Kodulehe omanikuna oled kindlasti otsinud erinevaid pluginaid veebilehe turvalisuse ja kiiruse tõstmiseks. Sellest postitusest saad lähemalt lugeda Wordfence pluginast, mis aitab sul muuta kodulehe turvalisemaks ning kiiremaks.

kodulehe_turvalisus_Wordfence_real-time
Pildi tegemise hetkel toimus 8328 WordPressi kodulehe rünnakut minutis, millest kuvatakse pildil vaid 6%. Tõenäoliselt on ka sinu kodulehte rünnatud!

2016. aastal Wordfence uuris oma kasutajate käest, kas nende kodulehti on rünnatud ning millised on olnud põhjused, miks häkkerid on saanud kontrolli veebilehtede üle.

Uuringu tulemusel selgus, et kõige suuremaks turvariskiks olid uuendamata pluginad ning teisel kohal brute force ehk toore jõu rünnak.

Seega pluginate uuendamine on turvalisuse seisukohast väga tähtis. Muidugi ka WordPressi ning installeeritud teemade uuendamine on oluline.

Mida häkkerid teevad sinu kodulehega?

Sa arvad, et sinu kodulehte ei rünnata, sest seal pole krediitkaartide ega pangakontode andmeid ehk puudub selline info, millest häkkerid võiksid olla huvitatud. Pean ütlema, et kahjuks selline suhtumine on ekslik.

veebilehe_turvalisus_mida_hakkerid_teevad

Pildil on näha Wordfence uuringust selgunud häkkerite tegevused kodulehtedega.

Toon välja kolm enim levinumat tegevust rünnatud kodulehega, mis ei ole seotud sooviga saada finantsandmeid sinu veebilehelt.

1. Moonutatud koduleht

Häkkerid võivad kustutada sinu kodulehe sisu ja asendada selle näiteks poliitilise propagandaga või avalehel teavitatakse, et sinu kodulehte on rünnatud.

Eesmärgiks on veebilehe külastajale koheselt teada anda, et sinu kodulehte on rünnatud ning oma sõnumi edastamine.

veebilehe_turvalisus_mida_hakkerid_teevad2

2. Spämmi saatmine

Sinu veebilehe häkkimisel saadakse juurdepääs serveri ressurssidele ning kasutatakse seda rämpskirjade saatmiseks ehk spämmimiseks. Üldjuhul paljud ei avasta seda enne, kui domeen on sattunud musta nimekirja.

3. SEO spämm

Häkkerid lisavad linke sinu kodulehele, et viidata oma veebilehele. Sellisel viisil saavad häkkerid kasutada sinu head positsiooni Google silmis oma lehe usaldusväärsuse tõstmiseks ning SEO tulemuste parandamiseks.  Lisaks suunavad nad ju sinu veebilehe külastajad oma veebilehele.

Lisaks eelmainitud tegevustele võivad häkkerid sinu kodulehele saabuva liikluse kohe suunata oma veebilehele või hoopis andmepüügi lehele.

Häkkerid võivad saata pahavara sinu veebilehe külastajate arvutitele ning seetõttu saavad nad e-posti aadressidele ligi või halvimal juhul isegi pangaandmetele. Samuti on levima hakanud lunarahanõuded, kus krüpteeritakse veebilehe sisu ning nõutakse krüpteeringu eemaldamise eest raha.

Postitusest What Hackers Do With Compromised WordPress Sites saad lugeda lähemalt, mida häkkerid saavad sinu kodulehega korda saata.

Kuidas muuta koduleht turvalisemaks?

Häkkerid leiavad pidevalt turvaauke WordPressi põhifailides ning ka teemade ja pluginate failides. Seega alati tuleb uuendada WordPressi, pluginaid ja teemasid, sest tihtipeale sisaldavad nad turvaparandusi.

Kodulehe turvalisuse tõstmiseks kasuta ka tugevat parooli administreerimiskeskkonda sisselogimiseks ning veebimajutus osta tunnustatud pakkujalt.

Postitusest 7 nõuannet, kuidas muuta WordPressi koduleht turvalisemaks saad veel soovitusi kodulehe turvalisuse tõstmiseks.

Lisaks eelnevalt mainitud turvameetmetele võiksid kasutada ka turvalisuse pluginat, mis aitab sul avastada kodulehe häkkimised ning aitab kaitsta sind toore jõu rünnakute vastu.

