Protocolli di sicurezza del sito WordPress Procedura operativa standard (SOP)

Misure di sicurezza da considerare quando si gestisce un sito web WordPress

Nel vostro costante impegno a salvaguardare le risorse digitali e a migliorare la sicurezza del sito web, stiamo implementando protocolli di sicurezza completi per la gestione di siti web WordPress. Queste misure sono pensate per proteggere da accessi non autorizzati e garantire che il vostro team aderisca alle migliori pratiche di sicurezza digitale.

Introduzione dell'autenticazione a due fattori (2FA)

Il protocollo di sicurezza fondamentale è l'uso obbligatorio dell'autenticazione a due fattori (2FA). Questo ulteriore livello di sicurezza garantisce che l'accesso al backend di WordPress sia strettamente controllato e accessibile solo al personale autorizzato. La richiesta di un secondo modulo di verifica può ridurre significativamente il rischio di accesso non autorizzato.

Niente più password nei browser

Per proteggere ulteriormente il vostro ambiente digitale, applicate una politica che vi impedisca di salvare le password del browser. Pur essendo comoda, questa pratica comporta un rischio per la sicurezza. Sarebbe meglio incoraggiare l'uso di gestori di password sicuri per memorizzare le password, migliorando la sicurezza e la convenienza senza compromessi.

Connessioni web sicure obbligatorie

Riconoscendo le vulnerabilità associate alle connessioni Internet pubbliche, dovreste richiedere a tutti i membri del team di utilizzare connessioni Web sicure quando gestite i vostri siti WordPress. Ciò significa utilizzare VPN ed evitare assolutamente le reti Wi-Fi pubbliche. Qualsiasi deviazione da questa politica sarà oggetto di una severa azione disciplinare per mantenere i vostri elevati standard di sicurezza.

Documentazione dettagliata del sito web

Ogni membro del team manterrà un documento dettagliato per ogni sito WordPress che gestisce. Questo documento includerà un elenco completo dei plugin installati, degli utenti attuali e un registro delle scansioni manuali mensili, oltre ad altre informazioni fondamentali. Questa iniziativa mira a mantenere la trasparenza e a facilitare una gestione efficiente dei vostri siti web.

Installazione e gestione dei plugin

Nell'ambito dell'impegno a mantenere un ambiente WordPress sicuro, l'installazione di nuovi plugin o la rimozione di quelli esistenti richiede ora un'espressa autorizzazione scritta. Questa politica impedisce modifiche non autorizzate che potrebbero introdurre vulnerabilità. I plugin di file manager, noti per i loro rischi di sicurezza, sono severamente vietati.

Impegnarsi per la sicurezza

Questi miglioramenti del protocollo di gestione dei siti web WordPress riflettono il vostro costante impegno per la sicurezza. Implementando queste misure, potete puntare a proteggere i vostri beni digitali e l'integrità delle informazioni affidate a voi, ai vostri clienti o ai membri del vostro team.

Comprendete che l'adattamento a questi cambiamenti può richiedere un periodo di adattamento. Tuttavia, i vantaggi a lungo termine - maggiore sicurezza, migliore conformità e un'infrastruttura digitale più solida - superano di gran lunga gli inconvenienti iniziali.

Abbiamo creato una procedura operativa standard (SOP) per il modello di protocolli di sicurezza per siti web WordPress che potete scaricare qui in formato PDF.

Se volete copiare e incollare, vi elenchiamo di seguito.

Procedura operativa standard (SOP) per i protocolli di sicurezza dei siti web WordPress

Controllo dei documenti

• Versione: 1.0
• Data: 04/08/2024
• Proprietario del documento:
• Approvazione:

Scopo

Questa SOP illustra i protocolli di sicurezza per la gestione dei siti web WordPress al fine di proteggere da accessi non autorizzati e da potenziali minacce alla sicurezza. L'attenzione principale è rivolta all'abilitazione dell'autenticazione a due fattori (2FA) e alla prevenzione del salvataggio delle password nei browser.

Ambito di applicazione

Questa procedura si applica a tutti i membri del personale che gestiscono, mantengono o accedono al backend del sito web WordPress.

Responsabilità

• Amministratori di siti web: Responsabili dell'applicazione dei protocolli di sicurezza.
• Team di sicurezza informatica: Fornisce supporto e supervisione per l'implementazione delle misure di sicurezza.
• Tutti gli utenti: Rispettare i protocolli di sicurezza.

