Hoia oma kodulehe turvalisusel pilk peal: seda aitab teha kuuraport

Autor: casperdisain

Hoia oma kodulehe turvalisusel pilk peal: seda aitab teha kuuraport

Kui sinu koduleht on hästi turvatud, pole igapäevaseks muretsemiseks põhjust. Küll aga tasub aeg-ajalt silm peal hoida, mis veebis toimub, millised ohud on tõrjutud ja kas kõik toimib nii nagu peab. Just selle eest hoolitsebki Veebimajutuse kuuraport – see annab sulle kord kuus selge ja lihtsasti mõistetava ülevaate sinu veebilehe seisukorrast, turvalisusest ja toimivusest.

Nii saab suurema kindluse, et veeb on tõesti alati parimas korras nii sisult kui ka tehnilise poole pealt ning toob rohkem liiklust, nähtavust ja müüki. Tegemist on üsna unikaalse teenusega, mis sai tehtud Veebimajutuse kasutajate soovide põhjal.

Miks on kuuraport nii oluline?

Kuna veebileht on iga ettevõtte jaoks väga oluline, olles kas põhiline visiitkaart klientide ja huviliste jaoks või keskne osa firma e-ärist, siis peab selle müügikanali ja suhtlusvahendi eest hoolt kandma. Veebilehe haldamine ei pea aga olema keeruline, eriti kui selle tehnilise poolega kursis olemine pole ettevõtte põhitegevus. Just siin tulebki appi kuuraport.

Kuuraport annab veebilehe omanikule selge ja väga lihtsasti arusaadava ülevaate kodulehe toimimisest, turvalisusest ja külastatavusest. Raporti mõistmiseks ei pea olema spetsialist, kõik on keerulistesse tehnilistesse detailidesse sukeldumata lahti seletatud.

Kokkuvõttes aitab kuuraport üsna mitmel erineval moel:

Säästab aega ja raha. Kõik olulised andmed on raportis kirjas ühes kohas, säästes ajakulu erinevatest allikatestinfo otsimisele.
Tõstab turvalisust. Kuuraportiga saab teada võimalikest haavatavustest ja rünnakutest, mis aitab ennetada suuremaid kahjusid.
Aitab parandada veebilehe töökindlust ja kiirust. Nii saab teada, millised lisamoodulid vajavad uuendamist või millal PHP versioon on aegunud.
Kasvatab külastatavust ja müüki. Tõesti, ka müüki saab raporti abil parandada, kuna see pakub välja konkreetseid andmeid ja soovitusi veebilehe edasiarendamiseks.
Annab kindlustunde. Isegi kui kõik on korras ja raporteerida on vähe, annab see ikkagi kindlustunde, et veebileht on hooldatud, turvaline ja toimib hästi.

Mida kuuraport sisaldab?

Kuuraport pakub nii sisulisi kui ka tehnilisi soovitusi ja infot hetkeolukorra kohta, keskendudes muidugi kõigepealt veebilehe turvalisusele, WordPressi tervisele ja külastajate statistikale. Kuid e-kirjast leiab muudki kasulikku.

Sellest leiab järgmised vajalikud osad:

Külastajate statistika. Raportis avaldatakse põhilised numbrid külastajate ja külastuste kohta (külastuste arv, lehtedel veedetud aeg, põrkemäär ehk bounce rate jne). Kui tahad aga süvitsi edasi uurida, leidub e-kirjas viide Veebimajutuse iseteenindusportaali, kus Plausible’i abil saab juba põhjalikumalt kogu statistikat vaadata. Ainulaadne on seegi, et Plausible’i kasutus 30-päevase perioodiga on Standard paketis juba hinna sees, eraldi ostma seda siis ei pea. Pikema perioodi vaatamiseks saab aga kasutusele võtta Pluss paketi, kus ei ole ajalist piirangut.
Turvakaitse ülevaade. Saab põhjalikku infot võimalike haavatavuste kohta: millised on viimase 30 päeva jooksul tuvastatud turvariskid, millised rünnakud toimusid ja kui palju rünnakuid on edukalt blokeeritud.
WordPressi üldine seis. Siit leiab ülevaate WordPressi enda versioonist, kas see on ajakohane, samuti lisamoodulite seisust, kas esineb aegunud või uuendamist vajavaid mooduleid ning antakse ka ülevaade võimalikest tehnilistest probleemidest või konfliktidest lisamoodulite vahel.
Serveri poole ülevaade. Jagatakse infot serveris kasutatava PHP versiooni kohta: kas see on uuendatud ja turvaline, kas alamkaustades leidub vanu WordPressi koopiaid või katsetusi, mis võivad ohustada peamist lehte ning jagatakse soovitusi, mida vanade failidega teha, mis enam kasutust ei leia.
Uudised, uuendused ja soovitused. Oluline on olla kursis teadaannetega WordPressi uuenduste, turvalisuse või lihtsalt üldiste veebimaailma trendide kohta. Kui kodulehel on vaja midagi ette võtta, saab konkreetseid samm-sammulisi soovitusi puuduste likvideerimiseks või uuenduste rakendamiseks. Näiteks juhendatakse, kuidas pluginaid uuendada, sisu optimeerida, täiendavaid turvalahendusi paigaldada jne.

