8 olulist küsimust ja vastust: kuidas teha koduleht turvaliseks ja selle eest hoolitseda?

Kodulehe turvamine on elementaarne, millega tuleb tegeleda, aga kuidas sellega hakkama saada, kui spetsialisti pole alati käepärast? Veebi turvamisest ja hooldusest räägib põhjalikult Raido Kannel agentuurist Gramet Design ja soovitab, mida tuleks oma veebiga kindlasti teha ning mida mitte.

1. Millised on kõige olulisemad sammud ja parimad tavad oma  WordPressi veebilehe uuendamisel ja kui tihti peaks seda tegema?

Uuenda alati oma WordPressi veebileht uusimale põhiversioonile. Need uuendused sisaldavad sageli olulisi turvaparandusi, mis aitavad vähendada rünnakute riski.

Uuenda ka WordPressi teemasid ja pistikprogramme, mis on kodulehel kasutusel. Vananenud teemad ja pluginad võivad sisaldada turvavigu, mida kurjategijad võivad kurjasti ära kasutada.

Samal ajal vaata üle ja eemalda kõik kasutamata teemad ja pluginad. Need võivad olla turvariskide allikaks.

Kasuta ainult usaldusväärseid teemasid ja pistikprogramme, laadides neid alla ainult kindlatest allikatest, näiteks WordPressi ametlikust teema- ja pistikprogrammide kataloogist või usaldusväärsetelt arendajatelt.

Kontrolli enne allalaadimist ja kasutamist teiste kasutajate tagasisidet, hinnanguid ja arendaja mainet.

Väga oluline on kasutada veebilehel tugevaid ja unikaalseid paroole nii WordPressi administraatori kontole kui ka kõikidele kasutajakontodele ligipääsemiseks. Paroolid peaksid sisaldama erinevaid tähemärke, numbreid ja sümboleid ning olema vähemalt 12 tähemärki pikad.

WordPressi seadetest tuleb piirata sissepääsu katseid. Piira automaatsete rünnete katseid kasutajanime ja parooli äraarvamiseks toore jõuga. Seda saab teha vastavate pluginatega, nagu näiteks “Limit Login Attempts Reloaded“.

Turvalisuse parandamiseks on WordPressil mitmeid kaitsevahendid. Kasuta selliseid turvalisuse pluginaid, nagu “Wordfence” või “Sucuri“, et lisada täiendavat kaitset oma veebisaidile. Need pakuvad kasulikke funktsioone pahavara leidmiseks, töötavad tulemüürina, blokeerivad pahatahtlike IP-aadresse jne.

2. Kust saab teada olulistest turvauuendustest, mis tuleks kodulehel kindlasti ära teha, kuidas neid vaadata?

WordPressi ametlikust blogist aadressil wordpress.org/news/ leiab kõik vajalikud uudised ning seal avaldatakse regulaarselt artikleid, kus antakse teada uutest WordPressi versioonidest ja olulistest turvaparandustest. Soovitan tellida selle lehe RSS-voo, et saaksid värskendusi otse oma uudistelugejasse.

Teine koht, kust saab vaadata turvaparanduste vajadust, on muidugi WordPressi enda juhtpaneel. Kui oled sisse logitud oma WordPressi juhtpaneelile, kuvatakse seal teateid, kui uus WordPressi versioon on saadaval. Sealsamas antakse võimalus uuendused kohe läbi viia.

Teemade ja pluginate haldurites WordPressi juhtpaneeli “Teemade” ja “Pluginate” all kuvatakse samuti teatisi, kui installitud moodulitele on saadaval uuendusi. Lisaks on võimalik kontrollida, millised neist uuendustest on olulised turvaparandused.

Turvalisuse pluginad, nagu “Wordfence”, “Sucuri” või “iThemes Security”, kui need on paigaldatud, teatavad ka olulistest turvauuendustest ja soovitavad need läbi viia.

