Veebilehe ründamiseks on tuhandeid meetodeid ja sadu turvaauke. Kõigil neil eraldi ei jõua keegi silma peal hoida. Küll aga on mõned lihtsad reeglid, mis aitavad selle ohtudemere vastu üsna mõistlikult seista ja lubavad veebiomanikul rahulikumalt magada.
Wordpressi kasutab 20% veebisaitidest, seega tegemist on populaarseima sisuhalduse lahendusega. Suur populaarsus tähendab loomulikult seda, et igasuguste turvaaukude ja ründevõimaluste vastu on hoopis suurem huvi – võimalikke kohti, kuhu sisse murda, on palju. Sellepärast peab selle lihtsa mootoriga varustatud veebil ka rohkem silma peal hoidma. See pole aga üle mõistuse keeruline, kui alustada nendest viiest lihtsast reeglist.
1. Uuenda tuuma
Alustame põhilisemast – Wordpress peab olema alati uuendatud. Enamus uuendusi sisaldavad ka mõne võimaliku turvaaugu või nõrkuse lappimist. Mida hiljem uuendada, seda suurem on tõenäosus, et keegi satub ka sinu veebi peale, kus on mõni nõrkus, mida ära kasutada. Wordpressi uuendamine on tavaliselt lihtne ja selle kohta saadetakse veebiomanikule e-kirjaga teade, kui oma koduleht või Wordpress.org konto vastavalt seadistada.
Alati, kui logid oma Wordpressi lehe administraatorina sisse, ilmub ka veebilehele selgelt silma torkav teade, kui välja on tulnud uuem Wordpressi versioon. Klõpsates sellel lingil, saab installida kiirelt ja lihtsalt uuenduse ilma midagi rohkem tegemata. Peaaegu alati ongi uuendus vaid mõne klikiga tehtav, vahest harva läheb vaja käsitsi uuendamist, kui peab oma uuendusfailid FTP-sse laadima. Kuid ka see pole väga keeruline. Juhend on saadaval siit.
2. Installi vaid vajalikud lisad ja uuenda ka neid
Paljud lisamoodulid (pluginid) kipuvad ka vananema ja osa neist võivad olla hüljatud – parim viis turvaaukude vähendamiseks on paigaldada vaid need Wordpressi lisandmoodulid, mis on tõesti hädavajalikud. Eemalda kõik mittevajalikud moodulid ja uuenda kasutatavaid, et need oleksid alati värsked. Kui lisamoodulit pole mitu aastat uuendatud, on see arvatavasti juba ebaturvaline.
Wordpressil on ligi 50 000 lisandmoodulit ja neid saab alla laadida usaldusväärselt Wordpressi enda lehelt. Igalt poolt mujalt alla laadides ja kodulehele paigaldades tuleb enne veenduda, et tegemist on ikka usaldusväärse allikaga. Ainus põhjus mujalt kui Wordpressi lehelt paigaldamiseks on see, kui moodulit pole Wordpress.org lehelt saadaval. Sel juhul tekib õigustatud küsimus, miks pole? Kas ei vasta see äkki turvareeglitele või teeb midagi kahtlast?
Sama kehtib ka Wordpressi teemade kohta. Needki võivad olla ebaturvalised või sisaldada kahjulikku koodi.
Kahtluse korral peaks Google´i otsinguga lisainfot hankima, kas see lisamoodul või teema on ikka usaldusväärne või mitte.
Foto: (CC) Pixabay
3. Sisselogimine turvaliseks
Väga palju sissemurdmisi tehakse endiselt toorest jõudu kasutades: üritatakse administraatori parooli ära arvata. Selle vastu on esmane rohi keeruline parool. Teise kaitsevahendina võiks administraatori kasutajanime ära muuta keerulisema vastu. Kolmandana tasub mõelda juba mitme-astmelise autentimise ja vale parooli sisestamiste arvu piiramise peale. Toore jõuga sissemurdmise muudab väga vaevaliseks sisselogimise blokeerimine teatud ajaks, kui näiteks on salasõna viis korda järjest valesti sisestatud. Kui üritatakse läbi proovida tuhandeid kombinatsioone, läheb viiekaupa proovides ja vahepeal näiteks 10 minutit oodates ikka väga kaua aega.
Mitme-astmeline autentimine aga aitab turvalisust tõsta siis, kui kogemata on salasõna lekkinud – kas kuskil võrguavarustes turvamata netiliiklust pealt kuulates või tavalisel moel mõne kasutaja poolt salasõnaga jäetud paberi ripakile jätmisest. Siis aitab Wordpressi mõni lisamoodul, mis nõuab uuest seadmest sisse logides näiteks mobiili või mõne teise seadmega lisa-autentimist.
4. Vali õige veebiteenuse pakkuja
Wordpressi majutamiseks vali teenusepakkuja, kes toetab Wordpressi, vajadusel uuendab seda automaatselt ja pakub (tasuta) turvalist HTTPS ühendust. Veebimajutuses saab Wordpressi paigaldada ühe hiireklõpsuga otse veebiliidesest. Kõik vajalikud esmased seadistused ja turvaseaded tehakse automaatselt ja hiljem saab ise tarkvara kohendada oma vajadustele vastavaks. Teenusepakkuja hoolitseb ka selle eest, et automaatselt paigaldatud Wordpress oleks optimeeritud ja kiire ning ei koormaks serverit ega avaneks kasutajate jaoks liiga aeglaselt. Samuti on oluline, et varundus oleks töös ja vajadusel saab oma kodulehe taastada, kui midagi juhtub. Tasuta võimalik kasutada ka turvalist HTTPS ühendus.
5. Paigalda turvalisust tagavad lisandmoodulid
Alati ei jõua kõik lisandmoodulid ega Wordpress ise ootamatult ilmnenud turvaauke kohe lappida. Sel puhul aitavad turvalisust tagavad lisamoodulid: Näiteks Bulletproof Security hoolitseb failide õiguste eest, logib sissetungimiskatseid, tegutseb andmebaasi varundajana ning hoolitseb lihtsamate rünnete ärahoidmise eest. Sarnased kõik-ühes turvamoodulid on ka Sucuri Security, iThemes Security ja Wordfence.