Kellele on kuuraport mõeldud?

Muidugi on kuuraport kõigepealt suunatud veebilehe omanikele, kuid ka turundusinimestele, ettevõtte juhtidele, veebihalduritele ja kõigile neile, kes soovivad lihtsat, kuid põhjalikku ülevaadet oma veebilehe toimimisest ja turvalisusest.

Regulaarne statistika aitab näiteks turundajatel tuvastada, millised tegevused toovad reaalset kasu ja millised mitte. Seega saab teha andmetel põhinevaid teadlikke otsuseid ning suurendada turunduse efektiivsust.

Veebilahenduse arendamisel saab aga pidevalt selge ülevaate nii sisulistest kui ka tehnilistest puudujääkidest, mis aitab paremini planeerida edasisi arendustegevusi. Teadmised WordPressi seisust ning turvariskidest loovad võimaluse enne suuremate probleemide teket need juba eos ära lahendada.

Kuuraport ei ole seega lihtsalt vahepala huvitava lugemisega – see aitab paremini koostööd teha, näidates läbipaistvalt, kuidas veebilehte igakuiselt hooldatakse ja turvatakse.

Kuuraport annab seega unikaalse lisavõimaluse kõige olulisega kursis olemiseks ühe mugava kõik-ühes e-kirja abiga, mis saabub just paraja sagedusega: kord kuus. See on kirja pandud nii, et oleks lihtne lugeda ka inimesel, kes pole tehniliste detailidega väga kursis. Tagasiside põhjal raport pidevalt uueneb ja areneb ning ühendab endas ka teise Veebimajutuse teenuse – Plausible’i statistika.

Kuidas kuuraport välja näeb?

Nagu allolevast ekraanipildist näha, koosneb kuuraport neljast põhiosast: külastajate statistikast, turvalisuse ülevaatest, WordPressi tervise hetkeseisust ja täiendavast infost, kus on ära märgitud muud leiud veebilehelt.

Kokkuvõttes on kuuraport klientide poolt hästi vastu võetud ja areneb tagasiside põhjal pidevalt edasi, andes igakuiselt põhjaliku ülevaate just konkreetselt sinu enda veebilehe tervise ja turvalisuse kohta. See teenus tagab, et veeb oleks alati nii sisult kui tehnilise poole pealt parimas korras ning tooks rohkem liiklust, nähtavust ja müüki.

Veebimajutus.ee juures WordPressi majutades ei pea sa midagi ise tegema – nemad saadavad kuuraporti sulle automaatselt!

Allikas: veebimajutus.ee

Loe rohkem

Veelkord aegunud PHP versioonidest

Mäletatavasti teavitas zone.ee aprilli lõpus kliente sellest, et aegunud PHP versioonide kasutamine muutub tasuliseks. Mõistetavasti tuli see uudis paljudele üllatusena, mistõttu on oluline siiski taaskord märkida, et need PHP versioonid on aegunud olnud juba aastaid ning nende aastate jooksul oleme sellest oma kasutajaid ka korduvalt teavitanud. Ülemineku lihtsustamiseks uuematele PHP versioonidele on zone.ee ära teinud väga suure töö. Kuna kordamine on tarkuse ema, siis käime selle teema veelkord üle.

Aegunud PHP versioonide tasuliseks muutmine pole meie klientidele midagi uut. Viimased PHP 5.4 (ja vanemad) versioone toetavad serverid kaotasime 2022. aasta lõpus, mil lõpetasime toe selleks ajaks juba väga vanadele versioonidele. Sellest ajast alates on Minu Zone kasutajaliideses saadaval ainulaadne PHP versiooni testimise tööriist, mis tänaseks on omakorda läbinud põhjaliku uuenduse ja mis võimaldab testida kõiki Zone poolt toetatud PHP versioone. Loe selle kohta siit lähemalt: Vähem peavalu uute PHP versioonidega.

Uut PHP strateegiat välja töötades oleme pannud palju rõhku kasutajamugavusele. Esimese asjana oleme ise uuendanud umbes 2/3 kõigist aegunud PHP versioonidest, mis Zone veebimajutusplatvormil 1. aprilli seisuga olid. Suurima panuse on andnud:

Alam- ja peadomeenid, kus PHP-d pole kasutusel
Tuhanded WordPressi baasil kodulehed, mis töötasid vähemalt PHP 8.0 versiooniga
Alam- ja peadomeenid, mis on suunatud Zone veebist eemale erinevatel põhjustel
Lisaks on lõppkasutajad ise tuhandeid hoste iseseisvalt ära uuendanud – te olete väga tublid!

