Kodulehte ei saa kunagi 100% ründekindlaks teha, kuid kindlustada ennast traditsiooniliste robotrünnakute vastu küll. Kodulehe turvalisus ei sõltu ainult veebisüsteemi loojast – osa asju tuleb ise ära teha. Ka siis kui süsteem, moodulid ja kujundusmall on uuendatud maksimaalsele tasemele. Kõik standarditele üles ehitatud süsteemid on potentsiaalsed ründeobjektid, sest igal sisuhaldusel on oma turvaaugud, mida üritatakse kuidagi ära kasutada (sest WordPress, Joomla, Drupal, Magento jm vabavaraliste sisuhaldussüsteemide kasutajaid on sadu miljoneid)
Allolevad näited on toodud maailma populaarseima kodulehe sisuhalduse (WordPress) baasil. Enamike sisuhalduste puhul kehtivad sarnased turvaaukude “lappimise” punktid.
Peida “Logi sisse” ja “Admin”
Muuda ära sisselogimise aadress (nt WordPress’i standard on /wp-admin – ja seda teavad kõik robotid). Kasvõi http://domeen.ee/lehe-haldamine
“Tugev salasõna” kontroll kasutaja loomisel
Saate määrata, mis tasemel kasutajad peavad omama tugevat salasõna. Kõlab lihtsalt, aga paljud ei kasuta keerulisi salasõnu.
“Toore jõuga ründe” (Brute Force Attack) kaitse
Piira ebaõnnestunud katsete arvu kasutaja kohta. Kui keegi püüab parooli ära arvata, siis määratud arvu katsete järel blokeeritakse kasutaja ligipääs.
Kodulehe varukoopiad
Kodulehest tuleb alati omada varukoopiat – kui pahavara otsustab kodulehe faile muuta/kodulehe kustutada/kodulehe ressurssi kasutada pahatahtlikeks tegevusteks, siis vähemalt on kodulehte võimalik taastada ning likvideerida turvaaugud enne, kui sama rünne uuesti tekib. Loe lähemalt siit.
E-mail teated
Saada e-mail’le teateid, kui toimub kodulehel kahtlane tegevus (eelpool välja toodud ründed/sisselogimise katsed).
Aktiivne (Pidevalt toimuv) faili võrdlus
Võrreldakse tehtud muudatusi WordPress failidega (WordPress.org Core files), et teha kindlaks, kas muutus oli pahatahtlik.
Faili muutmise tuvastus
Kui keegi siiski saab saidile ligi, siis enamasti muudetakse faile (püütakse ära kasutada sinu serveri ressurssi nt e-mail’de saatmiseks vms toiminguteks). Meie programm tuvastab sellised toimingud ning saate e-mail teel teate, kui midagi kahtlast tehakse ning saate koheselt tegutseda rünnet tõkestama / kahju likvideerima.
404 errori tuvastus
Kui pahavaraline “programm” üritab turvauke otsida, kaasneb sellega palju “404 Viga. Lehte ei leitud.” vigu. Saate määrata lehtede arvu piirangu, et kui mingilt IP aadressilt tehakse kahtlaseid päringud, siis see IP aadress blokeeritakse (lisatakse musta nimekirja).
Blokeeri “Ohtlikud kasutajad”
Blokeeri sellised kasutajad, kes eksivad liiga tihti sisselogimiskatsete limiidi vastu, omavad 404 Vigu või on robotite mustas nimekirjas (kaasas Default must nimekiri, mida võib täiendada).
Eemal režiim (Away Mode)
Tavaliselt ei tehta muudatusi kodulehel 24 tundi päevas. Määra kodulehele ligipääsu ajaks nt 9-20 (võib olla ka 1 tund päevas) ning ülejäänud aja on kodulehe Admin blokeeritud. Saad ise toiminguid teha, kuid ründerobotid ei saa öösel lehte rünnata.
Töötab Multisite / Single Site lehtedel
Kaitset saad seadistada nii üksikule lehele kui ka lehekülgede võrgustikule.
