WordPress on maailma kõige populaarsem sisuhaldussüsteem, mis tähendab, et see on ka häkkerite jaoks kõige ihaldatum platvorm, mida rünnata. Nagu igal tehnoloogial, on ka WordPressil turvaprobleeme, mis võivad olla ohtlikud nii veebilehele kui selle külastajatele ning selle eest tuleb oma kodulehte tõhusalt kaitsta.

Veebimajutus.ee-s on kodulehe majutajatel olemas üks hea sisseehitatud lahendus, mis kaitseb WordPressi koodi, kujundusi ning pluginaid  turvaohtude eest. Tegemist on Patchstackil põhineva Turvakaitse pluginaga, mis sisaldub Veebimajutus.ee Pluss paketis.

Milles seisneb WordPressi turvaprobleem?

WordPressi sisuhaldusplatvorm on küll vabavaraline ja hästi kirjutatud, seda täiendatakse pidevalt tuhandete arendajate poolt, kuid sel maailma populaarseimal veebiplatvormil on üks probleem, mis ei sõltugi koodi headusest ega turvalisusest.

Nimelt on probleem just selles, et kuna see on nii populaarne platvorm, on tegemist ka kõige ihaldusväärsema sihtmärgiga häkkeritele. Kui ühe ja sama turvaaugu abil saab sisse tohutult paljudesse veebidesse üle maailma, tasub see alati pingutamist.

Lisaks töötab WordPressi veebileht tavaliselt väga paljude lisamoodulite abiga, mis kõik on valmistatud kolmandate osapoolte poolt ning just see ongi peamine turvarisk. Miks? Kõige sagedamini avastatakse turvaaugud just templiitides ja pistikprogrammides ning nende turvaaukude kaudu saavadki häkkerid kodulehele ligi.

Näiteks on esinenud juhtumeid, kui häkkerid on suutnud ligi pääseda WordPressi administraatori kontole ja kustutanud veebilehe sisu või paigaldanud pahavara, mis varastab veebikasutajate isikuandmeid.

Milles seisneb turvaprobleemi lahendus?

Kõige elementaarsem samm oma WordPressi veebilehe turvalisuse tagamiseks on selle tarkvara pidev uuendamine. Kuid see kaitseb lehte vaid siis, kui uuendus on tehtud. Seda ei jõua keegi teha kohe neil minutitel või tundidel, kui turvauuendus on välja tulnud. Mis aga saab seni, kuni uuenduseni jõutakse?

Turvaparanduste paigaldamine oma veebi on küll oluline ja seda tuleb teha kiiresti, kuid tõelise turvalisuse tagab Patchstacki Turvakaitse, mis hakkab veebi kaitsma kohe. See on kriitilistel hetkedel pea ainus võimalus oma veebi koheselt turvama hakata. Lisaks on alati olemas ka selliseid pluginaid, millele turvaohu avastamisel kohe värskendust ei väljastata. Sellisel juhul on ainus lahendus täielik Turvakaitse. 

Veebimajutus.ee-s kodulehe majutamisel on eeliseks see, et kõik saab hõlpsasti seadistada ühest kohast, sealhulgas Turvakaitse, mis on täielikult integreeritud iseteenindusveebi ning ise midagi WordPressis tegema ei pea (vastav Plugin peab olema aktiivne).

Mida ma saaksin ise ära teha kodulehe paremaks kaitsmiseks?

Muidugi on automaatkaitse oluline, kuid igaüks saab lisaks sellele ka ise üsna palju ära teha, et kodulehega midagi halba ei juhtuks.

WordPressi veebilehe turvalisuse tagamiseks tee kõigepealt ära vähemalt need seitse asja:

1. Kasuta tugevat ja ainulaadset parooli oma WordPressi administraatori konto jaoks ning väldi lihtsaid salasõnu – see on elementaarne. Kuid lisaks võiksid tähtsatel kontodel kasutada ka kahetasemelist autentimist (2FA), mis lisab veel ühe turvakaitse kihi teie kontole. WordPressis on selleks mitmeid võimalusi – saab kasutada nii kinnituskoodi saatmist e-postkasti, SMS-i, turvaäppe või midagi muud endale sobivat.
2. Hoia oma WordPressi tuumiktarkvara, teemad ja lisamoodulid alati ajakohasena, installides värskendused niipea, kui need on saadaval. See aitab vältida teadaolevate turvariskide ärakasutamist. Lisafunktsioonidega pistikprogrammidele võib aktiveerida ka automaatse uuenduse.
3. Piira oma WordPressi veebilehe olulistele osadele juurdepääsu ainult usaldusväärsetele kasutajatele ja rollidele. Ära anna liiga paljudele inimestele administraatori õigusi. Lehele sisu lisajatele saab WordPressis luua ka vähemate õigustega rolli, näiteks sisutoimetaja rolli.
4. Kasuta ainult usaldusväärseid ja ajakohaseid lisamooduleid ja teemasid ning eemalda kõik need, mida enam ei kasuta. Vananenud või ebaturvalised lisamoodulid, mida arendajad pole uuendanud näiteks viimase aasta jooksul, võivad samuti olla turvariskide allikaks ning need tuleks välja vahetada.
5. Loo oma kodulehest iga kord varukoopia, kui hakkad suuremaid muudatusi või uuendusi tegema (elementaarne varukoopia võimalus on olemas kõigil Veebimajutuse pakettidel). Kui soovid tihemini ja põhjalikumalt teha varukoopiaid, leiab WordPressile selleks ka lisamooduleid. Varukoopiast saab taastada oma veebilehe varasema versiooni, kui midagi läheb valesti või kui keegi on sisse häkkinud. Kui peale uuendamist kõik töötab, kustuta varukoopia.
6. Kasuta vaid turvalist HTTPS-ühendust, et kaitsta andmete edastamist veebilehe ja kasutajate vahel. Seegi võimalus on kodulehe majutuses olemas tasuta ning tuleb vaid iseteenindusest sisse lülitada.

