Kujutame hetkeks ette oma unistuste kodu ehitamist. Tahame, et see oleks funktsionaalne, mitmekülgne ja hubane nii meile endale kui külalistele. Kuna kodu on kindlus, peab see ennekõike olema aga turvaline ning kõiksuguste ohtude eest kaitstud. Samad põhimõtted kehtivad ka veebilehe puhul. Kuidas turvalisust WordPressis tagada, kirjutab Kristjan-Jaan Kaptur Pilvepank.ee-st.
Tehniliselt ei eksisteeri ühtegi veebilehte, mis oleks täielikult ründajate eest kaitstud. Rünnakud toimuvad pidevalt, selle taga ei pruugi peituda mõni James Bondi filmide pahalase sarnane kurikael. Ainus viis neid täielikult ennetada oleks veebileht lihtsalt maha võtta ja ära peita, aga siis kaoks ju veebilehe mõte.
Enamasti langevad rünnakute ohvriks esmakordselt veebimaailma põnevasse maailma sukeldujad. Seega kui oled oma kodulehte või veebipoodi parasjagu üles ehitamas, tasub teiste vigadest õppida ning mõned turvalisuse põhitõed omale selgeks teha.
Sisuhaldusplatvormiga WordPress on tõenäoliselt kõik veebilehe omanikud n-ö sina peal enamasti sellepärast, et sel platvormil jookseb ligikaudu 75 miljonit veebi. Nii ongi mõtet keskenduda just WordPressi puudutavatele turvanõuannetele.
Uuenda WordPressi ja Plugin´e!
Nii WordPressist kui ka selle lisamoodulitest ehk Plugin´idest ja ka teemadest avastatakse alatasa suuremaid või väiksemaid turvaauke, mida parandatakse kõige värskemate versioonide väljalaskmisega. Sellepärast tasubki oma veebileht hoida alati kõige uuema versiooniga, mis lisaks parandatud turvaaukudele loob vahel ka mooduseid rünnakute ennetamiseks.
Pisemad uuendused integreerib WordPress oma süsteemi automaatselt, ent laiemate värskenduste korral peab sekkuma kas veebilehe omanik või haldur. Sellepärast tuleb neil silm kogu aeg peal hoida.
Uuendamise ja halduse kohta võib lähemalt lugeda siit: pilvepank.ee/veebihaldus-kellele-ja-miks/.
Kasuta tugevat parooli
Salasõna võib tunduda arhailise lahendusena, kuid tugeva parooliga see töötab ning võib veebilehe omanikku hiljem tõsisest peavalust säästa. Veebileht ise võib olla korralikult uuendatud ning täis kõige moodsamat turvatehnoloogiat, ent piisab vaid ühe kasutaja nõrgast paroolist, et häkker või ründaja kõigele sellele vee peale tõmmata saaks.
Kui ise keerukat parooli välja mõelda ei suuda, võib kasutada abistavaid kodulehti nagu strongpasswordgenerator.com või LastPassi nimelist teenust. Kui veebilehel on mitu kasutajat, siis tuleb paluda neil kindlasti luua võimalikult tugev salasõna. Kindlasti pole selleks näiteks Peeter123.
Lisameetmena on abiks sisselogimisvõimaluste piiramine ning 2FA ehk kaheastmelise autentimise kasutamine.
Varunda üle krüpteeritud ühenduse
Kindla aja tagant tuleks veebilehest luua koopiaid, mis sisaldavad endas kodulehe taastamiseks olulisi andmeid. Kasvõi juba sellepärast, et kui veebileht peaks mingil põhjusel töötamast lakkama, saavad külastajad lehelt ikka tähtsama info kätte.
Varundamiseks soovitatakse turvalisi pilveteenuseid või füüsilisi salvestusseadmeid. Esimestest on tuntud näiteks pistikprogrammid Duplicator või BackupBuddy. Kindlasti peab varundamine toimuma üle krüpteeritud ühenduse ning andmed peavad olema taastatavad.
Kasuta spetsiaalseid turvamooduleid
Kuna turvalisus on veebilehtede loomisel väga tähtis, on ka selle tagamiseks vajalike lahenduste nimekiri päris pikk ja kirju.
Valvekoerana töötavaid pistikprogramme ehk Plugin´e on palju, ent nende valmimisel tuleks kindlasti teha taustauuringut ning analüüsida igaühe populaarsust. Viie tärni ehk maksimaalse reitingu, ent olematu lisainfoga turvamoodul ei pruugi olla üldse nii usaldusväärne, kui esmapilgul paistab.
Kindlasti võib soovitada WordPressile suunatud plugin´i WordFence, mis muuhulgas aitab kodulehte ka kiiremaks muuta. Levinud on ka AiO Security, mis näiteks suudab ümber nimetada WordPressi “admin” ehk administraatori konto, muudab andmebaasi tabeli prefiksit ehk eesliidet ning sisu asukohta, et ei saaks alati tüüprünnakuid kasutada.
Plugin´ide kõrval puudutab ohutuspõhimõtete jälgimine ka WordPressi teemasid.
Vanad head põhitõed ja loogika
Kordamine on tarkuse ema. Turvatunde saavutamisel räägitakse veebilehtede loomise maailmas alatasa samu jutte, ent neil on end kinnitanud ja kontrollitud tõepõhi all.
Veebilehele sisse logides peab veenduma, et kasutatavas arvutis ei oleks mõnda salakavalat viirust või pahavara, veebiavarustes surfates ei tasuks kindlasti ka igale Nigeeria printsile truudust vanduda.
Hea veebihügieen on turvalisuse vundamendi üheks alustalaks. Abiks selliste probleemide vältimisel on kõikvõimalikud tulemüürid ning antiviirused.
Veebimajutus kodulehele tuleks kindlasti soetada tunnustatult pakkujalt, kes tegeleb igakülgselt ka nõustamise ning klientide abistamisega. Kui endal aega veebilehega tegeleda pole, peaks pöörduma veebihalduri poole, kes turvalisuse tagamise eest pidevalt vastutab ning sellega tegeleb.
