Partner soovitab: Kodulehe hooldus ehk kuidas kaitsta seda küberrünnakute eest

Veebiarenduse maailmas on WordPress vaieldamatult üks kõige populaarsemaid sisuhaldussüsteeme. See avatud lähtekoodiga platvorm pakub suurepäraseid võimalusi kodulehe kujundamiseks, sisu haldamiseks ja palju muuks. Siiski – nagu iga tehnoloogia puhul, on ka WordPressil oma nõrkused.

WordPress ja selle moodulite turvariskid

Kuigi WordPressi tuumik on üldiselt hästi kaitstud ja selle taga on suur arendajate kogukond, koosneb kodulehekülg või e-pood tavaliselt mitmetest erinevatest moodulitest. Iga selline moodul võib olla potentsiaalne sisenemispunkt häkkeritele, kui neid mooduleid ei uuendata ega hooldata õigeaegselt. 

Seda kasutavad ka rünnaku tegijad teadlikult ära ehk teisisõnu otsitakse just vananenud mooduleid, mis on avalikult juba tunnistatud turvaauguks.

Tänavu prooviti ka ühte meie klienti rünnata läbi selle, et kliendi WordPressi tõlkemoodul WPML versioon oli vananenud. See tähendas, et eelnevalt oli olemas info, või rünnaku käigus kaardistati mooduli versioon ja ilmselt tehti järeldus, et kogu leht, sealhulgas ka WordPressi enda versioon, on vanad. Mis aga õnneks ei vastanud tõele.

Rünnakuid tehti suuremahuliselt ehk ühe tunni jooksul tehti erinevaid “päringuid” 200 000 korda. Tulemüüri tarkvara andis meile hoiatuse ja reageerisime rünnatava IP aadressi blokeeringu lisamisega, mis aitas suurema rünnete tulva ära lahendada.

Kodulehe hooldus, mida see sisaldab?

Kodulehe hooldus on seotud peamiselt moodulite uuendamisega ning rünnakute ennetamisega. Arendajad teevad pidevalt tööd, et tuvastada ja parandada turvaauke. Kui te ei uuenda mooduleid, jätab see teie kodulehekülje või e-poe haavatavaks. 

Näiteks mõned aastad tagasi sai pihta üks maailma enim kasutatav slaideri moodul “Revolution Slider”. Sellest turvaaugust hõiskasid kõik asjakohased kommuunid ning uudistekanalid. See turvaauk oli niivõrd suur, et põhimõtteliselt viie sekundiga sai siseneda suvalise kodulehe või e-poe andmebaasi ja teha seal mida iganes soovisid. Teisisõnu sai alla laadida wp-config.php faili, kus olid kirjas andmebaasi salasõna ja kasutajanimi.

Marketing Sharks’il on kasutusel enda loodud tarkvara, millega saame kõiki oma hooldatavaid kliente 24/7 kontrollida, sealhulgas ka moodulite versioone jms. See aitas meil koheselt tuvastada need kliendid, kellel kõnealune slaideri moodul oli kasutusel. Seega saime kiiresti reageerida ning turvaaugu ära lappida.

Sellest turvaaugust haavatavaid lehti oli veel mitu kuud hiljem Eestis massiliselt…

Kodulehe hooldus – kas seda saab ka ise teha?

Tihti küsivad kliendid, miks peab uuendamistega tegelema ikkagi arendaja ja miks ta ei võiks ise seda “uuenda” nuppu vajutada. Vastus on tegelikult lihtne: iga uuendamine võib põhjustada lehele probleeme. Nii vähemalt juhtub enamikul juhtudel. Näiteks võivad moodulid omavahel konflikti minna nii WordPressi enda versiooni kui ka teiste moodulitega, mille tulemusena võib leht katki minna või üldse lakkama töötamast.

Korrektne uuendamine käib ikkagi teises (ehk arendaja) serveris, kus peale uuendamist testitakse leht läbi ja kui kõik on korras, viiakse uuendused sisse ka nn. avalikus serveris.

Kuidas end kaitsta küberrünnakute eest?

• Regulaarsed uuendused. See on kõige olulisem samm. Veendu, et sinu WordPressi versioon, teemad ja moodulid oleksid alati ajakohased.
• Varukoopiad. Enne suuremaid uuendusi tee oma lehest ja andmetest alati täielik varukoopia. Kui midagi läheb valesti, siis saad kiiresti taastada eelmise oleku. 
• Turvatarkvara. Kasuta spetsiaalseid turvamooduleid, mis aitavad kaitsta sinu lehte rünnakute eest, tuvastada haavatavused ja hoida kõik turvalisena. 
• Tugevad paroolid. Veendu, et sinu WordPressi administraatori salasõna on tugev ja keeruline. Samuti tasub seda regulaarselt muuta.
• Piira sisselogimiskatseid. Kasuta mooduleid, mis piiravad ebaõnnestunud sisselogimiskatseid. Sellega vähendad brute-force tüüpi rünnakute ohtu.

Lõpetuseks. WordPressi platvorm pakub uskumatuid võimalusi, kuid selle populaarsus teeb selle ka populaarseks sihtmärgiks ründajatele. Olles proaktiivne ja hoolitsedes oma lehe regulaarse hoolduse eest, saad märkimisväärselt vähendada riske ja tagada oma külastajatele turvalise kogemuse. Ja veel parem, kui jätad selle hooldus nendele, kes sellega igapäevaselt tegelevad. Nii säästad nii närve kui ka raha.

Käesoleva postituse tõi Zone partnerprogrammi raames lugejani Marketing Sharks.