Oma lehel kasutatavaid liideseid (plugins) tuleks uuendada, kuid teatud olukordades tasuks veidi oodata. Miks, selgitab Veebimajutuse partner, Sviiter Creative Agency tegevjuht Erkki Pung.
Liidesed saavad tihti uuendusi. Miks?
Tarkvaras on kõik arenemises, nagu ka muud asjad maailmas. Arendustel on peamiselt kolm põhjust.
Esmalt, turvaparandused. Pahavaratootjad ja häkkerid ei maga ning püüavad pidevalt leida uusi võimalusi olemasolevate süsteemide murdmiseks ning nakatamiseks. Need muudatused ja arendused on küllaltki äkilised ning nendega toimetatakse kindlasti alati esmases järjekorras.
Teiseks, sisulised arendused. Kui liides või plugin on pädev, siis tuleb sellele aegajalt ka sisulisi uuendusi. See on olukord, kus ei parandata niivõrd puudusi, kuivõrd luuakse võimekust juurde. On olukordi, kus teatud funktsionaalsuse kasutuselevõtt eeldab ka senise platvormi uuesti kirjutamist, mis võib tähendada, et kasutaja loodud rakendus enam ei tööta ning liidese kasutamise jätkamiseks tuleks teha uued seaded.
Kolmandaks, tasulised uuendused. Olukord, kus toimuvad muudatused, kas tasuta lahenduselt tasuliseks, või siis liidese pakkuja sisesed paketivahetusest sõltuvad toimingud. Sellistel juhtudel üldjuhul küll teavitatakse, kuid sageli on olnud ka juhtumeid, kus teavituse leiab kuskilt foorumist või tootja lehel ning rakenduse kasutajal pole selle kohta vähimatki aimu.
Kui olulised on uuendustega kaasnevad turvaparandused?
Kindlasti on olulised. Turvaparandused on iga liidese või rakenduse ASAP-toiming, kui nad soovivad oma klientuuri või kasutajaid hoida. Nagu öeldakse: head uudised levivad kiiresti, halvad veel kiiremini.
Millisesse ohtu lehe omanik ennast seab, kui ta uusimaid parandusi ei paigalda?
Ohte on mitmeid. On olnud juhtumeid, kus turvaauk võimaldab lehe koodi paigutada varjatud rämpsreklaami, kui ka hullemad juhtumeid, kui pääsetakse WordPressi tuuma ning saadakse ligipääs kasutajate andmetele või isegi serverile üldiselt.
Kuidas teada, kas mõni liides paneb mu veebilehe turvalisuse ohtu?
Ette on seda peaaegu, et võimatu teada. Arendaja saab vaadata ja hinnata koodi kvaliteeti ning selle põhjal anda hinnangu, kas plugini välja paistev struktuur on ehitatud kvaliteetselt või mitte. Üldjuhul ei ole selliseks avastamiseks aga projektis aega, mistõttu sellise kiire koodi ülevaatamisega ei saa kindlasti veenduda, et liides on ohutu. Ka väga ilusti ja põhjalikult kirjutatud koodis võib peituda turvaauk.
Mõistlik on jälgida teemakohaseid uudiskirju ja blogisid. Näiteks WordPressi kontekstis on väga head allikad Sucuri ja Wordfence. Just hiljuti avastati WordPressi versioonides 4.7.0 ja 4.7.1 kriitiline turvaprobleem.
Sellised teavitused võiks hea arendaja postkasti jõuda ülikiirelt, kuna kindlasti leidub maailmas neid, kellele see turvaauk just kasulik oleks. Need teavitused ei piirdu WordPressi endaga, vaid tihti kajastatakse ka natuke populaarsemates pluginides leitud turvaprobleeme.
Tihti öeldakse, et liideseid ei tasu paigaldada, kuna need lisavad veel ühe point of failure’i ehk võimaluse kus midagi võib valesti või katki minna. Mida sellisest lähenemisest arvate?
Nii ja naa. Tasuks kindlasti uurida esmalt liidese enda tausta ja sellele antud tagasisidet. Nende arenguid ning võimalikke lahenduste kiiruseid turvaaukude paikamisel. Me pakume oma WordPressi-klientidele ka monitooringut, kus jälgime nende veebirakendusse paigutatud plugin’ide ja rakenduste hingeelu ning skaneerime kokkulepitud perioodil ka serveris toimuvat.
Selline kuutasuline monitooring annab kliendile võimaluse keskenduda rohkem sisule ning mitte muretseda võimalike ohtude või uuenduste unustamise üle.
On olukordi, kus uuendus liidesele võib mingil põhjusel selle töö rikkuda. Kas ma peaks enne liidese paigaldamist mõnda aega ootama, või võib paigaldada kohe, kui uuendus saabub?
See sõltub uuendusest. Enamjaolt tasuks turvauuendused kiiremas korras rakendada. Kui tuleb sisuline uuendus, siis tasuks hetke oodata. WordPressi kasutajahulga juures on kindlasti keegi, kes tahab selle esimesena ära proovida ning sellest ka kuskil foorumis kirjutada.
Milliseid samme peaks lehe omanik tegema, et isegi siis, kui mõni liides loob turvaaugu, see lehe üldist tööd liialt mõjutada ei saaks?
Kui endal teadmisi napib, siis kõige kindlam on pöörduda oma arendaja poole. Sageli avastatakse turvaauk siis, kui midagi on lehel juba katki, leht on aeglane või tuleb teavitus serveri ülekoormuse tõttu.
Sellisel juhul on tegemist üldjuhul juba tulekahju kustutamisega ning enamusel ajal eeldab arendajal mitmeid tunde tööd lehe või rakenduse endise töötava lahenduse taastamiseks.