Wordfence – turvalisuse plugin

Wordfence plugin on üks populaarseimaid turvalisuse pluginaid WordPressile. Tema unikaalsus teiste pluginate ees seisnebki selles, et ta võimaldab muuta ka kodulehe kiiremaks.

Wordfence on väga paljude võimalustega turvalisuse plugin, seega vaatame üle põhilised seadistused. Selleks vali WordPressi vasakust menüüst Wordfence → Options.

Wordfence Basic Options

Wordfence_seaded1

Jäta märkeruut valikute ette Enable Rate Limiting and Advanced Blocking ning Enable login security – mõlemad valikud lülitavad automaatselt sisse mitmed turvalisusega seotud seaded.

Enable Live Traffic View võimaldab sul näha veebilehe külastusi, kuid samal ajal võib ta siiski mõjutada sinu veebilehe kiirust. Seega ma pigem eemaldaks märkeruudu selle valiku eest.

Enable automatic scheduled scans valiku juures lisa märkeruut, sest see võimaldab Wordfence pluginal kontrollida, kas koduleht sisaldab häkkerite poolt lisatud pahatahtlikku koodi või linke ning kontrollib WordPressi ning pluginate failide vastavust originaalfailidega WordPressi repositooriumis olevate failidega.

Skaneerimise tulemusi saad näha, kui valid Wordfence menüüst Scan. Seal on võimalik ka manuaalselt kävitada veebilehe skaneerimisprotsess.

Update Wordfence automatically when a new version is released võimaldab sul lubada plugina automaatsed uuendamised. Ma soovitan sul pigem uuendusi ise teha ning eelnevalt alati luua omale kodulehest tagavarakoopia.

Soovitan lisada kindlasti oma e-posti aadressi Where to email alerts lahtrisse, et saada pluginalt teavitusi erinevate probleemide kohta.

Security level las jääda Custom settings ning How does Wordfence get IPs vali Let Wordfence use the most secure method to get visitor IP addresses. Prevents spoofing and works with most sites.

Salvesta muudatused.

Wordfence Advanced Options: Alerts ja Email Summary ehk e-kirja teel saadavad teavitused

Wordfence’i plugina installimisel on tegelikult paljud vajalikud seaded juba sinu eest tehtud, kuid mõningaid seadeid tasub siiski muuta.

Wordfence_seaded2

Alerts valiku alt saad täpsemalt valida, mille kohta saad oma e-posti aadressile teavitusi ning kui tihti sa neid saad.

Märkeruudud soovitan eemaldada järgnevate valikute eest: Email me when Wordfence is automatically updated, Alert me when someone with administrator access signs in, Alert me when a non-admin user signs in.

Maximum email alerts to send per hour võib jääda nulliks või tühjaks, kuid kui hakkad väga palju kirju saama, siis tasub määrata mitu e-kirja on lubatud sulle ühes tunnis saata.

Email Summary valiku juures saad määrata, kui tihti saad kokkuvõtva kirja lehel toimunud tegevuste kohta. Näiteks millised IP-aadressid blokeeriti ning millistel teemadel või pluginatel on uuendused olemas.

Wordfence Advanced Options: Live Traffic View

Wordfence_seaded3

Kui siiski otsustad lülitada sisse veebilehe liikluse jälgimise, siis lisa märkeruut valiku ette Don’t log signed-in users with publishing access, sest nii ei salvestata avaldamise õigustega kasutajate halduskeskkonda sisselogimisi. Võid määrata ka mitu külastust salvestatakse.

Wordfence Advanced Options: Scans to include ehk veebilehe skaneerimise seaded

Wordfence_seaded4

Soovitan lisada kõikide valikute ette märkeruudud välja arvatud kaks viimast valikut. Seda seetõttu, et viimase kahe valiku puhul võib saada tulemuseks valepositiivseid tulemusi.

Wordfence Advanced Options:  Rate Limiting Rules ehk tulemüüri seaded

Wordfence_seaded5

Pildil on näha Wordfence’i poolt soovitatud reeglid, kuid võid jätta tulemüüri seaded ka muutmata. Kui otsustad jätta need seaded muutmata, siis lihtsalt tulemüüri seaded ei ole nii ranged.

Wordfence Advanced Options: Login Security Options ehk kaitse end brute force rünnakute vastu

Wordfence_seaded6

Enforce strong passwords seadete juures tasub valida Force admins and publishers to use strong passwords (recommended). Sellisel juhul WordPressi halduskeskkonda sisseloginud kasutaja parooli muutmisel kontrollitakse, et sisestatud uus parool oleks tugev.

