et
Veebimajutus Logo
Veebimajutus Logo
0
Veebimajutus.ee

Hüppelaud veebis alustajale - vaata siit
Kõik artiklid Uudised Äri Disain Töövahendid Koduleht ja e-pood Turundus Eksperdile
Sulge
5 min lugemine

Veebiturvalisuse seitse soovitust: nii saab oma kodulehe oluliselt häkkimiskindlamaks

Veebirebane
31. jaan 2017

Kuigi suure osa kodulehtede turvalisuse tagamisest teeb ära veebiserveri teenuse pakkuja, peab ka ise asjad korras hoidma nii oma kodulehe seadistustes kui kasutatavas tarkvaras.

Kõiki levinud sisuhaldusi uuendatakse pidevalt, sest aeg-ajalt avastatakse nii Wordpressis, Drupalis, Joomlas kui muudes sisuhalduse tarkvarades turvaauke, mis ära parandatakse. Aga lisaks peab hoolitsema ka ise oma veebi turvalisuse eest, vähemalt nende seitsme soovituse osas.

Siin seitse asja, millele veebiturvalisuse osas oma kodulehel tähelepanu pöörata.

1. Paigalda alati hädavajalikud turvauuendused

Esimene ja viimane soovitus, tegelikult vajalik igal ajal, on hoida oma kodulehe tarkvara värskena. See on küll iseenesestmõistetav, kuid ikka ja jälle murtakse mõne vana turvaaugu tõttu maha hulk veebe sellepärast, et keegi ei ole aastaid või kuid suvatsenud turvauuendusi paigaldada.

Wordpressis ja Drupalis on see uuemates versioonides ülilihtne: tuleb vaid administraatorikeskkonnas uuendus käivitada. Enam pole mingit FTP-sse failide laadimist, seadistamist ega lappimist, kõik käib tänapäeval automaatselt. Tee see üks lihtne liigutus ära niipea, kui võimalik.

2. Peida paljastavad teated

Kodulehe veateadetest võivad häkkerid saada palju infot selle kohta, kui hästi on koduleht kaitstud või mida peaks järgmisena teadma, et sisse murda. Näiteks kui kuvatakse vale kasutajanime või parooli puhul veateade, siis teeb sissemurdmise poole raskemaks see, kui jätta ütlemata, kas vale oli kasutajanimi või hoopis parool. Kasuta üldisemat teadet "Kasutajanimi või parool on vale" ja kasutajakonto andmete äraarvajal on poole rohkem lisatööd. Seda ongi vaja.

Samuti ei tohiks veebilehe veateated paljastada, mis on masinavärgi kõhus. Liigselt paljastavad andmebaasipäringute veateated või muud vead võiks avalikkuse eest üldse ära peita ja näidata vaid neile, kellel on administraatoriõigused. Teistel pole vaja detaile teada, piisab lakoonilistest sõnumitest "viga serveris" või "andmebaasi viga" ja aitab küll.

3. Nõua tugevaid paroole

Kodulehe haldajal võib küll olla tugev parool administraatorina sisselogimiseks, kuid kas ka sisutoimetajad, moderaatorid või tavakasutajad teevad seda?

Password-haldlag.jpg

Selleks, et ei murtaks ka teiste kasutajate salasõnasid, tuleb kehtestada keerukuse reeglid. Wordpressis, Drupalis ja Joomlas saab määrata, kui keerukas peab olema salasõna, et see oleks vastuvõetav. Kehtesta miinimumpikkus, tähemärkide ja numbrite ühes paroolis koos kasutamise nõue, suur- ja väiketähtede kasutamise nõue ja nii edasi. Peaasi, et lihtsalt jõuga poleks võimalik parooli ära arvata.

Uued sisuhaldustarkvarad seisavad ka masinliku äraarvamise vastu, blokeerides valede salasõnade sisestaja IP-aadressi teatud katsete arvu järel mõneks ajaks, et ei saaks toore jõuga lõpmatult proovima hakata.

4. Paroolid ja muu tundlik info peavad olema krüpteeritud

Jällegi üks üsna iseenesestmõistetav nõue, mis vahest kipub ununema, on kogu tundliku info, eriti aga paroolide salvestamine serveris krüpteerituna ja võimalikult väheste ligipääsuõigustega. Krediitkaardiandmetele on kehtestatud panganduses erinõudmised, nende kohta saab lugeda ülevaadet sellelt lehelt.

Raskemaks teeb lihtsate salasõnade äraarvamise "soolamine" ehk krüpteerimise tehnoloogia salt, mis lisab igale salasõnale ette või taha mõned lisasümbolid, mis teeb sõnaraamatu järgi paroolide äraarvamise veelgi raskemaks.