Procedura

1. Autenticazione a due fattori (2FA)
   
   • Implementazione:
     1. Installare e attivare un plugin 2FA, come "Two Factor Authentication" o "Wordfence Security".
     2. Accedere alle impostazioni del plugin e abilitare la 2FA per tutti i ruoli utente.
     3. Scegliere il metodo 2FA preferito (ad esempio, e-mail, SMS, app autenticatore) e configurarlo di conseguenza.
   • Iscrizione dell'utente:
     1. Informare tutti gli utenti dell'obbligo di 2FA tramite una comunicazione ufficiale.
     2. Fornite una guida passo passo o una sessione di formazione sull'impostazione della 2FA.
     3. Stabilite una scadenza per tutti gli utenti per abilitare la 2FA sui loro account.
   • Monitoraggio della conformità:
     1. Esaminare regolarmente gli account degli utenti per verificare che la 2FA sia abilitata.
     2. Affrontare tempestivamente qualsiasi problema di conformità o difficoltà degli utenti.
2. Nessuna password salvata nei browser
   
   • Linee guida:
     1. Educare gli utenti sui rischi del salvataggio delle password nei browser.
     2. Incoraggiare l'uso di un gestore di password sicuro per la memorizzazione delle password.
     3. Implementare soluzioni tecniche per bloccare il salvataggio delle password nei browser, se possibile.
   • Conformità:
     1. Condurre audit periodici per garantire la conformità a questa politica.
     2. Fornire supporto e alternative agli utenti per una gestione sicura delle password.

Altre buone pratiche

• Aggiornamenti regolari: Assicuratevi che il nucleo di WordPress, i temi e i plugin siano aggiornati regolarmente.
• Password forti: Imporre l'uso di password forti per tutti gli account.
• Limitare i tentativi di accesso: Installare un plugin per limitare i tentativi di accesso e bloccare gli indirizzi IP dopo ripetuti tentativi falliti.
• Gestione dei ruoli degli utenti: Assegnare agli utenti le autorizzazioni minime necessarie per svolgere le loro mansioni.
• Certificato SSL: Utilizzate un certificato SSL per criptare i dati trasmessi da e verso il vostro sito web.
• Backup del sito web: Programmate backup regolari del vostro sito web e archiviateli in modo sicuro.
• Audit di sicurezza: Condurre audit periodici sulla sicurezza e test di penetrazione per identificare e risolvere le vulnerabilità.

Requisiti di documentazione del sito web

• Dichiarazione di politica: Ogni membro del team è tenuto a mantenere un documento dettagliato per ogni sito WordPress che gestisce. Questo documento serve come registro completo che include, ma non si limita a, le seguenti informazioni:
  • Plugin: Un elenco di tutti i plugin installati, il loro scopo e la data dell'ultimo aggiornamento. In questa sezione devono essere indicate anche eventuali personalizzazioni o impostazioni specifiche relative al funzionamento del plugin.
  • Utenti attuali: Un elenco aggiornato di tutti gli utenti che hanno accesso al backend di WordPress, compresi i loro ruoli e la data in cui sono stati aggiunti. È necessario effettuare controlli regolari per garantire che solo gli utenti autorizzati abbiano accesso.
  • Misure di sicurezza: Qualsiasi misura di sicurezza specifica implementata sul sito, comprese le impostazioni 2FA, i certificati SSL e le regole del firewall personalizzate.
  • Scansioni manuali mensili: Un registro delle scansioni manuali mensili effettuate con Immunify o uno strumento simile, con la data della scansione e qualsiasi risultato o azione intrapresa come risultato.
  • Registro delle modifiche: Un registro delle modifiche dettagliato di tutti gli aggiornamenti, le modifiche o le azioni significative intraprese sul sito, con la data e la persona responsabile.

Installazione e gestione dei plugin

• Dichiarazione di politica: In nessun caso i membri del team potranno installare, aggiornare o rimuovere i plugin senza l'espressa autorizzazione scritta di un'autorità designata all'interno dell'organizzazione. Questa politica è stata adottata per evitare modifiche non autorizzate che potrebbero compromettere la sicurezza o la funzionalità del sito.
  
