Sinu WordPressi kodulehe turvalisus pannakse iga tund proovile

Häkitud WordPressi veebileht võib tõsiselt kahjustada ettevõtte käivet ja mainet. Häkkerid võivad varastada infot kasutajate kohta, paroole, installida pahatahtlikku tarkvara ja ka levitada teie kodulehe kasutajatele pahavara.

Olen viimasel ajal päris palju tegelenud sellega, et häkitud veebilehti puhastada. Aeg-ajalt on see ootamatult keeruline ja tüütu.

Vahel on juurkataloogi istutatud fail, mis on täis pahalase koodi, aga mida ei saa kustutada. Kustutad faili ja tekib illusioon, et kõik on korras. Värskendad kausta sisu ja fail on jälle tagasi.

Sageli aga ei leia skännerid ka pahalasi üles või siis näevad tonti seal, kus seda pole.

Lihtsam on püüda koduleht hoida kurjamitest puhas

Häkkerit ei huvita, kui mahukas või kui suure liiklusega su veebileht on. Igast haavatavast kodulehest võib saada pahatahtlike saitide, rämpsposti või isegi bitcoini kaevandamise keskus. Võti on haavatavus, mitte veebilehe suurus või liikluse tase.

Halvim on see, et maksad häkkeritele raha lihtsalt selleks, et taastada juurdepääs oma lehele. Hiljaaegu just küsiti ühe väiksemahulise veebilehe omaniku käest raha – kui soovid oma veebilehe sisu tagasi saada, siis maksa 100$.

Mis teeb su WordPressi veebilehe haavatavaks?

Häkkimise põhjus number üks on vananenud tarkvara. Enamikke pistikprogramme uuendatakse regulaarselt, et parandada nende koodi võimalikke turvaauke. Kui saiti häkitakse, ei ole see WordPressi viga – see on kasutaja valvsuse kadu, mis jätab kodulehe rünnakutele avatuks.

Pildil on näha, kuidas (mille kaudu) on WP lehti häkitud.

Probleem nr 1 on uuendamata WP, kujundus ja pluginad

• Hoolitse palun selle eest, et su veebileht oleks ajakohane. Väikesed uuendused võiks olla automatiseeritud, igaks juhuks ei ole vaja automaatselt uueneda lasta oma kujundusel, WooCommercel ja WPML’l. E-pood ja mitmekeelsus on aeg-ajalt olnud tundlikud uuenduste osas. Kui on suur uuendus ootamas, siis katseta uuendusi klooni peal või kui teed seda live lehel, siis enne uuendamist leht varunda.

• Kõik pluginad, mida sa praegu ei kasuta – kustuta. Sama kehtib ka kujunduste kohta – pole vaja hoida alles kujundusi, mida sa ei kasuta. Kutsud sellega vaid ilma südametunnistuseta inimesi oma veebilehele.

• Ära kasuta illegaalsel teel saadud kujundusi või pluginaid, sul pole kontrolli nende sisu üle. Austa kujunduse ja pluginate loojate tööd ja osta need seaduslike kanalite kaudu.

Missugused on WP rünnakud ja kuidas end nende eest kaitsta?

Toore jõuga rünnakud ehk nö jalaga välisukse maha löömine

• Hoolitse selle eest, et paroolid oleksid tugevad – väiksed ja suured tähed, sümbolid ja numbrid. Tugevad paroolid peavad olema kindlasti halduritel, e-posti aadressidel, FTP ja andmebaasi kasutajatel, veebimajutusse sisse logimisel.
  • Kasuta pluginat, mis blokeerib kasutaja peale X ebaõnnestunud sisse logimist. Või mis blokeerib ära need kasutajad, kelle kasutajanime listis pole.
  • Võid ka määrata ainult need IP aadressid, kust saab WP lehele sisse logida. Aga siin pead kontrollima, et ikka ise lehele saad. Kui kasutad dünaamilist IP-aadressi ja su enda IP aadress muutub, siis ei saa ka enam ise tavapäraselt sisse logida.
  • Kasuta igal võimalusel kahe-astmelist sisselogimist.
  • Kasutajanimi ei tohiks olla sinu nimi või mõni lihtne nimi nt admin, root või domeeninimi.
• Määra kasutajarollid vastavalt tööülesannetele. Blogipostituste kirjutaja ei pea ligi saama e-poe infole, e-poe haldur ei pea olema veebilehe haldur jne.
• Väldi sisselogimist tavalise FTP-ga: see saadab teie serverisse parooli ilma krüptimiseta. Võimalusel logi SFTP või SSH-ühenduse kaudu.

Kasuta SSl sertifikaati

Veebilehe turvalisuse tõstmiseks kasutatakse HTTPS protokolli ja selleks on vajalik SSL sertifikaat. Eesti veebimajutajaid pakuvad tavaliselt tasuta Let’s Encrypt sertifikaati.

llma SSL sertifikaadita on andmed kasutaja veebisirvija ja sinu veebiserveri vahel kui tavaline tekst. See on häkkerite poolt loetav. See on justkui lahtine postkaart, mis pole ümbrikus ja mida iga postitöötaja võib soovi korral lugeda. SSL sertifikaadi kasutamise korral on info krüpteeritud.

Aegunud PHP versiooni kasutamine

Veebimajutuse keskkonnas saad uuendada oma veebilehe PHP versiooni. Hetkel võiks see versioon olla 7.4.

Tee oma veebilehest regulaarsed varundused

Varundust tasub teha enne uuendamist, peale suuremaid muudatusi või regulaarselt kord kuus.

