Artikkel ilmus esmalt Veebimajutus.ee blogis ning on nüüd siin lehel uuendatud kujul
Sul on valminud kaunis ja funktsionaalne WordPressi-veebileht – palju õnne! Enne veel, kui asud hoolega sisulehti ümber sõnastama, uusi postitusi kirjutama või e-poes toodete hulka suurendama, soovitan võtta hetke, et mõelda läbi veebilehe turvalisuse küsimus.
Ma saan aru, et sa ei ole pankur, kes endale miljonite liigutamiseks kõrgtehnoloogilise portaali luua lasi, kuid siiski – sinu veeb on resurss, mille vastu tekkis momentaalne huvi. Veel enne, kui kliendid jõuavad su kontaktilehe läbi lugeda ja esimese toote tellida, on lehte külastanud kümned ja sajad robotid, kes lehe koodi kenasti üle vaadanud, võimalikud esmased haavatavused üle kamminud ning omavad juba hetkel paremat pilti turbest kui sina veebilehe tellijana.
Mõelda vaid, et värske autoomanik jätab oma äsja soetatud uhke Mersu Läti piiri lähedal poe ees käima, võtmed ees, uksed lahti ning loodab, et poole tunni pärast poest tulles on masin veel alles – võib-olla on, kuid ilmselgelt saaks hoolas autoomanik käituda paremini ilma, et see nõuaks temalt suuri erialateadmisi, 10-aastast kogemust autonduse vallas ja suuri lisakulutusi. Samuti saab veebilehe värske omanik mõelda läbi oma veebilehe turvaküsimused ning teha tähtsad otsused, ilma et ta oleks pidanud aastaid küberkaitse erialal õppima.
Veebilehe turvalisuse teema võiks jaotada kolme osasse:
1) ennetamine
2) reaalne kaitse ning
3) tegelemine tagajärgedega.
Kirjutame need veidi täpsemalt lahti.
Turvaintsidentide ennetamine – paroolid, ligipääsud ja kasutajaõigused
WordPressi sisse logimise kasutajanimi ja parool peaksid olema unikaalsed ja keerukad, samas meeldejäävad; igal WordPressi kasutaja nii madalates õigustes, kui tema puhul võimalik ning nende e-maili aadressid profiilis korrektsed – selle abil on võimalik parooli taastada/vahetada. NB: unusta kasutajanimed “admin“, “administrator” ja “domeeninimi” (nt kidsland.ee puhul ära pane kasutajanimeks “kidsland”) – neid brute forc‘itakse kohe ja palju!
Parooli tugevuse määramiseks sobib hästi WordPressi sisse ehitatud parooli tugevuse generaator, mis on nähtav kasutaja lisamisel või muutmisel.
Veebimajutusega seotud paroolid (veebimajutuse iseteenindus, FTP-kasutaja(d), MySQL andmebaasi parool) peaksid olema samuti hästi kaitstud ning kõrvaliste isikute eest kättesaamatud. Ning kui sinu veebilehel pole veel SSL-sertifikaati, siis sisuliselt “jagad” oma paroole maailmaga, sest samal ajal kui sina Elroni vagunis kohvi rüüpad ja postitust tipid, on uudishimulikul IT-üliõpilasel sinu parool teada.
Pikk jutt lühidalt – kui kõik on tehtud väga turvaliselt, aga Sina otsustad panna oma kasutajanimeks “admin” ja parooliks “password123”, siis hiljemalt kuu aja pärast on sinu leht “häkitud”.
Reaalne kaitse – veebimajutus, tulemüür, monitooring, uuendused!
Oluline on, kus sa oma veebi majutad – kelle halduses asuvad failid ja andmebaasid. Meie soovitame Veebimajutus.ee või zone.ee saite, on ka teisi häid valikuid, kuid kindlasti ära arva, et kellegi kodus tiksuv vana lauaarvuti sinu veebi majutajana oleks sobiv koht raha säästmiseks.
WordPressi baasversioon tuleb hoida ajakohasena, samuti tuleb uuendada lisapluginad ja teemafailid, sest uuenduse tegemata jätmine on turvaauk. Meie poole on aja jooksul pöördunud mitu klienti, kes on oma eelmise veebilehe rünnaku ohvriks jätnud – kahjustada on saanud maine, kaotatud mõnigi potentsiaalne klient, hävitatud andmed ning kaasnenud on kulud.
