Tänapäeval on veebisaidi omamine muutunud väga lihtsaks tänu suurepäraste tööriistade ja teenuste levikule. Sisuhaldussüsteemid (CMS), nagu WordPress, Joomla, Drupal, Magento ja paljud teised võimaldavad nii eraisikutel kui ettevõtete omanikel kiiresti ja lihtsalt end veebis esindada. Selliste süsteemide väga mitmekesine ülesehitus koos rikkalike pluginide ja tõhusate mallidega on vähendanud vajadust veeta aastaid veebiarendust õppides selleks, et luua dünaamilisi veebilehti. Kuid siiski võivad kõige selle lihtsuse juures olla ka mõned negatiivsed kõrvaltoimed. Tihti juhtub, et omanikud ei tea, kuidas tagada oma veebisaidi turvalisus. Ja seda juhtub eelkõige just algajate seas, kel pole veel piisavalt kogemusi veebisaitidega ja aimu turvalisuse tähtsusest. Sellepärast toomegi siin teieni 9 tasuta võimalust, kuidas tagada oma veebisaidi turvalisus.
1. Uuendage ning veelkord uuendage!
Igapäevase ja ebaturvalise tarkvara tõttu ohustatakse iga päev lugematul hulgal veebisaite. Ning tarkvara muutub ebaturvaliseks just selle mitte uuendamise tõttu. Äärmiselt oluline on värskendada saiti kohe, kui uus plugin või CMS-versioon on saadaval. Need värskendused võivad sisaldada turvaparandusi või parandada ka turvaauke.
Enamik veebirünnakuid on automatiseeritud. Robotid kontrollivad veebi pidevalt võimalike ärakasutamise võimaluste osas. Enam ei piisa saidi värskendamisest kord kuus või isegi nädalas, sest robotid leiavad suure tõenäosusega haavatavuse enne värskenduste tegemist. Seetõttu soovitame kasutada ka tulemüüri, mis juba enne värskenduste ilmnemist turvaaugu kiirelt kinni lapib.
2. Parool
Kuidas tagada veebisaidi turvalisus? See sõltub paljuski ka teie turvalisest käitumisest. Kas olete kunagi mõelnud, kuidas teie kasutatavad paroolid võivad ohustada teie veebisaidi turvalisust? Nakatunud veebisaitide puhastamiseks on sageli vaja administraatori andmeid, et kliendi saidile või serverisse sisse logida. On hämmastav, kui ebaturvalised võivad olla mõned paroolid.
Internetis on olemas palju häkitud parooliloendeid. Häkkerid ühendavad need loendid tihti ka sõnaraamatutega, et luua veelgi suuremad potentsiaalsete paroolide loendid. Kui teie kasutatavad paroolid on sellised, mis leiduvad ka loendites, on teie saidi ohtu seadmine vaid aja küsimus.
Mõned näpunäited turvalise parooli valimiseks:
- Ärge kasutage samu paroole uuesti. Iga teie parool peaks olema kordumatu. Paroolihaldur võib aidata seda protseduuri lihtsustada.
- Kasutage pikki paroole. Proovige rohkem kui 12 tähemärki. Mida pikem on parool, seda kauem võtab selle dekrüpteerimine aega.
- Kasutage juhuslikke paroole. Paroolide häkkerid suudavad minutitega ära arvata miljoneid paroole, kui need sisaldavad veebis või sõnastikes leiduvaid sõnu. Kui teie paroolis on pärissõnu, peaksite selle muutmisele mõtlema. Kui teie parooli on lihtne sõnadega öelda, tähendab see, et see pole piisavalt tugev. Isegi tähemärgi asenduse kasutamine, näiteks O-tähe asendamine numbriga 0, ei ole alati piisav.
Internetist võite leida ka mitmeid kasulikke paroolihaldureid, nagu näiteks LastPass ja KeePass 2. Need leidlikud tööriistad salvestavad kõik teie paroolid krüpteeritud vormingus ja suudavad ühe nupuvajutusega hõlpsasti juhuslikke paroole genereerida. Paroolihaldurid võimaldavad teil kasutada tugevaid paroole, aidates kõrvaldada kõik nõrgemad paroolid.
