Väikese veebiagentuuri Roosa Vaarikas OÜ tegevjuht Mathias Mõttus jagab mõtteid selle kohta, kuidas hoida värskelt avatud WordPressi veebilehte turvalisena.

Sul on valminud kaunis ja funktsionaalne WordPressi-veebileht – palju õnne! Enne veel, kui asud hoolega sisulehti ümber sõnastama, uusi postitusi kirjutama või e-poes toodete hulka suurendama, soovitan võtta hetke, et mõelda läbi veebilehe turvalisuse küsimus.

Ma saan aru, et sa ei ole pankur, kes endale miljonite liigutamiseks kõrgtehnoloogilise portaali luua lasi, kuid siiski, sinu veeb on resurss, mille vastu tekkis momentaalne huvi. Veel enne, kui kliendid jõuavad su kontaktilehe läbi lugeda ja esimese toote tellida, on lehte külastanud kümned robotid, kes lehe koodi kenasti üle vaadanud, võimalikud esmased haavatavused üle kamminud ning omavad juba hetkel paremat pilti turbest, kui sina veebilehe tellijana.

Mõelda vaid, et värske autoomanik jätab oma äsja soetatud uhke Mersu Läti piiri lähedal poe ees käima, võtmed ees, uksed lahti ning loodab, et poole tunni pärast poest tulles on masin veel alles – võib-olla on, kuid ilmselgelt saaks hoolas autoomanik käituda paremini ilma, et see nõuaks temalt suuri erialateadmisi, 10-aastast kogemust autonduse vallas ja suuri lisakulutusi. Samuti saab veebilehe värske omanik mõelda läbi oma veebilehe turvaküsimused ning teha tähtsad otsused, ilma et ta oleks pidanud aastaid küberkaitse erialal õppima.

Veebilehe turvalisuse teema võiks jaotada kolme osasse: ennetamine, reaalne kaitse ning tegelemine tagajärgedega. Kirjutame need veidi täpsemalt lahti.

Turvaintsidentide ennetamine – paroolid, ligipääsud ja kasutajaõigused

WordPressi sisse logimise kasutajanimi ja parool peaksid olema unikaalsed ja keerukad, samas meeldejäävad; igal WordPressi kasutaja nii madalates õigustes, kui tema puhul võimalik ning nende e-maili aadressid profiilis korrektsed – selle abil on võimalik parooli taastada/vahetada.

Parooli tugevuse määramiseks sobib hästi WordPressi sisse ehitatud parooli tugevuse generaator, mis on nähtav kasutaja lisamisel või muutmisel. Kuid vähemtähtis pole kasutajanime valik – ära mitte kunagi kasuta WordPressis kasutajaid “admin” ning “domeeninimi” (näiteks, kui Su domeeninimi on tooriistapood.ee, siis kasutajanimi “tooriistapood” olgu välistatud – selline haavatavus kasutatakse kiiresti ära.)

Veebimajutusega seotud paroolid (veebimajutuse iseteenindus, FTP-kasutaja(d), MySQL andmebaasi parool) peaksid olema samuti hästi kaitstud ning kõrvaliste isikute eest kättesaamatud. Ning kui sinu veebilehel pole veel SSL-sertifikaati, siis sisuliselt “jagad” oma paroole maailmaga, sest samal ajal kui sina Elroni vagunis kohvi rüüpad ja postitust tipid, on uudishimulikul IT-üliõpilasel sinu parool teada.

Pikk jutt lühidalt – kui KÕIK on tehtud väga turvaliselt, aga Sina otsustad panna oma kasutajanimeks “admin” ja parooliks “password123”, siis hiljemalt kuu aja pärast on sinu leht “häkitud”.

Reaalne kaitse – veebimajutus, tulemüür, monitooring, uuendused!

Oluline on, kus sa oma veebi majutad – kelle halduses asuvad failid ja andmebaasid. Meie soovitame Veebimajutus.eed, on ka teisi häid valikuid, kuid kindlasti ära arva, et kellegi kodus tiksuv vana lauaarvuti sinu veebi majutajana oleks sobiv koht raha säästmiseks.

