Veebisaidi omamine on tänu suurepäraste tööriistade ja teenuste levikule muutunud väga lihtsaks. Sisuhaldussüsteemid (CMS), nagu WordPress, Joomla, Drupal, Magento ja paljud teised, võimaldavad nii eraisikutel kui ettevõtetel kiiresti ja lihtsalt end veebis esindada.

Selliste süsteemide mitmekesine ülesehitus koos rikkalike pluginate ja tõhusate mallidega on vähendanud ka vajadust õppida aastaid veebiarendust selleks, et luua dünaamilisi veebilehti.

Kuid kogu selle lihtsuse juures on ka mõned miinused.

Sageli ei tea veebilehe omanikud seda, kuidas tagada oma veebisaidi turvalisus. Eelkõige juhtub seda just algajatega, kel pole veel piisavalt kogemusi ja aimu veebisaidi turvalisuse tähtsusest.

Toome teieni praktilise kaheosalise seeria, mille fookus on veebilehe turvalisusel. Esimeses osas tutvustame lihtsamaid nippe, järgmises osas lähme spetsiifilisemaks.

Uuenda, uuenda ja veel kord uuenda!

Ebaturvalise tarkvara tõttu on igapäevaselt ohus lugematu hulk veebisaite. Tarkvara muutub ebaturvaliseks just selle mitte uuendamise tõttu. Äärmiselt oluline on värskendada saiti kohe, kui uus plugin või CMS-versioon on saadaval. Need värskendused võivad sisaldada turvaparandusi või parandada ka turvaauke.

Enamik veebirünnakuid on automatiseeritud. Robotid kontrollivad veebi pidevalt võimalike haavatavuste osas. Enam ei piisa saidi värskendamisest kord kuus või isegi nädalas, sest robotid leiavad haavatavuse suure tõenäosusega enne värskenduste tegemist. Seetõttu soovitame kasutada ka tulemüüri, mis juba enne värskenduste ilmumist turvaaugu kiirelt kinni lapib.

Parooliga tuleb rohkem vaeva näha

Veebisaidi turvalisus sõltub paljuski ka sinu enda panusest. Kas oled näiteks kunagi mõelnud, kuidas kasutatavad paroolid võivad ohustada ettevõtte veebisaidi turvalisust?

Nakatunud veebisaitide puhastamiseks on sageli vaja administraatori andmeid, et kliendi saidile või serverisse sisse logida. On hämmastav, kui ebaturvalised on mõned paroolid!

Internetis on olemas palju häkitud paroolide loendeid. Häkkerid ühendavad need loendid tihti ka sõnaraamatutega, et luua veelgi suuremad potentsiaalsete paroolide loendid. Kui leidsid loendist ka enda veebilehe parooli(d), siis võib väita, et selle häkkimine on vaid aja küsimus.

Ainult üks veebisait ühe konto kohta

Mitme veebisaidi majutamine ühes serveris võib tunduda ideaalne, eriti kui sul on “piiramatu” veebimajutusplaan. Kahjuks on see üks halvimaid meetodeid, kuidas tagada oma veebisaidi turvalisus.

Paljude saitide majutamine samas kohas loob väga soodsa pinna rünnakuks. Pea meeles, et rünnakud sama konto kõikidele veebisaitidele on väga levinud. Kui ründaja leiab ühelt saidilt ekspluateerimise, võib nakkus kergesti levida sama serveri teistele saitidele.

Lisaks kõikide saitide korraga häkkimisele muudab see ka nende puhastamise palju pikemaks ja raskemaks. Nakatunud kohad võivad jätkata üksteise uuesti nakatamist, põhjustades lõpmatu tsükli.

Pärast õnnestunud puhastamist on suurimaks ülesandeks kõikide paroolide lähtestamine – muuta tuleb iga parooli, mis on seotud iga veebisaidiga serveris. See hõlmab kõiki CMS-i andmebaase ja kõigi nende veebisaitide failiedastusprotokolli (FTP) kasutajaid. Kui jätad selle sammu vahele, võidakse veebisaite uuesti nakatada ja nii algab kogu probleem otsast peale.

Isikupärastatud juurdepääs

See reegel kehtib ainult saitidele, millel on mitu kasutajat või sisselogimist. On oluline, et igal kasutajal oleks oma töö tegemiseks vastav luba. Kui ühel kasutajal on vaja hetkelisi õigusi, siis anna need talle ainult vajamineval hetkel – kui töö on tehtud, võta õigused taas ära.

Näiteks, kui keegi soovib sinu blogisse postitust kirjutada, veendu, et tema kontol ei oleks täielikke administraatoriõigusi. Sellisel kontol peaks olema võimalik uusi postitusi luua ja nende postitusi muuta, kuid ta ei tohiks saada veebisaidi seadeid muuta.

Järgmises postituses jagame juba uusi nippe. Seniks aga vaata, kas kõik siin toodud soovitused on sinu veebisaidil rakendatud. Veebi turvalisuse tagamine on äärmiselt oluline!