Kui turvaline on WordPress veebileht?

Kui turvaline on WordPress koduleht

Väga tihti küsitakse, kui turvaline on ikkagi minu uus WordPress e-pood või koduleht? Anname ülevaate peamistest murekohtadest WordPress veebilehtede turvalisuse puhul, millised on põhilised WordPress rünnakud ja mida sa saaksid teha, et tagada turvalisus.

 

Tahad ainult kiiret ülevaadet, kuidas oma WordPress veebilehe turvalisust tagada? 

Navigeeri kohe CHECK LIST’i juurde

 

WordPress turvalisus

WordPressi veebilehtede turvalisus sõltub kahes laastus: WordPressist endast ja veebilehe omaniku valikutest ja tegevustest.

Kui rääkida WordPressi enda turvariskidest, on see kõige turvalisem CMS platvorm, millele veebilehti arendada. WordPressil on väga suur tiim, mis hoiab pidevalt platvormil ja võimalikel riskidel silma peal ning ohud eemaldatakse kiirelt. Ühtlasi on WordPress kõige populaarsem platvorm, mis tähendab, et rünnakuid saavad WordPress kodulehed ka kõige tihedamini.

 

Peamised WordPress rünnakud

Brute Force Attack

Brute Force Attack on sisuliselt katse-eksitus meetodil püüe WordPress veebilehele sisse logida. Selleks ründajad testivad kõige tavapärasemaid paroole ning kasutajanimesid ja nende kombinatsioone lisaks sõnaraamatust sõnade kasutamisele. Kui selle meetodiga sisse logitakse, oled põhimõtteliselt ise nendele informatsiooni kätte andnud.

 

SQL injection

SQL injection rünnaku puhul kasutavad ründajad ära mõnda turvapuudust ning saavad seeläbi andmebaasidele ligi. Kuna WordPress veebilehed kasutavad MySQL andmebaase, on sellised rünnakud üsna sagedased.

 

Pahavara lisamine

Ründajate eesmärk on lisada pahavara, tänu millele saavad nad ligipääsu teie veebilehele. Pahavara lisatakse enamjaolt aegunud ja turvavigadega pluginate ja teemade koodi.

 

XSS rünnak

XSS rünnaku korral lisab ründaja ebaturvalise Javascripti koodijupi veebilehele, mis hakkab seejärel informatsiooni koguma.

 

DDoS rünnak

DDoS rünnakut iseloomustab veebilehe ülekoormamine liigse liiklusega, mis muudab veebilehe aeglasemaks, kuni jooksutab selle kokku. Seda tehakse mitme arvuti ja pahavara abil, mistõttu on äärmiselt keeruline tuvastada, kust rünnak tuleb.

 

Peamised WordPress turvariskid, mida saad ise vältida

Millised on põhilised tegurid, mis muudavad WordPress veebilehe vähem turvaliseks ning on seega turvariskid? Kõik allpool välja toodud murekohad saad ära parandada ise või professionaali abiga.

 

Vananenud WordPress versioon

2017. aastal tehtud uuringu põhjal leiti, et 39,3% WordPress häkkimise juhtudest oli veebilehel kasutusel vana WordPress versioon. Kuid siinkohal tuleb eriti hoolikalt meeles pidada, et ühed kõige suuremad murekohad olid WordPress 3.x versioonidel. Võrdluseks, praegu on väljas WordPress 5.4.

Teiseks, WordPress teeb automaatselt ise turvauuendusi. See tähendab, et kui leitakse mõni viga ning WordPress teeb uue versiooni koos parandustega, tuleb sinu veebilehele see uus parandusega versioon.

 

Turvalisuse tagamiseks tee järgmist:

⚠️Uuenda WordPressi – eriti oluline, kui kasutad väga vana WordPress versiooni.

⚠️Veendu, et ei oleks välja lülitatud automaatsete turvauuenduste tegemine.

 

Ebausaldusväärsed ja vanad teemad ja pluginad

Oma töös näeme üsna tihti vanu WordPress veebilehti, kõige halvemas korras neist on kindlasti need, mis on umbselt täis igasugu imepluginaid, millest keegi midagi ei tea ja kasutavad vana iganenud teemat. Kuid lisaks sellele, et sellised saidid on aeglasemad, neid on halb hallata jne, on sellised lehed eriti vastuvõtlikud häkkimisele. Põhiliselt võib tekkida probleem kolmest põhjusest:

  • Pluginal või teemal on kohe algul turvaviga sees, kuid seda ei märgata – vähem kasutajaid = vähem tagasisidet arendajatele
  • Plugina või teema arendaja ei tööta uue, parandustega versiooni kallal, kuid kasutatakse veel vana, turvariskiga versiooni
  • Arendaja eemaldas kiirelt turvariski, kuid inimesed ei uuenda pluginat või teemat

WordPressi üks eelis on kindlasti see, kui palju on sellele loodud erinevaid pluginaid ja teemasid, kuid siin peitub ka risk.