Mugav võimalus uuendustest teada saada on tellida need e-posti aadressile. Kui oled lisanud oma WordPressi veebisaidile e-posti teavituste seadistuse, saabki teavitusi olulistest turvauuendusteste-kirjaga.

Tähtsaid uuendusi ei tasu maha magada, seega on oluline regulaarselt kontrollida kõiki neid allikaid ja teha vajalikud turvauuendused võimalikult kiiresti, et hoida oma WordPressi veebisait alati turvalisena.

3. Kuidas peaks veebilehe omanik käituma, kui tal on kahtlus, et kodulehte on rünnatud või mõni turvaauk on ründajate poolt ära kasutatud?

Kui veebilehe omanikul on selline kahtlus, siis tuleks järgida järgmisi samme:

  • Isoleeri koduleht. Kui on kahtlus, et kodulehte on rünnatud või turvaauku ära kasutatud, siis võib ajutiselt isoleerida kogu kodulehe võrgust, et takistada võimalike kahjulike tegevuste jätkumist. Selleks saab veebi ajutiselt avalikust võrgust maha võtta või muuta juurdepääsupiiranguid.
  • Muuda kõik paroolid. Vaheta kõikide kodulehe kasutajate paroolid, sealhulgas administraatori oma. Kasuta edaspidi tugevamaid ja unikaalseid paroole ning võiks hakata kasutama kaheastmelist autentimist (2FA).
  • Skaneeri veebi pahavara suhtes. Kasuta pahavaraskannerit, nagu näiteks “Wordfence” või “Sucuri”, et skaneerida kogu kodulehte pahavara suhtes. Need skannerid aitavad tuvastada ja eemaldada pahavarafaile ning teavitavad võimalikest turvarikkumistest.
  • Kontrolli logifaile. Vaata üle oma veebisaidi logifailid ja jälgi võimalikke ebatavalisi tegevusi või sisselogimiskatseid. See aitab paremini mõista, milliseid turvameetmeid on vaja tugevdada ja milliseid tegevusi teha tulevaste rünnakute ärahoidmiseks.
  • Teavita oma hostingu pakkujat või turvateenuste pakkujat. Kui tekib kahtlus, et veebilehte on rünnatud, võiks võtta ühendust oma veebimajutuse või turvateenuse pakkujaga ning teada anda, mis juhtus. Nad saavad oma oskustega pakkuda täiendavat tuge, juhiseid ja nõuandeid turvalisuse taastamiseks.

4. Mida tuleks teha uute lisandmoodulite otsimisel ja paigaldamisel, et need oleksid kodulehe jaoks turvalised?

Lae lisandmoodulid alla vaid usaldusväärsetest allikatest. Kasuta WordPressi ametlikku teema- ja pistikprogrammide kataloogi või mainekaid arendajaid, kelle juurest alla laadida. Kontrolli enne allalaadimist ka kasutajate tagasisidet, hinnanguid ja arendaja mainet.

Kontrolli arendaja mainet, otsides infot lisandmooduli arendaja kohta. Vaata tema veebilehte, toetatud WordPressi versioone, kasutajate tagasisidet, aktiivsust arendamise ja turvauuenduste osas. Arendaja usaldusväärsus ja kogemus võivad olla hea märk sellest, et lisandmoodul on hästi hooldatud ja turvaline.

Kontrolli versiooni ajakohasust. Vaata, millal lisandmoodulit viimati uuendati. Uuendused on olulised turvavigade parandamiseks ja seetõttu on tähtis, et see oleks vähemalt viimaste kuude jooksul värskendatud. Vananenud lisandmoodulid võivad sisaldada juba ammu teadaolevaid turvaauke.

Vaata ka kasutajate hinnanguid ja tagasisidet. Loe lisandmooduli kommentaare. Kui palju kasutajaid on seda alla laadinud? Milline on nende hinnang? Positiivne tagasiside ja kõrge hinnang võivad viidata usaldusväärsele ja turvalisele lisandmoodulile.