Nagu legendaarne Ameerika TV müügimees Billy Mays kunagi ütles, siis: “But wait! There’s more!”

PHP uuendamine pole sageli kasutajate to-do nimekirjas esimesel kohal. Kui versiooni uuendamine ette võetakse, siis tehakse seda üks kord ja jäetakse see uuesti unarusse. Soovime pakkuda jätkusuutlikku teenust ja muuta klientide elu lihtsamaks. Seetõttu töötasime välja progressiivse PHP toe, mille kohta leiad täpsemat infot sellest blogiartiklist: PHP versiooniuuenduste strateegiad.

Nimelt saab nüüd iga kasutaja või veebilehe tegija valida strateegia, mille alusel tema veebiserveri PHP versiooni automaatselt uuendatakse. Teavitame sind uutest PHP versioonide tulekust ja ka uutele versioonidele üleminekust aegsasti ette. Soovikorral loe pikemalt siit!

Ei ole omal aega ega oskust kodulehte ja PHP-d uuendada ? Casperdisain teeb selle Sinu eest ära ilma kodulehe tööd häirimata, selleks võta meiega julgesti ühendust! 🙂

Alikkas: Zone.ee

Loe rohkem

Kuidas tunda ära turvaline e-pood?

Kui oled käinud päris poes ja leiad hiljem selle poe veebiäri, siis ilmselt pole küsimust, kas ikka julgeb sealt osta, sest kaupmees on ju sama. Kui aga satud täiesti uude e-poodi, milles on eriti ahvatlevad hinnad, aga ei leia kuidagi kontaktandmeid ning maksevõimalused on samuti kahtlased, kas siis tasub osta?

Selleks, et e-poe turvalisuse hinnang oleks lihtsam, oleme siin kokku võtnud mõned kindlad usalduse ja ohu märgid, mis aitavad otsustada.

Sellised on turvalise e-poe tunnused

Kui tahad kindlust e-poe suhtes, siis muidugi ei saa seda keegi sada protsenti anda, kuid on mõned tunnused, mis näitavad, et see koht on usaldusväärne või vähemalt püüab teha kõik, et ostja saaks oma ostu võimalikult turvaliselt tehtud.

SSL-sertifikaat. Otsi e-poe veebiaadressi algusest “https://” ja brauseri aadressirea ees lukusümbolit. Need näitavad, et ühendus on krüpteeritud ja andmed on kaitstud, kui e-poega suhtled. See on nii elementaarne, et ilma SSL-ita veebipoest pole mõtet ostma hakatagi. Iga kaupmees peaks vähemalt selle korda tegema, kui tahab turvaliselt e-äri ajada ning selle lisamine oma veebilehele on väga lihtne.

Selged kontaktandmed. Usaldusväärsel e-poel on alati nähtaval kohal esitatud selged kontaktandmed, sealhulgas füüsiline aadress, telefoninumber ja e-posti aadress. Miks peaks neid varjama? Tavalisel kaupmehel polegi selleks mingit põhjust, vaid kahtlaste eesmärkidega veebid võivad tahta oma jälgi segada.

Kasutajate arvustused. Otsi veebist ja sotsiaalmeediast klientide tagasisidet ja arvustusi. Neid võib leiduda ka e-poe enda lehel. Positiivsed arvustused annavad kindlust, et ostud õnnestuvad ja probleeme eriti ei teki. Otsi ka negatiivseid arvustusi või neid, kus pole antud maksimumhinnet: nii saad teada, millised probleemid võivad ostes ees oodata. Mõnikord on sotsiaalmeedia hea allikas e-poe tagasiside leidmisel.

Korralik kujundus. Usaldusväärne e-pood investeerib nii kodulehe tarkvarasse kui ka disaini. Professionaalne veebikujundus ja funktsionaalsus näitavad, et oma tööd tehakse pühendumisega ja asjatundlikult.

Privaatsuspoliitika ja kasutustingimused. Loe enne ostu läbi privaatsuspoliitika ja kasutustingimused, et mõista, kuidas e-pood sinu andmeid kasutab. Kasutustingimustest võib leida ka tagastuse reeglid, garantiitingimused, maksemeetodid ja kohaletoimetamise võimalused. Kui kõik on veebilehel ära toodud, ei teki pärast arusaamatusi ja lahkarvamusi, kui midagi pole nii, nagu ostja vaikimisi eeldas.