Kõik soovivad sellist olukorda ennetada – seega tasub kasutada pluginaid nagu näiteks “Wordfence“, mis monitoorib veebilehte, annab ülevaateid rünnakukatsetest ja võrdleb pluginate versioone repositooriumitega, ning plugin “iThemes security“, mis aitab jõustada täiustatud turvasätteid nurjunud sisselogimiskatsete piiramisest IP-aadressite blokeerimiseni välja.
Samas ei tohiks paigalda suvalisi “abiprogramme”, vaid valida välja ja kasutada vaid 1-2 usaldusväärset tulemüüri/viirustõrjepluginat, vastasel juhul lähevad need üksteisega konflikti või saavad ise potentsiaalseteks turvaaukudeks. Pluginad olgu abivahendeiks, eelkõige tuleb hoolitseda selle eest, et oleks olemas inimene, kes oskab need õigesti tööle panna, neist kasulikku infot välja lugeda ning seeläbi lehekülge turvalisena hoida. Ei oska ise tegeleda ja end kursis hoida? Telli veebihooldus meilt!
Tundmatud pluginad võivad sisaldada endas pahatahtlikku koodi, mille abil saab potentsiaalne kurjategija endale “tagaukse” sinu lehele. Õiget pluginat leides on sinu jaoks tähtis, et see teeks, mida vaja, et see ei oleks turvanõrkuseks ning et sa ei peaks seda paari päeva pärast välja vahetama. Seega:
a) Veendu, et plugina autor on usaldusväärne ning et plugin teeb seda, mida tegema peab (plugina reiting üle 4.3, plugina arvustused asjalikud, plugina veebileht/dokumentatsioon/abifoorum, allalaadimiste hulk kõrge)
b) Püüa tuvastada, millises elutsüklis plugin on – kas hoogu koguv startup, kaua ja stabiilselt toimiv asi või juba ammendumas projekt, mille viimane uuendus saabus aasta (või enam) tagasi. Ilmselgelt ei ole mõistlik alla laadida pluginat, mis on juba elutsükli lõppfaasis.
Opereeri nii väheste pluginatega kui võimalik; pluginad, mida enam ei kasuta, kustuta täiesti – lihtsalt mitteaktiivsena hoidmine ei taga veebilehele piisavalt kaitset.
Tehnilise taibuga haldur saab end soovi korral sellega kurssi viia, kuid kui selleks aega ja tahtmist pole, pakume veebihooldusteenust. Standardiks on saanud, et ca 95% meilt veebilehe tellinud kliente võtab vastu ka meie hoolduspaketi ning nad ei kahetse, kuna selliselt püsib veeb kogu eluaja elujõulisena 🙂
Tagajärgedega tegelemine – varundus
Mida teeksid, kui oma veebilehele minnes avaneks seal järsku mingi Anonymous´i mask? Või kui ühtäkki ei saa enam endise parooliga WordPressi sisse logida? Kui sul on hooldusleping, siis ei pea selliste asjade pärast muretsema – kogu lehe regulaarne varundamine ja taastamine ründe korral sisaldub paketi hinnas ning kõik jätkub samamoodi.
Kui sul hoolduspaketti ei ole, siis veendu, et veebilehest – nii pluginatest, teemadest, baasfailidest, andmebaasist ja kõigest muust vajalikust tehakse reaalselt varukoopiaid, et need varukoopiad on isegi pärast suurt rünnakut kättesaadavad ning töötavad. Siingi on abiks tublisid tasuta tööriistu – meie soovitame UpdraftPlus backups nimelist pluginat, mille abil saab kogu veebilehe varundada ka veebiserverist välja, näiteks oma Google Drive kontole.
Loodan, et need mõttekäigud andsid väikese tõuke – kui oled juba veebilehe omanik, julgustan sind turvalisuse täiustamisel praktilisi samme astuma; kui oled alles veebilehte tellimas ja teemaga tutvumas, siis lisa oma hinnaküsimisvormile kindlasti turvalisuse punkt ning uuri, kuidas ja mil määral see tagatakse.