Kodulehe turvalisuse tõstmise võimalused:
- Eemalda meta “Generator” tag – et robotid ei suudaks tuvastada, mis WP versiooniga tegu (ning seeläbi leida parimat viisi ründamisesks)
- Muuda ära WordPress Default ligipääsu kohad (login, admin jm), et robotid ei leiaks ründekohta ülesse
- Keela teatud aegadel ligipääs Admin’le – enamasti ei muudeta kodulehte 24h päevas, kuid robotid on väsimatud
- Peida uuenduste teated kasutajate eest, kel pole õigust neid uuendusi teha – seda saab teha ka teiste User Management (kasutajate haldus) moodulitega
- Eemalda üleliigne päiseinfo, mis annab infot kodulehe süsteemi kohta – meie seda ei näe, aga pahatahtlikud robotid kasutavad seda sobivaima ründe valikul
- Nimeta ümber Admin kasutaja ning anna talle teine ID number – kõik, mis on Default (standard) kaasa tulnud tuleks ära muuta, sest robotid on ehitatud ründama just neid lehti (sest neid on õige enam ja nad pole väga turvatud)
- Muuda WordPress andmebaasi laiendit – võib muuta, aga ei pea
- Muuda wp-content kaust ära – kuna failid asuvad seal kaustas, siis enamasti rünnatakse just seda (Teemad on kergesti nakatuvad ja kodulehe üldine turvalisus kohe kannatab). Muuda see ära ning robot ei oska neid faile üles leida.
- Näita suvalist süsteemiversiooni kohtades, mida näevad ilma Admin õigusteta kasutajad.
- Blokeeri tülikad robotid (Brute Force) ja kasutajad, kes eksivad liiga tihti sisselogimiskatsete (Login Attempts) või veateadete (Invalid Login Attempts) vastu
- Määra kõigile kasutajatele peale “Tugev parool” kontroll – enamasti pannakse nimi2013 või nimi987 jne. See ei ole turvaline! Määra uutele kasutajatele kohustus valida “Tugev parool”
- Määra SSL kodulehele ja Admin’le ligipääsule
- Keela failide muutmine WordPress administreerimisliidese kaudu – Kui sul on õigused kodulehte muuta, siis ilmselt on sul ka FTP ligipääsud olemas (mille kaudu faile saab muuta)
- Avasta ja blokeeri pidevad rünnakud failisüsteemi ja andmebaasi vastu
- Avasta robotid ja teised (nt manuaalsed) katsed leida kodulehe süsteemi nõrkusi – SQL strings, pikad URL’d jne
- Jälgi failisüsteemis tehtud volitamata muudatusi – kui keegi muudab faile või võrdlemisel selgub, et muudeti faili, mida ei tohiks muuta, siis saadetakse selle kohta e-mail
- Loo oma kodulehest ja andmebaasist varukoopia – kunagi ei tea, millal seda vaja läheb. Igakuised automaatsed varukoopiad (sh pilvemajutusse, kui peaks serveriga midagi juhtuma) on hädavajalikud; ja ka enne uuendamist tuleks teha manuaalselt kogu lehest varukoopia, mille tegemine võtab aega 1-5 minutit (olenevalt lehe mahust).
- Automaatsed andmebaasi varukoopiad e-mail’le – et vajadusel oleks see alati käepärast. Tänu sellele on võimalik taastada enda uusim “turvaline koduleht”
- Anna Admin/Login aadressile (URL’le) loomulikum nimetus kui wp-admin – see peidab sisselogimise ka robotite (ja manuaalsete) rünnakute eest ära. “404 Viga. Lehte ei leitud.” kaitse takistab neid ka selle otsimisel.
- Avasta varjatud 404 veateated, mida teevad robotid (püüdes leida turvaauku)
- Muuta WordPress Default jQuoery versioon turvalise versiooni vastu – kõik, mis on Default, on kergesti rünnatav (kuna kasutajaid on palju, siis sellele on kõige mõistlikum ründerobotit ehitada)
- Keela PHP toimingute tegemine Uploads kaustas – seal ei asu ühtegi .php faili, seega võib selle julgelt ära blokeerida (isegi kui peaks sinna tekkima mõni viiruslik .php fail koos pahatahtliku koodiga).
- Määra kõigile kasutajatele kohustus valida endale unikaalne Kasutajanimi võrreldes Hüüdnimega kodulehel – robotid koguvad kokku hüüdnimed ja proovivad nendega sisse logida. Kui hüüdnimi erineb kasutajast, siis nad pevad ära arvama nii Kasutaja kui ka Parooli. Vastasel juhul peavad ainult Parooli katsetama.
Kui soovite, et Teie koduleht toimiks tõrgeteta ja on huvi oma kodulehte teha turvalisemaks (olenemata sisuhaldussüsteemist), siis täitke allosas olev kontaktivorm või saatke e-mail aadressile info@kodulehe-tegemine.eu.