plugins principaux de WordPress par des versions propres connues peut résoudre de nombreux problèmes, et notre scanner offre la possibilité de le faire, mais de nombreuses infections se reproduiront simplement si la cause première n’est pas traitée. Les outils permettant d’automatiser la remédiation peuvent être incroyablement utiles, mais une remédiation entièrement automatisée peut causer plus de problèmes qu’elle n’en résout tout en donnant un faux sentiment de sécurité : il devrait toujours y avoir un être humain qui prend les décisions finales en matière de remédiation. C’est pourquoi notre Entretien de la clôture des mots et Réponse de Wordfence Les offres font appel à des analystes qualifiés pour nettoyer votre site Web et le remettre en état de fonctionnement, et nous recommandons fortement ces services aux propriétaires de sites moins expérimentés ou aux propriétaires de sites qui souhaitent simplement faire confiance aux experts pour gérer la remédiation.
Amélioration continue
Nos signatures de logiciels malveillants sont conçues pour détecter non seulement les infections actives, mais également les artefacts générés par les logiciels malveillants et d’autres indicateurs de compromission. Notre équipe de spécialistes surveille en permanence les nouvelles variantes de logiciels malveillants et nous publions des dizaines de nouvelles signatures chaque mois pour suivre les attaquants. Étant donné que nos signatures utilisent des expressions régulières soigneusement conçues, chaque signature peut détecter des milliers, voire des millions, de fichiers malveillants uniques.
Dans un esprit d’amélioration continue, nous avons lancé une couche de sécurité supplémentaire et conviviale avec notre scanner Wordfence CLI. Bien qu’il soit conçu pour les utilisateurs expérimentés et les administrateurs, il ouvre de nouvelles possibilités de détection qui n’étaient pas disponibles avec notre scanner de plugins.
Plus de flexibilité avec Wordfence CLI
L’une des demandes les plus fréquentes que nous avons reçues au fil des ans concernait la possibilité d’exécuter des analyses par programme via la ligne de commande plutôt que via le plugin. Non seulement cela atténue les problèmes de falsification et entraîne une amélioration considérable des performances, mais cela permet également des cas d’utilisation étendus : vous pouvez l’utiliser pour analyser les sauvegardes en dehors de la racine Web afin de garantir leur intégrité avant de les restaurer, ou pour analyser plus en profondeur la base de données. infections en l’exécutant sur les exportations de bases de données, car l’analyse des bases de données actives a tendance à être extrêmement gourmande en ressources. Vous pouvez l’utiliser pour analyser rapidement uniquement les fichiers qui ont été récemment modifiés en redirigeant les résultats depuis Linux. find commande au scanner Wordfence cli, ou excluez les signatures de l’analyse dans les rares cas où votre code personnalisé est détecté par l’une de nos signatures.
CLI Wordfence est open source et peut être entièrement personnalisé ou dupliqué, et bien que notre ensemble de signatures gratuites de base ne puisse pas être utilisé à des fins commerciales, il est conçu pour détecter les indicateurs de compromission les plus répandus trouvés sur plus de 90 % de tous les sites infectés. Gardez à l’esprit que la plupart des infections impliquent plusieurs composants malveillants. Par conséquent, pour une analyse et une correction plus complètes, nous recommandons notre ensemble de signatures commerciales qui détecte plus de 18 millions de variantes uniques de logiciels malveillants dans la nature.
Conclusion
Dans l’article d’aujourd’hui, nous avons abordé certains éléments clés de notre stratégie de sécurisation des sites Web, notamment l’expérience utilisateur, la sécurité à plusieurs niveaux, l’hypothèse d’une violation, le problème de la confiance, la remédiation responsable et notre volonté d’amélioration continue. Notre objectif est de fournir la meilleure sécurité possible pour votre site Web, ce qui signifie assurer la sécurité que vous utiliserez réellement.
Bien qu’aucune solution unique n’offre une protection parfaite, Wordfence propose des packages de prévention, de détection et de remédiation qui amélioreront considérablement votre posture de sécurité tout en restant compatible avec d’autres solutions. Avec le lancement de Wordfence CLI, il est désormais possible d’analyser des centaines, voire des milliers de sites avec une seule licence à un prix compétitif, tout en économisant les ressources du serveur.
Source link