Kui aga WordPressi veebileht on juba häkitud, siis on oluline tegutseda kiiresti. See võib tähendada turvavigade parandamist, tarkvara uuendamist, pahavara eemaldamist ja varukoopiast eelmise seisu taastamist.

Kokkuvõtteks on WordPressi veebilehe turvalisus üldiselt hea, aga ka ise peab selle tagamiseks kodulehe seisundil kätt nii-öelda pulsil hoidma. 

Kuidas Turvakaitset aktiveerida ja kasutada?

Hea küll, Patchstacki Red Teamide poolt pidevalt täiustatav turvaohtude kaitse on Veebimajutuse teenusesse integreeritud, aga kuidas selle tööle saab?

See on lihtsamast lihtsam. 

Aktiveerimine käib iseteeninduse kaudu valikust Koduleht -> Turvakaitse. Kui Pluss paketti pole, tuleb kõigepealt sellele üle minna ja siis tuleb Turvakaitse kaasa tasuta. 

Kui kasutad mitut WordPressi installi, siis peab igaühele aktiveerima eraldi Turvakaitse, kuid alates teisest lehest on iga lisanduva litsentsi tasu 5 eurot kuus (+km).

Kasutama saab seda hakata kohe ja ise midagi enam seadistama ei peagi, sest see toimub automaatselt. Veebimajutuse meeskond hoiab Turvakaitsel ise silma peal ja juhib selle tööd. 

Mõnesid seadistusi saab siiski ka ise teha, sest installitud WordPressil on sellekohane moodul olemas. Kuid neid seadeid ei ole soovitatav ise muuta.

Kindlasti peab seda pluginat hoidma auto-update´i ehk automaatse uuenduse peal, sest siis jõuavad kõik värskendused võimalikult ruttu kohale.

Kas äkki piisab WordPressi teada-tuntud WordFence´ist või mis eristab seda Turvakaitsest?

Patchstacki Turvakaitse kaitseb kodulehte tõesti kõikide erinevate rünnakute eest, mida proovitakse teha nii pluginate, WordPressi teemade kui tuumas olevate turvaaukude kaudu, see pole seotud ainult WordPressi enda moodulitega, vaid kaitseb kodulehte laiemalt.

Kas Patchstack on siis sama, nagu WordFence? Erinevus seisnebki selles, mida üks või teine turvavahend katab. 

Kui tasuta Wordfence jälgib kahtlast liiklust kodulehel, päringuid kodulehe kohta, kahtlasi logimisi ja kontrollib failide sisu pahavara suhtes, siis Patchstack jälgib samuti päringuid ja blokeerib neid, kuid lisaks otsib ka turvanõrkusi kõikide pluginate, kujunduste ja WordPressi tuuma versioonidest ning sulgeb need häkkerite eest.

Enamasti on turvanõrkused tuvastatud just aegunud versioonides, kuid neid tuleb ette ka päris uutes ajakohastes versioonides, mis on ekspertide poolt äsja avastatud. Seega saab Turvakaitse abil uusima küberturbe värskeima infoga uute avastatud ohtude kohta. See aga ei takista kõrval ka WordFence´i kasutamist, need kaks moodulit ei sega üksteise tööd. Võib koguni juhtuda, et WordFence kasutab uusimate turvaohtude kaitseks just Patchstacki välja töötatud turvaplaastrit, mis hoiab ära turvaaugu kaudu kodulehele pääsemise.

Kuna WordFence kasutab nende turvaaukude tuvastamisel Patchstacki andmebaasi, saab seega Patchstack vigadele jaole kiiremini ja tuvastatud turvanõrkuste teadaolev arv on Patchstasckil samuti suurem.

Kui Patchstacki põhine Turvakaitse hoiab veebi tervena, siis kas uuendusi polegi enam ise vaja teha? 

Paraku sellest siiski ei pääse. Suuremad ohud saavad turvaplaastriga küll kiirelt kõrvaldatud, kuid milleks lasta ise oma veebil uuendusi tegemata vanade moodulitega auklikuks muutuda?

Mõistlik rusikareegel on vähemalt kord kuus oma veebitarkvara üle vaadata ja vajalikud uuendused ära teha, kui need pole automaatselt tehtud. Pikemalt uuendamata jättes võib tekkida olukord, kus peab värskendama üle mitme tarkvarauuenduse, mis võib juba rohkem probleeme tekitada. Teine rusikareegel oleks mitte jätta uuenduste vaheks rohkem, kui kolm kuud.

Patchstack ei paku tavaliselt oma turvaplaastritega lõplikku lahendust. Päris auk tuleb ikka ise ära lappida,kuid Patchstack annab vabaduse teha seda sulle sobival ajal ja kiirustamata. Seni hoiab Turvakaitse kodulehe uksed kindlalt suletuna. 

Tavaliselt tuleb õige pea pärast Patchstacki esialgse kaitsega turvaplaastrit välja ka ametlik turvauuendus, mis leitud turvaohu kõrvaldab. Mõnikord võib sellega kauem aega minna, sest kõigi lisandmoodulite arendajad pole ühtviisi kiired, kuid Patchstack annab neile alati teada, kui nende koodist on turvaauk leitud.

Ära riski turvalisusega – võta kasutusele WordPressi turvakaitse!

Jäta oma kontaktid ja meie spetsialist tuleb appi.
Soovin infot!

Artikkel ilmus algselt Veebimajutus.ee blogis.