5. Kuidas saab veebilehe omanik ise läbi viia kodulehe hooldust ja millised tegevused peaks ette võtma?

Kasutajate koolitus WordPressi veebilehe haldamisel on oluline, eriti kui on rohkem kasutajaid või mitu inimest, kes tegelevad kodulehe muutmisega.

Koolitatud kasutajad peavad olema teadlikud turvanõuetest ja parimatest tavadest, mis aitavad vähendada turvarikkumiste riski. Nad peavad järgima korrektseid autentimise protseduure, kasutama tugevaid paroole, tagama andmete konfidentsiaalsuse ja vältima riskantset käitumist.

Kui kasutajad on koolitatud WordPressi veebilehe haldamise osas, suudavad nad paremini kasutada platvormi enda võimalusi seda turvalisena hoida. Nad teavad, kuidas navigeerida juhtpaneelil, teha muudatusi sisu haldamises, oskavad lisada ja redigeerida postitusi ja pilte, kasutada pistikprogramme jne. See aitab ka veebilehe haldamisel aega säästa.

Kui mitu inimest tegelevad kodulehe muutmise või sisuhaldusega, aitab koolitus tagada ühtlase taseme kogu veebisaidil. Koolitatud kasutajad järgivad ühiseid juhiseid, samu stiilijuhiseid, värve ja fonte, tagades niimoodi ühtse brändinguga veebilehe tegemise.

Koolitatud kasutajad on ka teadlikud levinumatest vigadest ja oskavad neid vältida. Näiteks võivad nad teada, milliseid elemente mitte puudutada, et mitte katkestada veebilehe funktsionaalsust või kujundust.

6. Kuidas saab veebilehe omanik vältida ja leevendada DDoS- ehk hajutatud teenusetõkestusrünnakuid?

DDoS (Distributed Denial of Service) rünnakud võivad olla keerulised ja mõnikord raskesti ennetatavad, kuid veebilehe omanik saab ette võtta mitmeid samme, et vältida ja leevendada DDoS-rünnakuid:

  • Kasuta DDoS-kaitse teenuseid. Selleks on olemas spetsialiseeritud turvakaitse või veebimajutuse pakkujad, kes hoolitsevad DDoS-kaitse eest. Sellised teenused võivad katta liikluse filtreerimist, andmevoogude analüüsi ja tuvastamist ning ründetõrje mehhanisme.
  • Ressursside skaleeritavus. Veebimajutuse ressursid peaksid olema piisavalt laiendatavad, et suurendada veebisaidi vastupidavust suurenenud liiklusele. See võib katta näiteks pilveteenuste kasutamist, et tagada kodulehe toimetulek suure koormusega.
  • DDoS-liikluse tuvastamine. Kasuta vahendeid või teenuseid, mis suudavad tuvastada DDoS-liiklust ja eraldada seda normaalsest veebiliiklusest. See aitab eraldada ründavad IP-aadressid või teatud liikluse mustrid ja rakendada nende suhtes tõkestavaid vastumeetmeid.
  • CDN (Content Delivery Network) aitab samuti. Kasuta CDN-teenust, mis aitab levitada veebisaidi sisu geograafiliselt hajutatud serverite kaudu. Nii võib vähendada koormust ühele serverile ja hajutada DDoS-rünnaku mõju.
  • Kasuta tulemüüri ja filtreid. Seadista tulemüür, mis aitab blokeerida DDoS-rünnaku teadaolevaid allikaid. Kasuta ka filtrireegleid, et piirata ebaõiget või suuremahulist liiklust, mis võib olla seotud rünnakutega.

7. Millised on mõned olulised asjad, mida WordPressi veebilehe omanik peaks teadma seoses GDPR-i (andmekaitse üldmääruse) nõuete täitmisega?