 

Turvalisuse tagamiseks tee järgmist:

⚠️Kasuta võimalikult vähe pluginaid

⚠️Ebavajalikud pluginad ja teemad kustuta ära

⚠️Kui pead pluginat või teemat kasutama, eelista pigem populaarset ja usaldusväärset pluginat

⚠️Plugina lisamisel jälgi, millal on seda viimati uuendatud

 

Mitteturvalised paroolid

Kõige sagedasemini proovitakse WordPressi veebilehtedele sisse häkkida kasutades paroolide kombinatsioone või varastatud paroole. Ehk kasutajanimi: admin ja parool: password on pea kõige suurem turvarisk, mida võtta saate oma veebilehega. Samad reeglid peaksid kehtima ka veebimajutuse kodulehele sisselogimiseks – kust saad ligipääsu serverile.

 

Selleks, et veebilehele ei saaks sisse häkkida paroolide pärast:

⚠️Ära kasuta kõige tavapärasemaid paroole ega kasutajanime kombinatsioone.

⚠️Ära kasuta igal pool sama parooli! Võimalik, et mõnel teisel kohal õnnestub häkkimine, mille käigus saadakse näiteks teie parooli ja e-maili kombinatsioon. Seda võidakse seejärel kasutada teie veebilehele sisse logimiseks.

 

Loe paroolide kasutamisest ja ohtlikest paroolidest lähemalt SIIT!

 

Ebaturvaline veebimajutus

Kuivõrd relevantne see punkt ka ei oleks, toome selle igaksjuhuks ikkagi välja. Pea iga WordPress koduleht on majutatud kolmanda teenusepakkuja poolt. Kui võtab ebakvaliteetse ja -usaldusväärse veebimajutaja, riskid sellega, et WordPress koduleht ei ole turvaline. Eestis pakuvad veebimajutust näiteks Veebimajutus.ee, Zone.ee ja isegi Telia. Teine ooper on muidugi managed hosting (üksik majutus) vs shared hosting (jagatud majutus), millest viimast pakuvad just eelnimetatud teenusepakkujad. Kuigi ükskik majutus on turvalisem, on siiski jagatud majutuse teenus juba piisavalt turvaline usaldusväärselt majutajalt, et selle pärast pead väga murda ei tasuks.

 

Seega:

⚠️Kasuta usaldusväärsete veebimajutajate teenust!

 

HTTP kasutamine

Kui sinu kodulehel ei ole veel SSL sertifikaati, tuleks see viimaks panna. Lisaks sellele, et HTTPS kasutamine aitab kaasa otsingutulemustes ja loob turvalise ühenduse, on HTTPS kasutamine oluline ka WordPress lehe üldise turvalisuse koha pealt. See krüpteerib informatsiooni, mida vahetab teie koduleht külastaja brauseriga. Tehes seega veebilehe ja brauseri vahel liikuva info kolmandatele osapooltele loetamatuks – et seda ei saaks kurjalt kasutada nii külastaja kui ka teie suhtes.

 

⚠️Muuda veebilehe ühendus turvaliseks – paigalda SSL sertifikaat

 

 

Kuidas tagada WordPress veebilehe turvalisus – checklist!

Vaata kiirelt üle asjad, mida saad ise muuta, et WordPress veebileht oleks turvalisem.

 

⚠️Uuenda WordPressi – eriti oluline, kui kasutad väga vana WordPress versiooni.

⚠️Veendu, et ei oleks välja lülitatud automaatsete turvauuenduste tegemine.

⚠️Kasuta võimalikult vähe pluginaid

⚠️Ebavajalikud pluginad ja teemad kustuta ära

⚠️Kui pead pluginat või teemat kasutama, eelista pigem populaarset ja usaldusväärset pluginat

⚠️Plugina lisamisel jälgi, millal on seda viimati uuendatud

⚠️Ära kasuta kõige tavapärasemaid paroole ega kasutajanime kombinatsioone.

⚠️Ära kasuta igal pool sama parooli! Võimalik, et mõnel teisel kohal õnnestub häkkimine, mille käigus saadakse näiteks teie parooli ja e-maili kombinatsioon. Seda võidakse seejärel kasutada teie veebilehele sisse logimiseks.

⚠️Kasuta usaldusväärsete veebimajutajate teenust!

⚠️Muuda veebilehe ühendus turvaliseks – paigalda SSL sertifikaat

Soovid uusi artikleid e-mailile? Liitu uudiskirjaga!
Loe veel . . .

Ohtlikud paroolid | Milline on turvaline parool?

Iga kasutajakonto teeb väga palju turvalisemaks tugev parool. Kui kasutad…

Loe edasi

Maailma esimene veebileht

World Wide Web’i (WWW) loodi 1989. aastal Tim Bernes-Lee poolt….

Loe edasi

Kollane värv disainis | Infograafik

Kollane värv on viimane põhivärv, mida disaini puhul me veel…

Loe edasi