5. Kasuta krüpteeritud veebiliiklust, SSL ja HTTPS olgu standardiks

Kuna HTTPS on nüüd Veebimajutuses tasuta kättesaadav kõigile klientidele, siis võiks see olla iga veebilehe standardiks. HTTPS-i sisselülitamine on iseteeninduskeskkonnast lihtne ja see ei maksa midagi. Veebimajutus.ee teenustes selleks kasutatav Let´s Encrypt on tasuta. HTTPS krüpteerib kogu veebiliikluse ja kasutaja sisestatud salasõnad või krediitkaardinumbrid pole üle avaliku Interneti liikudes pealtkuulatavad.

6. Väldi XSS-rünnakuid

XSS ehk Cross-Site Scripting tähendab, et võõras veebis saab käivitada skripte, mis on sinna "istutatud" näiteks mõne veebivormiga. Et seda ei juhtuks, kasuta tarkvara, mis puhastab kõik veebivormi kaudu sisestatud andmed HTML-ist ja muust koodist. Enamasti on see levinud uusimate sisuhaldustarkvaradega juba tagatud, kuid isetehtud veebivormidega peab hoolega vaatama, et tahtmatult mõnda turvaauku niimoodi ei tekitaks.

7. Kasutajate üleslaetud failid olgu eraldi ja kindlas kohas

Kui oled teinud veebi, kuhu kasutajad saavad süütuid faile, näiteks pilte üles laadida, tuleb ikkagi valvel olla. Pildifaile saab lihtsalt muuta niimoodi, et üles laadides ilma täiendava kontrollita tunnistatakse need päise ja faililaiendi järgi pildifailideks, kuid tegelikult võib tegemist olla kahjuliku koodiga, näiteks PHP-failiga. Kui üleslaetud failid asuvad avalikult ligipääsetavas kataloogis, ongi kuri karjas: keegi võib selle koodi eemalt käivitada.

Seega peaksid kõik võõraste saadetud failid olema serveris kindlalt kaitstud eraldi kataloogis, mis pole väljastpoolt ligipääsetav. Veelgi turvalisem on need failid bitijadana (blob) säilitada andmebaasis, kuid suurte piltide puhul võib see andmebaasi liiga suureks ja aeglaseks teha.

Veebirebane

Veebimajutus.ee pakub oma klientidele mugavusteenust domeeni, e-posti, kodulehe majutuse ja tööriistade vallas. Elkdata OÜ on tegutsenud 27 aastat, teenindades igapäevaselt pea 28 000 klienti, luues neile väärtust läbi kiirete ja lihtsate veebiteenuste.

Vaata kõiki autori artikleid (762)

Kasutajad kes lugesid seda artiklit lugesid ka neid

Millega veel jälgida oma veebi külastajaid lisaks Google Analytics´ile?
Veebimajutuse kliendid: Saadaval on automaatne WordPressi turvakaitse
Wordpress äri kodulehe tegemine
8 tehisintellekti moodulit WordPressile, mis panevad veebi ise tööle
Mis on backlink ehk tagasilink ja kuidas see mõjutab sinu veebilehe kohta Google´i otsingus?
Kliendi lugu: Meemeistrite e-pood sai üleöö iluasjast oluliseks müügikohaks
Veebimajutus on Facebookis. Sina oled kah.
Saame sõpradeks? Meil on Sulle palju rääkida, küllap Sul meilegi. Teeme ära?
Veebimajutus.ee
fox-head fox-head
Ka veebis tuleb targalt tegutseda. Eriti veebis!
Veebimajutuse 28 000 klienti rääkisid ja meie kuulasime - oleme teie vajaduste ning tagasiside põhjal loonud blogi, milleta ei saa hakkama ükski edukas e-ärimees. Eesti tippkirjutajad toovad Sinuni värskeimad nipid, uudised ja nõuanded. Ükski trend ei jää saladuseks ning väljakutse ületamatuks!
Klienditeenindus
E-N R
9:00–17:00 9:00–14:00
+372 6835 188 abi@veebimajutus.ee
Helista Saada email
Küsi julgelt, kui saame kuidagi aidata
Elkdata OÜ
+372 6835 188
abi@veebimajutus.ee
Telliskivi 60/2
10412 Tallinn, Eesti
Lepingud ja tingimused
Domeeni registreerimine E-posti majutus ja kontor Kodulehe majutus ja e-post Kodulehe ise-tegemine WordPressi paigaldamine Tasuta kolimisabi SSL sertifikaat
Blogi ja e-tarkusterad Partnerprogramm Klienditugi Kontaktandmed Firmast Uudised Koostööpartnerid
Lisasime diili sinu ostukorvi, said ikka mega hea diili!
Tagasiside
Uudised, õpetused ja kavalad veebinipid. Otse meilile.
Sisesta oma e-mail ja liitu meie nädalakirjaga:
Success
Täname liitumise eest!