Veebimajutus.ee hea partner Patchstack avaldab oma turvablogi ülevaadetes artikleid WordPressi turvateemadel, mida võiksid teada kõik selle platvormi kasutajad. Kui eelmises blogipostituses tutvustati WordPressi müüte ja väärarusaamasid, siis nüüd on aeg heita pilk sellele, millised uued regulatsioonid ja seadused selle platvormi kasutajaid puudutavad ning mida peaks neist teadma.
Kübermaailm muutub väga kiiresti ja turvaregulatsioonid astuvad koos sellega järjest suurema kindlusega meie igapäevaellu. Kui varem jäid WordPressi turvastandardid paljude jaoks pigem tagaplaanile, kuna tehniliste küsimustega tuli tegeleda eelisjärjekorras, siis nüüd on vähemalt meil siin Euroopa Liidus vaja järgida ka paljusid uusi seadusi ja regulatsioone, mis muudavad olukorda.
GDPR (General Data Protection Regulation ehk üldine andmekaitse regulatsioon) oli üks esimesi regulatsioone, mis tõi vastavusnõuded WordPressi maailma ning sundis kõiki kodulehe omanikke teatud lubasid oma kasutajatelt küsima.
Kuid lähiajal ootavad meid ees veelgi olulisemad muutused, mõned neist on juba ka toimunud.
PCI DSS-i versioon 4: uus standard sellest kevadest
PCI DSS versioon 4, millele peavad vastama krediitkaardiandmeid töötlevad veebilehed alates 31. märtsist 2024, tõi rohkem kui 50 uut nõuet kõigile kaupmeestele, kes aktsepteerivad krediitkaardimakseid, sealhulgas WooCommerce’i kasutajatele.
Märkimisväärne muudatus on see, et kaupmehed ei saa enam maksete töötlemise kolmandale osapoolele delegeerimisega neist nõuetest kõrvale hiilida.
Olulised nõuded, mida praeguseks kõik vastavad lehed peavad järgima, on järgmised.
- Nõue 6.3: turvavigade tuvastamine ja parandamine. Kohustuslik on turvavigade pidev monitoorimine ja kiire lahendamine.
- Mitmefaktoriline Autentimine (MFA). Veebisaidid, mis töötlevad makseteavet, salvestavad seda ja näitavad seda kasutajale, peavad jõustama mitmefaktorilise autentimise. Uus PCI DSS v4 ütleb üsna selgelt, et 2FA/MFA tuleks sisuliselt kasutusele võtta kõigi jaoks.
PCI osas võiksid kõik need, kes oma veebisaidil või poes krediitkaardimakseid vastu võtavad, selle standardi sisu lähemalt uurida.
Euroopa Kübervastupidavuse määrus: avatud lähtekoodiga tarkvara uued reeglid
Uus kübervastupidavuse (ehk uudissõnana küberkerksuse) seadus Cyber Resilience Act (edaspidi CRA) reguleerib turvalisuse haldust tarkvaratootjatele, hõlmates ka WordPressi pluginate arendajaid.
Kohustuslikud turvaauditid ja koodiülevaatused saavad nüüd normiks. Nõuete eiramine võib tähendada kuni 15 miljoni euro või 2,5% ülemaailmse käibe suuruseid trahve.
ELi uued küberjulgeoleku eeskirjad jõustusid 10. detsembril 2024, sealhulgas CRA, mis muudavad turvalisemaks kõik alates beebimonitoridest kuni nutikelladeni.
CRA jõustumisega hakkavad nüüd kehtima konkreetsed kohustuslikud küberturvalisuse nõuded kõikidele toodetele, mis on otseselt või kaudselt ühendatud teise seadme või võrguga (v.a täpsustatud erandid). Need nõuded kehtestatakse tootjatele ja jaemüüjatele.
CRA tagab:
- ühtlustatud eeskirjad digitaalse komponendiga toodete või tarkvara turule toomisel,
- küberjulgeoleku nõuete raamistiku, mis reguleerib selliste toodete kavandamist, kavandamist, arendamist ja hooldust ning kohustusi, mida tuleb täita väärtusahela igas etapis,
- kohustuse tagada hoolsuskohustus sellistele toodetele kogu elutsükli jooksul.
Miks on WordPressi turvavigade avaldamine nüüd eluliselt nii oluline?
WordPressi ja selle pluginate turvavigade avaldamine on WordPressi keskkonnas alati olnud vastuoluline teema. Mõned arendajad eelistavad probleeme vaikselt lahendada, kuid küberkurjategijate jaoks tähendab see lihtsamat saaki.
Siin on kolm kõige olulisemat põhjust, miks ei peaks arendaja vigu vaid enda teada jätma.
- Häkkeritel on alati eelis: nad otsivad aktiivselt turvaauke, samal ajal kui enamik arendajaid koodi regulaarseid turvaauditeid ei tee.
- Varjamine ei kaitse kasutajaid: isegi kui turvavigu püütakse peita, võivad häkkerid muudatused koodis kiiresti avastada.
- Kiire teavitamine vähendab tekitatavat kahju: hiljutine turvarisk populaarses WordPressi pluginas Bricks Builder näitas, mismoodi kiire ja läbipaistev suhtlus päästis paljud veebisaidid. Seda turvaauku kasutati ära viie tunni jooksul pärast haavatavuse avalikustamist, kuid arendaja nobe tegutsemine hoidis paljude veebide jaoks ära halvima.
Läbipaistvus annab ka konkurentsieelise
Arendajad peaksid nägema turvavigade avaldamises head võimalust usalduse loomiseks. Selge ja avatud suhtlus suurendab kasutajate kindlustunnet ning aitab arendajatel turul silma paista.
Tarkvara loojad võiksid luua turvavigade avalikustamise programmi ja mõelda näiteks auhindade süsteemile, et premeerida eetilisi häkkereid. Taolise programmi saab iga WordPressi plugina arendaja üles seada näiteks siin.
Kokkuvõttes tähendabki avatud lähtekood läbipaistvust ja vastutust. Pluginate arendajad vastutavad otseselt selle eest, kuidas nende tarkvara kasutajate veebilehtede turvalisust mõjutab. Kasutajad peaksid aga eelistama võimalikult avatud ja ausaid arendajaid, kes peavad turvastandardeid prioriteediks.
