Miks on kodulehe ja e-poe turvalisus oluline?

Tegelikult võiks selle küsimuse ka teisiti küsida: miks armastavad häkkerid ja pahavara levitajad eriti just e-kaubanduse haldurite ja turundusassistentide kaudu kodulehti rünnata?

Niisiis, küberpättide loogika tabamiseks tuleks kõigepealt mõista turundajate mõjutamise kunsti. Kui sotsiaalmeedia halduri tööpäevad ja -nädalad mööduvad Facebooki kaudu tasuta ripsmetušše või kingavouchereid jagades, on põhjust arvata, et sellisele giveaway´sid korraldavale “spetsialistile” näib ootamatu õnn Ferrari või iPhone X-i võitmisest küllaltki usutav. (Artikkel andmelekkest, allikas: Õhtuleht)
IT või ajakirjandustaustaga halduritega on muidugi keerulisem, kuid pettasaanute hulgas on kahjuks ka selliseid.
Tavaliselt mõtleb keskmine turundaja, kodulehe haldur või firmajuht, et “mina ja minu leht ei paku ju kellelegi huvi” ja “vaevalt, et seda rünnatakse”. See on vale arvamus! Pigem tuleks arvestada sellega, et kuna WordPress on levinud ning lihtne platvorm, rünnatakse selliseid lehti veel eriti agaralt.

Kõige lihtsam viis ennast ja oma firma kodulehte kaitsta, on lehe regulaarne uuendamine. Samuti tasuks pisut mõelda, enne kui hakata kõiki imelikke pakkumisi-kirju-manuseid-viiteid klikkima või jagama…

Siin on üks artikkel Omniva “telefoniloosimisest” (allikas: Postimees).

Omniva i-Phone
Lihtsakujulisi idioodilõkse võib olla põnev uurida, ülemäära aga ei tasu lasta end sellest mängust kaasa kiskuda
Sellised kirjad hakkavad tulema, kui iPhone-nälg liiga suureks läheb… Õrnema närvikavaga naisterahva, kes kuigi tihti kahtlaseid lehti ei külasta, võib säärane väljapressimine isegi päris ära hirmutada.

Allpool kirjeldame nelja moodust, kuidas WordPressi lehte paremini kaitsta massrünnakute ja niisama “lõbu pärast õngitsejate” eest.

Uuendused

Hoia pilk peal oma kodulehe uuendustel. Õnneks WordPressi enda süsteem teeb automaatseid uuendusi ehk siis selle pärast muret tundma ei pea. Ja peale iga versiooniuuendust tuleb ka e-maili peale kiri, et nüüd on uuendus tehtud. Pluginate ja kujundustega on asi natuke keerulisem. Need enamasti ennast ise ei uuenda, aeg-ajalt peab pilku peal hoidma ja umbes kord nädalas võiks lehe üle käia. Kui vähegi vaeva näha, on muidugi võimalik panna ka pluginad automaatselt uuenema või mis veel parem, ehitadagi kogu veeb sellisena, et seda võimalikud uuendused ei kahjustaks.

Tulemüür

See on üks olulisemaid asju tänapäevasel kodulehel. Tulemüür monitoorib igasugust liiklust ja teavitab vahejuhtumitest, sisselogimiskatsetest, proovitud kasutajanimedest, hüljatud pluginatest, avastatud turvaaukudest jms. Üks levinumatest tulemüüridest kannab nime Wordfence. Sellel on olemas nii tasuta kui ka tasuline versioon. Enamasti piisab tasuta versioonist, mis saadab postkasti raportid selle kohta, kes üritab sinu administraatori paneelile ligi saada, kust kohast on proovitud ligi saada, mida tehti, kes on lisatud blokeeritud IP-de listi jms. Lisaks saadab Wordfence iganädalaselt infot, milliseid kujundusi ja pluginaid on vaja uuendada, mis teeb selle kasutamise küllaltki muretuks ja mugavaks. Kui on kindel, et soovitakse äri ajada konkreetses piirkonnas (ja oskusi pole, et muul moel Hiina, Valgevene, Pakistani vm pärit sisselogimiskatseid tõrjuda), siis võib kaaluda ka Wordfence´i tasulist versiooni, mis soovimatud riigid väga lihtsalt ära blokeerida laseb. Näiteks Kükametsa raamatukogu kodulehel enamasti ei ole kasu Indiast tulevatest päringutest, eriti kui neid tuleb 300 tk minutis.
Kindlasti tasub mainida, et majutajad on samuti päris tihti turvalisusele mõelnud ja nt Zonel on pakkuda tasuta tulemüür.

Varukoopiad

Alati on kasulik teha lehest varukoopiaid, kuna siis saab lehe taastada eelmisesse seisu, kui miskit katki läheb. Ja kui keegi peakski ründama, on samuti tagavaraks eelmine (eeldatavalt nakatumata) versioon lehest. Siin on valikuid jällegi palju (sh pluginapõhiseid: UpdraftPlus, BackWPup vms). Mõned pluginad teevad koopia automaatselt ja mõned mitte. Suurema lehe või e-poe puhul võib automaatne varukoopia pilveteenuse (Onedrive, Dropbox jms) ära ummistada, samuti ei pruugi selline fail isegi pakituna mahtuda meili teel saadetava faili limiiti. Kui perioodiline varukoopia serverisse salvestub, siis peaks teadma, et üsna kindlasti kasvatavad  automaatsed-back-upid jõudsalt inodede arvu.

Turvaline parool

Muidugi ei saa üle ega ümber turvalisest paroolist, mida kasutada. Teada on, et hea parool võiks sisaldada vähemalt 10 tähemärki, ühte suurt tähte, väikest tähte, numbrit ja soovitavalt ka ühte kirjavahemärki. Parool tuleks alati pähe õppida või kasutada parooli konteinerit (LastPass, Intel TrueKey), kohe kindlasti ei ole seda mõistlik kirjutada üles märkmikusse, töölauale salvestatud tekstidokumenti või kleepida seda post-it lipikuga arvuti ekraani äärde.
Vaata siit, mida IT-spetsialistid paroolidest arvavad (allikas: ERR).

Milline on enam-vähem adekvaatse kodulehe sooritusvõime võrreldes unarusse jäänud või oskamatult ehitatud veebi tulemustega? Objektiivse vastuse annab web.dev test.
Ühes varasemas postituses rääkisime, kui tähtis on, et arendaja enda leht oleks enam-vähem korralik. Tegime GTMetrixis ühe kordustesti, et vaadata, kuidas ja kuhu poole aastaga viidatud veebid liikunud on.

Meie postitus võib näida isegi keskmise arvutikasutaja jaoks liiga primitiivne, arendajaid panevad need õpetussõnad võib-olla isegi muigama, kuid me ei räägiks sellest, kui neid (siin ja mujal mainitud) vigu senini ei tehtaks. Alustamegi siis algusest, ning kindlasti vaatleme küberturvalisuse teemat veel edaspidi palju põhjalikumalt!