Kuidas kaitsta oma WordPressi veebilehte?
Veebilehe Turvalisuse Probleemid
Aastaid tagasi loodud veebisaidi sisuhaldustarkvara ja selle lisad ei ole pidevalt uuendatud (turvaaukude ärakasutamine võib alata juba avastamise päeval).
Mõned kasutatud teemad/pluginatest on tasulised ja need on paigaldatud ilma kehtiva litsentsita või pärinevad allikatest, mis ei võimalda lihtsat uuendamist.
Lisade arv on suur – iga huvipakkuva funktsionaalsuse jaoks on lisatud mingi plugin, tihti keerulise koodiga.
Osa paigaldatud teemadest/pluginatest ei ole tegelikult kasutusel.
Puudub hooldusleping veebimeistriga, kes võtaks enda peale vastutuse veebisaidi turvalisuse eest.
Veebiarendus ja hooldus toimuvad otse serveris; sissetungi korral puudub puutumatu varukoopia, mis võimaldaks serveris oleva kompromiteeritud koodi kustutamist ja uuendatuga asendamist.
Turvaintsidentide lahendamisel eeldatakse ekslikult, et probleemi lahendab mõni lisa-plugin või maagiline teenus.
Veebilehe Turvalisuse Juhised
Kui paigaldad ise veebitarkvara, siis taga uuendamine
Kui tellid veebi agentuurist/arendajalt, siis sõlmi ka vastutusega hooldusleping, mis tagaks vajalikud uuendused ja turvaintsidentide lahendamise; kui tellid veebi (riigi)hankega või projektirahadest, siis peaks ka hooldus sisalduma sõlmitavas lepingus.
Kui otsustad ise lisada teema või pluginaid, siis kasuta tuntud autori tehtut mille puhul on näha perioodilisi uuendusi, WordPressi puhul kasuta wordpress.org pakutavaid, mitte mõnest veebist laetut.
Harrasta kasinust – mida vähem lisasid ja lihtsam veeb, seda kiiremini see töötab ja seda kergem on turvalisust tagada.
Kustuta ära kõik tarbetu – vanad versioonid, kasutuseta teemad/pluginad, lahkunud töötajate kontod jne.
Ükski turvalahendus ei tuvasta kõiki tagauksi – ainus variant on vahetada paigatud koodi vastu välja kõik kompromiteeritud serveris olnu ning puhastada üleslaetava meedia kataloog; selleks on oluline, et arendajal oleks oma arvutis olemas kindlalt puutumatu kood – mistahes veebiserveris “väike vigade parandamine” on välistatud.
Paroolid turvaliseks ja https – veebirakenduse parool olgu pikk ja unikaalne, et ei saaks proovimisega leida või mõnda lekkinud paroolibaasi kasutada; https-ühendus tagab, et parool ja küpsised ei ole pealtkuulatavad.