3. Ainult üks veebisait ühe konto kohta
Me teame, et mitme veebisaidi majutamine ühes serveris võib tunduda ideaalne, eriti kui teil on “piiramatu” veebimajutusplaan. Kahjuks on see üks halvimaid meetodeid, kuidas tagada oma veebisaidi turvalisus. Paljude saitide majutamine samas kohas loob väga soodsa pinna rünnakuks. Pidage meeles, et rünnakud sama konto kõikidele veebisaitidele on väga levinud. Kui ründaja leiab ühelt saidilt ekspluateerimise, võib nakkus kergesti levida sama serveri teistele saitidele.
Lisaks kõikide saitide korraga häkkimisele muudab see nende puhastamise ka palju pikemaks ja raskemaks. Nakatunud kohad võivad jätkata üksteise uuesti nakatamist, põhjustades isegi lõpmatu tsükli. Pärast puhastamise õnnestumist on suurimaks ülesandeks kõikide paroolide lähtestamine, tuleb muuta iga parooli, mis on seotud iga veebisaidiga serveris. See hõlmab kõiki CMS-i andmebaase ja kõigi nende veebisaitide failiedastusprotokolli (FTP) kasutajaid. Kui jätate selle sammu vahele, võidakse teie veebisaite uuesti nakatada ja nii algab kogu probleem teie jaoks jälle otsast peale.
4. Isikupärastatud juurdepääs
See reegel kehtib ainult saitidele, millel on mitu kasutajat või sisselogimist. On oluline, et igal kasutajal oleks oma töö tegemiseks vastav luba. Kui ühel kasutajal on vaja hetkelisi õigusi, andke need ainult vajamineval hetkel. Ning kui töö on tehtud, võtke õigused jällegi ära
Näiteks kui keegi soovib teile blogisse postitust kirjutada, veenduge, et tema kontol ei oleks täielikke administraatoriõigusi. Sellisel kontol peaks olema võimalik uusi postitusi luua ja nende postitusi muuta, kuid ta ei tohiks saada veebisaidi seadeid muuta.
5. Muutke oma sisuhaldussüsteemi vaikesätteid
Sisuhaldussüsteemide rakendused, isegi kui need on väga hõlpsasti kasutatavad, võivad lõppkasutajate jaoks turvalisuse seisukohast petlikud olla. Levinuimad veebisaitide rünnakud on täielikult automatiseeritud. Paljud neist rünnakutest tehakse kasutajatele, kes kasutavad vaikeseadeid.
See tähendab, et suurt hulka rünnakuid saab vältida lihtsalt oma sisuhaldussüsteemi vaikesätete muutmisega. Näiteks on mõned CMS-rakendused kasutaja kirjutatavad, mis võimaldavad kasutajal installida soovitud laienduse. Kommentaaride, kasutajate ja kasutajainfo nähtavuse kontrollimiseks võite kohandada sätteid. CMS-i vaikeandmeid saab muuta nii installimisel kui ka hiljem, peamine on, et te ei unustaks seda teha.
6. Laienduste valik
CMS-i rakenduste laiendatavus on see, mida veebimeistrid tavaliselt armastavad, kuid see võib olla ka suureks nõrkuseks. On plugine ja laiendusi, mis pakuvad peaaegu kõiki funktsioone, mida võite ette kujutada. Aga kuidas teada, millised neist on ohutud installimiseks?
Siin on mõned asjad, mida võiksite kaaluda, enne uue laienduse installimist:
- Millal laiendust viimati värskendati: kui viimane värskendus oli rohkem kui aasta tagasi, võib olla võimalik, et autor on selle kallal töötamise lõpetanud. Parem on kasutada laiendusi, mille kallal töötatakse järjepidevalt, sest see näitab, et selle autor on turvaprobleemide leidmisel valmis parandusi rakendama. Lisaks kui laiendust ei värskendada, võivad tekkida konfliktid koostöös teiste laienduste või pluginidega.
- Laienduse vanus ja installimiste arv: kindla autori väljatöötatud laiendus mitmete installimistega on usaldusväärsem kui need, millel on vähe installimisi, kuna need võivad olla väljatöötatud algajate poolt. Kogenud arendajatel pole mitte ainult paremad ettekujutused turvalisuse parimatest tavadest, vaid on ka palju vähem tõenäoline, et nad kahjustaks kellegi mainet, sisestades laiendusse pahatahtlikke koode.
