Nii suured kui väiksed veebisaidid võivad langeda rünnakute ohvriks. Mõnikord ujutavad häkkerid kodulehe lihtsalt päringutega üle, nii et server ei jaksa veebilehti serveerida, halvemal juhul panevad üles mõne terroriorganisatsiooni üleskutse või varastavad krediitkaardiandmed ja ärisaladused. Kuidas oma kodulehte kindlustada, et pärast ei peaks piinlikkust tundma?
Valdav enamus, võiks öelda, et isegi peaaegu kõik ründed tehakse tuntud lohakus- ja teadmatusvigu ära kasutades.
Need seitse nippi aitavad niisama muukijad eemale hoida ja kodulehe turvalisemaks teha.
1. Lae oma kodulehe failid veebiserverisse ainult üle turvalise FTP
Tavalise FTP-liiklusega saadetakse muuhulgas üle interneti serverisse ka kasutajanimed ja paroolid nii, et neid on võimalik pealt kuulata. FTP ligipääsu saab turvata SSL-i / TLS-iga (programmides märgitud ka kui FTPS). Samuti on võimalik oma faile serverisse saada SSH failitranspordiga (programmides tihti märgitud kui SFTP).
Veebimajutus.ee administreerimisiliidesest leiab turvalise FTP-ligipääsu konto andmed SSH sektsioonist. Sealt näeb kasutajatunnust ja saab muuta parooli. SSH ja FTP programmides peab teadma veel ka porti, Veebimajutus.ee-s on pordi numbriks 1022.
2. Hoia oma veebisaidi tarkvara alati värskena
Vägagi iseenesestmõistetavat asja tuleb vahest meelde tuletada ka kogenud veebitegijatele: olgu kodulehte jooksutamas Wordpress, Joomla, Drupal või mõni muu sisuhalduslahendus, peab alati ära tegema kõik tungivalt soovitatavad turvauuendused.
Veebitarkvara tuleb uuendada niipea kui võimalik, sest mõnede eriti halbade turvaaukude puhul üritavad häkkerid võidu joosta ajaga, mil veebide omanikud kahjulikku auku märkavad ja enne oma sigaduse ära teha.
Nii on juhtunud näiteks mitmete Wordpressi ohtlike turvaaukude avastamise järel. Kuigi parandus võib saabuda loetud tundidega, leiavad pahategijad enne tuhandeid veebe, mille kallal kurja korda saata. Meie tagasihoidlikumad ja võõras keeles veebid võivad saada küll mõnepäevase ajavõidu, enne kui märgatakse neid muukima tulla, aga iial ei tea, millal just sinu veeb ette jääb.
Nii Wordpress, Drupal kui teised sisuhalduslahendused saadavad olulistest parandustest kohe e-kirja administraatori seadistatud e-posti aadressile. Hoolitse siis selle eest, et see aadress oleks õige ja kasutatav.
Serveri operatsioonisüsteemi ja andmebaasimootori turvalisuse eest hoolitseb juba serveriteenuse pakkuja. Heal veebimajutajal on uuendused alati kiiresti tehtud.
3. Parool olgu piisavalt pikk ja keeruline
Üldiselt kehtib see abinõu igal pool, et parool peab olema piisavalt keeruline, et seda masinaga või käsitsi ära ei arvataks. Eriti aga peab hoidma turvalisena administraatori parooli, mis annab ligipääsu kogu veebi tähtsatele tagatubadele. Kuid mitte ainult. Ka kasutajate paroolid veebis peavad olema kindlad.
Selleks, et paroolid poleks nõrgad, nõua kasutajatelt, et need salasõnad oleks kindla minimaalse pikkusega, sisaldaksid suur- ja väiketähti, numbreid ja kirjavahemärke.
Oma veebisaidi seadetest saab uuemate sisuhaldussüsteemidega määrata lubatud paroolitugevuse, nii et kasutajad ei saa ise oma salasõnasid liiga nõrgaks muuta, kas liiga lühikeseks või sõnaraamatust leitavaks äraarvatavaks sõnaks.