Siin on mitu võimalust:

• Lae alla veebiserverist kõik failid-kaustad ja andmebaas. Mahukate lehtede puhul võtab see aega ja pole otstarbekas.
• Kasuta veebimajutuse poolt pakutavad iseteeninduse keskkonda, seal on tehtud varukoopia tegemine päris lihtsaks.
• Tublid varunduse pluginad on UpdraftPlus WordPress Backup Plugin, BackUpWordPress või Duplicator

Vormidele lisa CAPTCHA kood

Üleliigse spämmi vältimiseks lisa oma vormidele nt Google reCaptcha. Seda saab lisada nii Contact Form7’le kui ka Gravity Formile.

Kaitse oma wp-config faili

wp-config.php fail on üks sinu kõige olulisemaid faile. Seal on andmebaasi kasutajanimi, parool ja terve hulk olulisi koodiridu.

Üks võimalus selle faili kaitsmiseks on tõsta fail nö korrus kõrgemale kui su juurkataloog. WP „näeb“ faili andmeid ja töötab siiski kenasti edasi. Hoolitse ainult selle eest, et kui juurkaustast wp-config faili peaksid kustutama, siis on sul arvutis siiski fail alles.

wp-config.php faili lõppu võida lisada ka rea:

define(‘DISALLOW_FILE_EDIT’, true); 

See eemaldab võimaluse muuta faile veebilehe admini keskkonnast.

Rünnakud veebimajutaja kaudu

Kas tead oma veebimajutaja tööaja protsenti? Hoidu tasuta ja odavatest veebimajutuse pakkujatest.

Kas su veebimajutaja pakub:

• SSL/TLS-sertifikaati, WAF-tulemüüre ja DDoS-kaitset;
• tasuta värskendusi ja uusimat tehnoloogiat;
• igapäevaseid varukoopiad;
• ööpäevaringset tuge ja võrgu jälgimist.

Kuidas saad ühendust teenusepakkuja klienditoega?

Telefoni teel, e-posti teel, Skype teel, võrguvestluse kaudu (ingl live chat)?

Kuna hea teenusepakkujaga saad kontakti eri kanalite kaudu, kontrolli, kas teenusepakkuja toetab neid kanaleid, mida sa ühenduse võtmiseks eelistad.

Kui kiiresti nad vastavad?

Hea, kui saaksid vastuse tööpäevadel vähem kui tunniga. Tavaliselt võtad teenusepakkujaga ju ühendust, kui sul on probleem ja loomulikult soovid, et see lahendataks võimalikult kiiresti.

Küsisin kolmelt veebimajutuse pakkujalt:

Kui tihti esineb teenusepakkujal katkestusi? Veebilehe omanik ootab, et veebileht oleks kättesaadav ööpäev läbi kõigil nädalapäevadel. 99% ja 99,9% töökindluse vahe on 3 päeva aastas.

Tanel Kaldoja (OÜ Virtuaal.com):

„Virtuaal.com on ligemale kümme aastat sõltumatu teenusepakkuja juurest võetavat statistikat avalikustanud, mis on kättesaadav aadressilt http://bit.ly/virtuaalcom. Samas tuleb tõdeda, et antud statistika ei pruugi kõike korrektselt kuvada, selles sisalduvad ka katkestused sideühendustes, mis on kusagil mujal maailmas toimunud. 99% on tõesti halb tulemus, 99,8–99,9% on täiesti realistlik.”

Tõnis Bramanis (Elkdata OÜ):

„Katkestusi tuleb ikka aeg-ajalt erinevatel põhjustel ette, kuid konkreetset kättesaadavuse protsenti me pidevalt ei mõõda. Küll oleme seda aga pisteliselt arvutanud. Alati on see jäänud 99,6% kuni 99,9% vahele ning seda ka kogu kliendibaasi ja serveripargi üldisel vaatlusel. Individuaalse kliendi jaoks jääb veaprotsent alati 0,1% sisse. Suuri maasolekuid tuleb väga harva ette. Enamjaolt esineb ajutisi rikkeid, mis lahenevad tavaliselt 5–15 minuti jooksul. Servereid on palju ja klientide vaates on katkestuste protsent seega väga erinev.”

Peeter Marvet (Zone Media OÜ):

„Meil Zone’is on http://bit.ly/zonestatus, kus kajastame kõiki kauem kui 15 minutit kestvaid katkestusi (sh plaanitud tehnilisi hooldusi), mis puudutavad märgatavat osa klientidest. Teeme seda nii läbipaistvuse huvides kui ka selleks, et probleemi korral saaksid kliendid, keda katkestus puudutab, hõlpsalt infot toimuva kohta.

Täpset statistikat on aga raske öelda, sest seda peaks ilmselt võtma mitmest neutraalsest punktist, jälgima igasse füüsilisse serverisse paigaldatud reaalsega sarnast rakendust (ent mitte mõnda päris-veebi, sest sellel võivad olla omad mured).”

Kasuta turvalisuse pluginat

Hea mõte on lisada oma veebilehele ka turvalisuse plugin. Tublid pluginad on nt:

Wordfence Security – Firewall & Malware Scan

iThemes Security (formerly Better WP Security)

WP Cerber Security, Anti-spam & Malware Scan

Üldiselt öelduna need pluginad blokeerivad autoriseerimata kasutajaid, kuid neil on veel mitmeid teisi ülesandeid, mis töötavad kaasa kodulehe turvalisuse nimel.

Lõpetuseks

Panen sulle südamele, et kuigi see turvalise tagamine võib tunduda sulle liiga tehniline, siis ikkagi ainult sina ise saad kõige rohkem ära teha. Uuenda regulaarselt WordPressi, kujundust ja kasutuses olevaid pluginaid.

Kui sa ei soovi ise veebilehe turvalisusega tegelda või on su veebilehte häkitud, siis kirjuta eve@kodulehekoolitused.ee ja püüan koos oma koostööpartneritega sind aidata.