Mina olen kasutanud järgmiseid seadeid halduskeskkonda sisselogimise kaitsmiseks: peale kolmandat ebaõnnestunud sisselogimist ja/või peale kolme salasõna taastamise katset lukustatatakse sisselogimine tunniks ajaks. Katseid loetakse 5 minuti jooksul.

Immediately lock out invalid usernames võimaldab koheselt lukustada sisselogimise halduskeskkonda, kuid ma ei soovita seda. Vahel ikka juhtub, et kirjutame oma kasutajanime kogemata valesti.

Märkeruudud tasub lisada Don’t let WordPress reveal valid users in login errors, Prevent users registering ‘admin’ username if it doesn’t exist ja Prevent discovery of usernames through ‘/?author=N’ scans valikute ette, sest need ei luba luua kasutajat nimega admin ning sisselogimisel ei väljastata infot kasutajanimede kohta.

Immediately block the IP of users who try to sign in as these usernames valik lubab koheselt blokeerida kasutajanimed. Mina soovitan sinna lisada kasutajanime admin, sest seda kasutatakse tihti esimese katsena lehele juurdepääsu saamiseks.

Wordfence Advanced Options: muud sätted

Wordfence_seaded7

Kui sul on olemas staatiline IP-aadress, siis võid lisada oma IP-aadressi “valgesse nimekirja”. Sellisel juhul ei kehti sellele IP-aadressile mitte ükski piirang, mille oled seadnud Wordfence pluginas.

Samuti saad määrata kindlad URL aadressid, mille puhul kasutaja koheselt blokeeritakse.

Wordfence_seaded8

Soovitan lisada märkeruudud esimesele kuuele valikule. Nii peidad ära WordPressi versiooni, blokeerid brute force rünnaku ühe scriptidest, kontrollitakse kommentaare, WordPressi haldurit teavitatakse, kui kasutaja on kasutanud nõrka salasõna ning jagad anonüümselt veebilehe rünnete kohta informatsiooni Wordfence’ile.

Ära unusta ka tehtud muudatusi salvestamast.

Pluginal on olemas ka tasuline versioon, mis võimaldab eelpool mainitud võimalustele auditeerida salasõnu, blokeerida riike, kasutada kahetasemelist audentimist, kontrollida kas sinu veebileht toodab rämpskirju, tulemüüri ja veebilehe skaneerimiseks kasutatakse kõige uuemat andmebaasi (tasuta versioonil uuendatakse andmebaas 1x kuus).

Wordfence plugina eeliseks on minu arvates ka väga põhjalik dokumentatsioon. Plugina seadete juures on olemas infonupukesed, millele klikkides avaneb vastava seade täpne seletus. Tervikliku dokumentatsiooniga saad turvuda Wordfence’i dokumentide ja juhendite lehel.

Kuidas muuta koduleht kiiremaks?

Wordfence pluginal on olemas ka töövahend kiirendamaks sinu kodulehte. Selleks vali Wordfence plugina seadetest Performance Setup → Enable Wordfence Falcon Engine.

veebilehe_turvalisus_falcon_engine

Falcon Engine’i sisselülitamisel teavitab plugin sind, et tehakse muudatusi ning palutakse alla laadida .htaccess faili tagavarakoopi juhuks, kui Falcon Engine mingil põhjusel ei peaks töötama sinu kodulehega.

Pildil on näha tulemused enne ja pärast Falcon Engine sisselülitamist Google PageSpeed Insights tööriistaga.

Google_pagespeed

Kasutaja jaoks on oluline, et veebileht, mida ta külastab oleks kiire ja turvaline. Kui aga tunned, et oled veel ebakindel WordPressi seadistamise ning pluginate lisamisega, siis tule uuri lähemalt WordPressi koolitust.

Koolituse tulemusena tead, kuidas käib tehniliselt WordPressi installeerimine ja seadistamine ning oskad lisada ja seadistada vajaminevaid pluginaid. Koolituselt saad omale kõige hädavajalikumad oskused kodulehe loomiseks ning teadmised kodulehe turvalisusest.

Plaanis on aasta lõpus kokku panna WordPressi õpik. Kui oled huvitatud WordPressi uudistest ja põhjalikust ja eesti keelsest konspektist, siis lisa siia oma e-posti aadress.

Liitu WordPressi uudiskirjaga

* kohustuslik väli


Saadame sisestatud aadressile vaid WordPressi uudiseid ja infot loodava WP õpiku kohta.