- Õigustatud ja usaldusväärsed allikad: laadige plugine, laiendusi ja malle alla seaduslikest allikatest. Hoiduge viirustega nakatatud tasuta versioonidest. On olemas mitmeid laiendusi, mille ainus eesmärk on nakatada pahavaraga võimalikult palju veebisaite.
7. Varukoopia loomine
Häkitud veebisait pole asi, mida tahaksite omada või kogemus, mida proovida, kuid parim lahendus halvima juhuse korral, kui see peaks juhtuma, on hea ettevalmistus. Veebisaidi varukoopia tegemine on olulise tähtsusega probleemidest taastumiseks. Ehkki seda ei tohiks pidada täiuslikuks lahenduseks, võib varukoopia aidata teil kahjustatud faile taastada.
Hea varukoopia võiks olla esmalt salvestatud mujale, mitte veebilehega samasse serverisse. Kui teie varukoopiad on teie veebisaidi serverisse salvestatud, on need rünnakute suhtes täpselt sama haavatavad kui mis tahes muu seal olev. Sellepärast peategi oma varukoopiaid hoidma väljaspool seda, kuna soovite kaitsta salvestatud andmeid häkkerite ja riistvara tõrgete eest.
Lisaks peaksid teie varukoopiad olema tehtud automaatselt. On loogiline, et käsitsi varukoopia tegemine iga päev käiks üle jõu, kuid õnneks on olemas mitmeid varukoopiate lahendusi, mida saab programmeerida vastavalt oma veebisaidi vajadustele.
8. Installige SSL
SSL tähistab Secure Sockets Layer’it ehk eesti keeles turvasoklite kihti. See on standardne tehnoloogia veebiserveri ja brauseri vahel krüptitud ühenduse loomiseks. SSL-i installimine ei lahenda kõiki teie turvaprobleeme, kuna see ei kaitse pahatahtlike rünnakute eest ega takista pahavara levitamist.
Kuid SSL krüpteerib punkti A ja punkti B vahelise ühenduse, milleks on veebisaidi server ja külastaja brauser. See krüptimine on oluline konkreetsel põhjusel. See takistab kellelgi võimalust seda liiklust nö. “pealt kuulata”, mida nimetatakse Man in the Middle (MITM) rünnakuks. SSL on suurepärane viis paroolide, krediitkaarditeabe ja samuti muude tundlike andmete kaitsmiseks ning sellised algatused nagu Let’s Encrypt on teinud selle õnneks kõigile tasuta kättesaadavaks.
Kas te ka teadsite, et kuna Google märgistab HTTP-veebisaite kui “Mitte turvaline” kui lehel puudub SSL, on selle olemasolu väga tähtis kõikide lehtede jaoks. See on vajalik kõigi e-poodide ja muude saitide jaoks, mis aktsepteerivad tundlikke kasutajaandmeid või isikut tuvastavat teavet.
9. Lubade andmine ja juurdepääs failidele
Failide load määravad, kes saab failidega tegeleda. Tavaliselt määratakse selle jaoks kolme tüüpi kasutajad: omanik, grupid ja tavaline kasutaja. Omanik on üldiselt faili looja ning ainult üks kasutaja saab olla omanik. Grupina määratakse kindel rühm kasutajaid ning neile antakse soovitud õigused. Tavalise kasutaja all mõeldakse kõiki ülejäänud kasutajaid.
Seega, kui soovite näiteks, et omanikul oleks lugemis- ja kirjutamisõigus, kuid et grupp pääseks juurde ainult lugemiseks ning kõik ülejäänud ei saaks midagi teha, tuleb teil ka sellised juurdepääsud lisada.
Niisiis kui järgite neid suhteliselt lihtsaid samme, oletegi loonud strateegia, kuidas tagada oma veebisaidi turvalisus. Kuigi need toimingud üksi ei taga, et teie saiti kunagi ei häkitaks, peatab nende järgimine enamiku automatiseeritud rünnakutest, vähendades üldist riski teie saidile. Kui olete nendest probleemidest teadlik ja mõistate neid, aitab see teil lisaks saada ka paremaks veebihaldajaks.