WordPressi baasversioon tuleb hoida ajakohasena, samuti tuleb uuendada lisapluginad ja teemafailid, sest uuenduse tegemata jätmine on turvaauk. Meie poole on aja jooksul pöördunud mitu klienti, kes on oma eelmise veebilehe rünnaku ohvriks jätnud – kahjustada on saanud maine, kaotatud mõnigi potentsiaalne klient, hävitatud andmed ning kaasnenud on kulud.

Kõik soovivad sellist olukorda ennetada – seega tasub kasutada pluginaid nagu näiteks “Wordfence”, mis monitoorib veebilehte, annab ülevaateid rünnakukatsetest ja võrdleb pluginate versioone repositooriumitega, ning plugin “iThemes security”, mis aitab jõustada täiustatud turvasätteid nurjunud sisselogimiskatsete piiramisest IP-aadressite blokeerimiseni välja.

Samas ei tohiks paigalda suvalisi “abiprogramme”, vaid valida välja ja kasutada vaid 1-2 usaldusväärset tulemüüri/viirustõrjepluginat, vastasel juhul lähevad need üksteisega konflikti või saavad ise potentsiaalseteks turvaaukudeks. Pluginad olgu abivahendeiks, eelkõige tuleb hoolitseda selle eest, et oleks olemas inimene, kes oskab need õigesti tööle panna, neist kasulikku infot välja lugeda ning seeläbi lehekülge turvalisena hoida.

Tundmatud pluginad võivad sisaldada endas pahatahtlikku koodi, mille abil saab potentsiaalne kurjategija endale “tagaukse” sinu lehele. Õiget pluginat leides on sinu jaoks tähtis, et see teeks, mida vaja, et see ei oleks turvanõrkuseks ning et sa ei peaks seda paari päeva pärast välja vahetama. Seega:

a) Veendu, et plugina autor on usaldusväärne ning et plugin teeb seda, mida tegema peab (plugina reiting üle 4.3, plugina arvustused asjalikud, plugina veebileht/dokumentatsioon/abifoorum, allalaadimiste hulk kõrge)

b) Püüa tuvastada, millises elutsüklis plugin on – kas hoogu koguv startup, kaua ja stabiilselt toimiv asi või juba ammendumas projekt, mille viimane uuendus saabus aasta (või enam) tagasi. Ilmselgelt ei ole mõistlik alla laadida pluginat, mis on juba elutsükli lõppfaasis.

Opereeri nii väheste pluginatega kui võimalik; pluginad, mida enam ei kasuta, kustuta täiesti – puhtalt mitteaktiivsena hoidmine ei paku veebilehele piisavalt kaitset.

Tehnilise taibuga haldur saab end soovi korral sellega kurssi viia, kuid kui selleks aega ja tahtmist pole, pakuvad mitmed veebide valmistajad hoolduspaketi teenust, näiteks Roosa Vaarikas OÜ haldab sel moel enamikku omavalmistatud veebilehti.

Tagajärgedega tegelemine – varundus

Mida teeksid, kui oma veebilehele minnes avaneks seal järsku mingi Anonymuse mask? Või kui ühtäkki ei saa enam endise parooliga WordPressi sisse logida? Kui sul on hooldusleping, siis ei pea selliste asjade pärast muretsema – kogu lehe regulaarne varundamine ja taastamine ründe korral sisaldub paketi hinnas ning kõik jätkub samamoodi.

Kui sul hoolduspaketti ei ole, siis veendu, et veebilehest – nii pluginatest, teemadest, baasfailidest, andmebaasist ja kõigest muust vajalikust tehakse reaalselt varukoopiaid, et need varukoopiad on isegi pärast suurt rünnakut kättesaadavad ning töötavad. Siingi on abiks tublisid tasuta tööriistu – meie soovitame UpdraftPlus backups nimelist pluginat, mille abil saab kogu veebilehe varundada ka veebiserverist välja, näiteks oma Google Drive kontole.

Loodan, et need mõttekäigud andsid väikese tõuke – kui oled juba veebilehe omanik, julgustan sind turvalisuse täiustamisel praktilisi samme astuma; kui oled alles veebilehte tellimas ja teemaga tutvumas, siis lisa oma hinnaküsimisvormile kindlasti turvalisuse punkt ning uuri, kuidas ja mil määral see tagatakse.

Artikkel ilmus algselt Veebimajutuse blogis.