Сегодня WP Engine объявил , что двухфакторная аутентификация (2FA) теперь доступна для 42 000 клиентов. Мера безопасности поможет бороться с участившимися попытками проникновения на пользовательский портал хоста.
«По мере нашего роста почти все в компании меняется, и безопасность — одна из них», — сказал основатель WP Engine Джейсон Коэн. «Например, мы видим такие вещи, как мошеннические учетные записи и олицетворение учетных записей / фишинг, а также другие вещи, которые не появлялись часто, когда мы меньше и меньше были целью».
Добавление 2FA является частью более крупного плана по улучшению безопасности, который компания начала в прошлом году, когда наняла Эрика Мерфи в качестве нового директора по безопасности.
«У нас уже несколько лет существует межведомственная группа внутренней безопасности, состоящая примерно из дюжины человек, но в 2015 году мы решили, что нам нужно еще больше лидеров в этой области», — сказал Коэн.
«Мы наняли Эрика в прошлом году, фактически до декабрьского инцидента с безопасностью, так что, оглядываясь назад, это было отличное время».
В настоящее время Мерфи отвечает за технические аспекты безопасности, такие как брандмауэры и VPN, а также за социальную инженерию и обучение, направленные на защиту доступа к учетным записям клиентов.
После декабрьского взлома, когда были раскрыты учетные данные клиентов , WP Engine начал удалять своих клиентов из облачной инфраструктуры Linode. Коэн подтвердил, что тысячи клиентов были перемещены и что в Linode не было добавлено ни одного нового клиента.
Проблемы внедрения 2FA
Хотя предоставление 2FA для учетных записей является лучшей практикой безопасности, Коэн сказал, что это не предотвратило бы декабрьское нарушение, поскольку точка входа была с Linode. Несмотря на это, клиенты WP Engine годами запрашивали поддержку 2FA для пользовательского портала. Когда его спросили, почему компании потребовалось так много времени для его внедрения, Коэн назвал несколько технических проблем.
«Одной из проблем было восстановление личности», — сказал он. «Мы не можем использовать электронную почту как способ восстановить потерянный телефон, потому что тогда адрес электронной почты становится «единственным фактором», то есть вы можете использовать его для восстановления своего пароля, а также аспекта вашего телефона.
«Однако в настоящее время, с появлением Google Authenticator и других приложений, а также общей осведомленностью людей о том, как использовать такие вещи, как скретч-коды, мы почувствовали, что теперь людям будет несложно использовать их», — сказал Коэн.
Когда дело доходит до защиты WordPress, клиенты WP Engine всегда могут использовать плагин для добавления 2FA. Коэн сказал, что компания изучает решение, чтобы сделать его более удобным для клиентов, которые управляют несколькими учетными записями.
«Предположим, вы управляете 50 сайтами WP и вам нужна 2FA», — сказал он. «Итак, вы настраиваете 2FA на каждом сайте и имеете 50 записей в своем приложении Google Authenticator?
«Итак, что-то лучше было бы где-нибудь с системой SSO, иметь 2FA на ней , а затем использовать ее для входа в WordPress», — сказал Коэн.
«Другим способом может быть использование OAuth, например, использование Google OAuth на WP, и действительно, для клиентов, которые уже используют Google Apps, мы действительно рекомендуем этот метод. Другой метод может заключаться в том, чтобы наш собственный пользовательский портал был провайдером OAuth».
По словам Коэна, поскольку уже доступно множество решений, они также рассматривают возможность просто указать клиентам список рекомендаций.
«Даже если мы будем делать свои собственные, мы всегда будем поддерживать другие методы», — сказал он. «Идея не в том, чтобы загнать кого-то в рамки одного метода».
WP Engine планирует добавить поддержку PHP 7 в 2016 году
В настоящее время WP Engine работает над реализацией PHP 7 для всех клиентов. В декабре компания протестировала 25 одновременных пользователей в течение 5 минут по 10 случайно выбранным URL-адресам — на базовой установке WordPress (4.3.1) в конфигурации Mercury Vagrant. Результаты показали, что PHP 7 обрабатывает необработанные обращения в 2,6 раза быстрее, чем PHP 5.5.
К сожалению, клиенты, которые хотят увидеть обновление WP Engine до PHP 7 по всем направлениям, будут ждать, пока остальная часть экосистемы WordPress догонит их. В качестве альтернативы компания рассматривает возможность сделать PHP 7 опциональным.
«На некоторых машинах у нас работает PHP7, — сказал Коэн. «Но на самом деле удивительно, как мало совместимых сайтов WP в этой области. Мы находим, что это менее 20%. По этой причине потребуется согласие».
Хотя ядро WordPress совместимо с PHP 7, подавляющее большинство плагинов и тем WordPress — нет.
«Даже WooCommerce не полностью работает с ним», — сказал Коэн. «Многие большие популярные плагины еще не совместимы. В PHP v5.5 было кое-что из этого, но это гораздо больше. Конечно, PHP7 — это будущее, так что это неизбежно, но это займет больше времени, чем некоторые другие версии PHP».
Коэн сказал, что в лучшем случае клиенты будут выбирать PHP 7 для каждой установки и вносить изменения в любое время. У него еще нет ETA, так как компания работает над нераскрытым крупным проектом, который, по словам Коэна, является его неотъемлемой частью.
«Мы должны принять некоторые решения о том, сколько вложить в него перед выпуском, вместо того, чтобы выпустить его раньше, а затем добавить больше вещей после», — сказал он.
Есть несколько серьезных препятствий для выбора версии PHP на основе установки за установкой, которые необходимо решить, прежде чем развернуть ее для тысяч клиентов.
«Одна из проблем — одновременный запуск нескольких версий на одном компьютере, — сказал Коэн. «Еще одна техническая поддержка — если что-то в ней не работает, нам нужны наши 150+ техников поддержки, чтобы понять, как это понять, и помочь».
Коэн сказал, что он может увидеть поддержку PHP 7 для клиентов уже в этом году, но не может указать, когда именно.