  • Processo di eccezione: Le richieste di installazione o aggiornamento di plugin devono essere presentate per iscritto all'autorità designata, includendo una giustificazione della richiesta e una valutazione delle potenziali implicazioni per la sicurezza.
  • Plugin vietati: È severamente vietato l'uso di plugin di gestione dei file o di qualsiasi plugin noto per le sue vulnerabilità di sicurezza. Ciò include, ma non si limita a, i plugin che consentono la manipolazione diretta dei file all'interno della dashboard di WordPress.

Conformità e applicazione

• Monitoraggio e audit: Controlli regolari garantiranno la conformità a questa SOP. Ciò include la revisione della documentazione del sito web per verificarne la completezza, la verifica dell'autorizzazione dei plugin installati e l'esecuzione di scansioni manuali come richiesto.
• Non conformità: Qualsiasi deviazione da questa SOP sarà affrontata immediatamente. La mancata osservanza può comportare azioni disciplinari, tra cui la revoca dei privilegi di accesso al sito web e il potenziale licenziamento.

Formazione e sensibilizzazione

• Formazione regolare: Tutti i membri del team riceveranno una formazione regolare su questa SOP, compresa l'importanza della sicurezza nella gestione dei siti web, il processo per le richieste di installazione dei plugin e le modalità di esecuzione di scansioni manuali efficaci.
• Campagne di sensibilizzazione: Campagne di sensibilizzazione continue rafforzeranno l'importanza di seguire i protocolli di sicurezza e di conservare una documentazione dettagliata delle attività di gestione del sito web.

Requisito della connessione web sicura

Dichiarazione politica

Per garantire il massimo livello di sicurezza e proteggere da accessi non autorizzati e potenziali violazioni della sicurezza, tutti i membri del team devono accedere al backend di WordPress o condurre qualsiasi attività di gestione del sito web tramite una connessione web sicura. Le connessioni Internet pubbliche, che sono intrinsecamente insicure e vulnerabili alle intercettazioni, sono severamente vietate.

Linee guida per la connessione sicura

• Uso della VPN: Quando si accede al sito web da remoto, gli utenti devono utilizzare una rete privata virtuale (VPN) per garantire una connessione sicura e crittografata. Il reparto IT può fornire raccomandazioni per i servizi VPN approvati.
• Sicurezza Wi-Fi: Per chi accede al sito da casa o da reti private, assicurarsi che la rete Wi-Fi sia protetta con crittografia WPA2 o WPA3 e che la password di rete sia forte e unica.
• Divieto di utilizzo di reti pubbliche: In nessun caso i membri del team devono utilizzare una rete Wi-Fi pubblica (ad esempio, caffetterie, biblioteche, hotel) per accedere alla dashboard di WordPress, eseguire aggiornamenti o gestire contenuti. Ciò include il tethering attraverso reti Wi-Fi pubbliche.

Conformità e applicazione

• Monitoraggio e rilevamento: Il team di sicurezza informatica implementerà soluzioni di monitoraggio per rilevare e segnalare eventuali tentativi di accesso agli strumenti di gestione del sito web da reti insicure o pubbliche.
• Azioni disciplinari: Qualsiasi membro del team trovato in violazione di questa politica dovrà affrontare un'azione disciplinare immediata, fino al licenziamento. Questa rigorosa applicazione è necessaria per proteggere l'integrità e la sicurezza delle nostre risorse digitali.

Responsabilità e rapporti degli utenti

• Responsabilità personale: Tutti gli utenti sono personalmente responsabili della sicurezza della propria connessione web durante l'accesso al backend del sito. L'ignoranza della politica o le difficoltà tecniche non saranno considerate scuse valide per la mancata conformità.
• Segnalazione di incidenti: Gli utenti sono invitati a segnalare gli incidenti in cui i protocolli di connessione sicura al Web potrebbero essere stati violati, intenzionalmente o meno. La segnalazione tempestiva può contribuire a ridurre i potenziali rischi per la sicurezza.

Formazione e sensibilizzazione

• Formazione continua: L'organizzazione fornirà una formazione continua e risorse a tutti i membri del team sulla sicurezza della connessione a Internet, sui rischi associati alle reti pubbliche e su come utilizzare efficacemente le VPN.
• Campagne di sensibilizzazione sulla sicurezza: Saranno condotte regolarmente campagne di sensibilizzazione per rafforzare l'importanza di questa politica e tenere aggiornati tutti i membri del team sulle migliori pratiche per mantenere una connessione web sicura.