WordPressi veebilehe omanikul on oluline mõista GDPR-i nõudeid ning tagada nende täitmine:

  • Andmete kogumisel ja töötlemisel teadvusta, millist tüüpi andmeid teie veebisait kogub ja töötleb. See võib hõlmata isikuandmeid nagu nimi, e-posti aadress, telefoninumber jne. Veendu, et on olemas seaduslik alus andmete kogumiseks ja töötlemiseks ning et teavitatakse ka kasutajaid, miks ja kuidas nende andmeid kasutatakse.
  • Loo selge ja arusaadav privaatsuspoliitika, mis kirjeldab, millist tüüpi andmeid kogutakse, kuidas neid töödeldakse, kes on andmete vastutav töötleja, kuidas kasutajad saavad oma õigusi teostada jne. Veendu, et privaatsuspoliitika oleks kergesti leitav ja kättesaadav.
  • Tutvu GDPR-is sätestatud andmesubjekti õigustega, näiteks õigus juurdepääsule, parandamisele, kustutamisele, piiramisele, andmete ülekandmisele jne. Veendu, et teie veebisait võimaldab kasutajatel neid õigusi teostada ja et vastatakse nendele taotlustele nõuetekohaselt.
  • Kui kogute ja töötlete isikuandmeid, tuleb veenduda, et selleks on nõusolek. See peab olema antud selgesõnaliselt ja vabatahtlikult ning kasutajatel peab olema võimalus nõusolek tagasi võtta. Veendu, et nõusoleku taotlus oleks eraldiseisev ning et inimene mõistaks, millega ta nõustub.
  • Veebisait ja andmete töötlemise protsessid peavad olema turvalised ja info ei tohi lekkida. Rakenda selleks tööriistu, mis kaitsevad isikuandmeid volitamata juurdepääsu, kadumise, muutmise või avalikustamise eest. Sellele aitavad kaasa turvaparandused, tulemüür, krüpteerimine jne.

8. Kuidas saab kodulehe omanik hinnata, millal on aeg palgata professionaalne veebiarendaja või hooldusteenuse pakkuja?

Kodulehe omanik võib kaaluda professionaalse veebiarendaja või hooldusteenuse pakkuja palkamist siis, kui veebileht on piisavalt keerukas: kui see vajab täiustatud funktsioone, mida ise ei oska enam rakendada, võib olla aeg palgata professionaalne veebiarendaja.

Muidugi võib välise abi poole pöörduda ka siis, kui pole piisavalt aega või ressursse, et pühenduda oma veebisaidi hooldusele ja järjepidevale täiustamisele. Kui on vaja tagada GDPR-i (andmekaitse üldmääruse) nõuetele vastavus või suurendada oma veebisaidi turvalisust, võib professionaalse hooldusteenuse pakkuja kaasamine olla kasulik, sest nad saavad rakendada vajalikke turvameetmeid, teha auditeid ja tagada, et veebisait vastaks turvastandarditele.

Kui veebisaidi laadimiskiirus jõudlus või otsingumootorile optimeerimine (SEO) ei vasta ootustele, võib professionaalne veebiarendaja või hooldusteenuse pakkuja aidata neid eesmärke saavutada. Nad saavad teha vajalikud optimeerimised ja parandada kasutajakogemust.

Kui aga firmas puuduvad spetsialistiud, oskused ja kogemused e-kaubanduses, veebidisainis, kasutajaliideste (UX) loomises jne, siis võib professionaalne veebiarendaja olla hädavajalik.

Artikkel ilmus algselt Veebimajutus.ee blogis.

Populaarsed lood mujal Geeniuses

Kolm korda nädalas

Telli DigiPRO uudiskiri

Kolm korda nädalas (esmaspäeviti, kolmapäeviti ja reedeti) spetsiaalne DigiPRO liikmetele tehtud kommenteeritud uudiskiri, et sa midagi olulist maha ei magaks. Iga uudiskirja magnet on meie ajakirjanike kirjutatud pikem artikkel, mis meie arvates võiks selles valdkonnas töötavaid inimesi huvitada ja neile vajalik olla