4. Kasuta turvalist SSL-i, see ei maksa palju
Ka paroolid võivad üle interneti saates jääda kõrvaltvaatajaile nähtavaks. Selleks, et kasutaja ning veebi vaheline suhtlus oleks igati turvaline, kasutatakse SSL-i (Secure Sockets Layer).
Turvalise veebi tunneb ära veebiaadressi järgi: see algab kujul https (tavaline, turvamata veeb algab kujul http). Veebisaidi omanikuna tuleb turvalisuse tagamiseks hankida turvasertifikaat. Veebimajutus.ee klientidel on võimalus kasutada tasuta Let's Encrypt SSL sertifikaati!
5. Veateated öelgu hädavajaliku, aga mitte rohkem
Hea info võimalike turvaaukude kohta peitub liiga avalikes veateadetes, mis kirjeldavad kõrvalistele täpselt ära, mismoodi koduleht on tehtud ja mis asub “karu kõhus”.
Andmebaasi veateated, PHP jooksutamise vead ja muu oluline võiks olla peidus ja kasutajale tuleks teada anda vaid üldistest põhjustest. Logifailides, kuhu pääsevad ligi vaid volitatud esindajad, on kogu vajalik info niigi kirjas ja seda pole vaja maailmale näidata.
Samuti võib kasuks tulla napp info näiteks kasutajate sisselogimisel. Kui veateade annab teada, et parool või kasutajatunnus on vale, tuleb neid mõlemaid ära arvama hakata, aga kui teatatakse, et näiteks parool on vale, siis saab juba kasutaja nime kohta kinnituse ja edasi võib keskenduda vaid parooli häkkimisele.
6. Vaata, mida serverisse üles laetakse
Failide üleslaadimise lubamine on veidi riskantne, kuid riske saab alati maandada. Üleslaetava failiga võib serverisse sattuda kahjulikke skripte isegi siis, kui need lubatud failid on vaid pildifailid.
Faililaiendeid ja isegi faili sisu kohta infot andvat MIME tüüpi on võimalik võltsida, et troojalane märkamatult sisse toimetada. Näiteks pildifaili kommentaaridesse saab peita programmikoodi või pakkida pildi sisse midagi käivitatavat.
Üks lihtne võimalus kasutajate veebis üleslaetud failide käivitamine ära keelata on seadistada piltide sisemise kataloogi õigusi (CHMOD).
Teine ja rohkem veebiseadistamise oskusi nõudev lahendus on muuta selles kataloogis asuva .htaccess faili sisu nii, et üleslaaditavaid faile ei saaks lisada mitme faililaiendiga (näiteks pilt.jpg.php).
Kolmas võimalus on lubada üleslaaditud piltide poole pöörduda ainult mõnel serveris oleval programmil. Tuntud sisuhalduslahendused hoolitsevad juba ise piltide turvalise üleslaadimise eest ja kui mõni seade serveris on kogemata vale, antakse sellest administraatorile kohe teada.
7. Hoolitse varukoopiate eest
Juhul, kui koduleht häkiti ja andmed kustutati, aitab ainult varukoopia. On mitmeid erinevaid teenuseid, mis oskavad kodulehe serverisse automaatselt logida ja sealt vajalikud varukoopiad salvestada, aga kõige tähtsam on ikkagi teenusepakkuja enda usaldusväärne varukoopiateenus.
Veebimajutus.ee klientide andmetest tehakse igapäevane varukoopia, mida säilitatakse seitse päeva. Mitu varukoopiat aitab siis, kui näiteks häkkija tegutseb alguses vaikselt ja võtab veebi maha alles teisel või kolmandal päeval. Siis on abi varasematest varukoopiatest, et koduleht uuesti üles saada.
Avafoto: Kristina D.C. Hoeppner
Algne artikkel avaldati Geenius.ee lehel meie blogis.