Need on kindlad ohumärgid

Muidugi on ka e-poode, kus kampaaniate käigus võivadki olla uskumatult odavad hinnad, aga enamasti kipub see vihjama kas pettusele või peidetud kuludele, mida kohe esimesel pilgul näha pole.

Siin on mõned ohu märgid, mis peaksid tegema valvsaks.

Ebareaalselt madalad hinnad. Kahtlaselt madalad hinnad võivad olla pettuse märk. Kui sama kaupa müüakse mujal kordades kallimalt, siis ei ole tavaliselt võimalik, et üks pood suudab nii odavalt pakkuda. Kahtluse korral võiks uurida, kas Internetis on selle poe kohta arvustusi ja kui vana on e-poe domeen. Kui see on registreeritud alles hiljuti, lisab see veelgi enam kahtlusenoote.

Puudulik kontaktinfo. Kui veebilehel puuduvad selged kontaktandmed, võib tegemist olla ebausaldusväärse poega.

Halb keelekasutus ja kirjavead. Palju keelevigu ja halb keelekasutus võivad viidata ebausaldusväärsele lehele, mille taga on tegelased, kes tegelikult sellel turul ei tegutse. Kehva tõlkega üritatakse õngitseda kasutajate andmeid üle maailma, proovides meelitada emakeeles veebiga.

Maksevõimalused. Ole ettevaatlik, kui e-poele sobib ainult pangaülekanne või kasutatakse tundmatuid maksevahendajaid. Kui maksemeetodite osas tekib kahtlusi tasub taas teha internetiotsingut ja veenduda, kas see variant on ohutu.

Kuidas kontrollida e-poe usaldusväärsust?

Selleks, et kontrollida e-poe usaldusväärsust, on olemas erinevaid teenuseid nii Eestis kui rahvusvaheliselt.

Kõigepealt uuri, millal on registreeritud e-poe domeeninimi. Eestis saab seda teha veebisaidil internet.ee, rahvusvahelise domeeni puhul võiks uurida näiteks siit: whois.com.

Veebisaitide usaldusväärsuse kontrollijad. Kasuta vastavaid veebitööriistu nagu Scamadviser või Trustpilot, et hinnata e-poe usaldusväärsust. Ka Scam Detector analüüsib veebisaite põhjalikult, kuid on mõnikord liigagi kriitiline isegi tuntud korralike Eesti e-poodide vastu.

Eesti e-poodide jaoks on aga olemas „Turvalise ostukoha“ usaldusmärgis, mille saanud e-poed on varustatud vastava logoga e-poe esilehel, kus see on ostjatele lihtsasti leitav. Logo peab olema lingitud Eesti E-kaubanduse Liidu lehele, kust ostja saab kontrollida, kas lehekülg on kantud usaldusmärgise kandjate nimekirja ja omab õigust selle kandmiseks. Seda usaldusmärgist kannab Eestis hetkel pea 200 e-poodi.

Otsi tagasisidet. Kontrolli veelkord klientide arvustusi erinevatel platvormidel ja foorumites.

Kontrolli ka ettevõtte tausta. Otsi infot ettevõtte kohta äriregistrist või sarnastest allikatest.

Nipid e-poe omanikele oma veebi usaldusväärsuse tõstmiseks

Sellest, kuidas ostjad e-poe usaldusväärsust hindavad, on õppida ka e-poe pidajatel. Vähemalt need asjad võiksid korras olla, et jätta kindel mulje.

Kvaliteetne klienditeenindus. Paku kiiret ja professionaalset kliendituge. Anna ostjatele erinevaid võimalusi kontakti võtmiseks: telefon, e-post, vestlusaken e-poes jne.

Läbipaistvus. Jaga alati selget infot toodete, hindade tarneaegade ja ostutingimuste kohta.

Klientide tagasiside. Julgusta kliente jätma ausaid arvustusi ja reageeri kindlasti konstruktiivselt igasugusele tagasisidele, lahendades ka negatiivseid arvamusi.

Turvalisuse sertifikaadid. Hangi ja näita turvalisuse sertifikaate, nagu SSL ja “Turvaline ostukoht”, et näidata andmekaitse taset.

Turvalised maksevõimalused. Paku võimalikult mitmekesiseid ja usaldusväärseid maksevõimalusi.

Sotsiaalmeedias esindatus. Aktiivne sotsiaalmeedias kohalolu aitab luua usaldust ja suurendada läbipaistvust.

E-poodide turvalisus on oluline nii ostjate kui ka müüjate jaoks. Tähtis on olla teadlik ohumärkidest ja kontrollida e-poe usaldusväärsust, samal ajal kui poe omanikud peavad samuti pidevalt tööd tegema oma veebipoe usaldusväärsuse tõstmise nimel.

Allikas: veebimajutus.ee

Loe rohkem

Kas WordPressi kodulehte peab ka jooksvalt uuendama?

Kui oled valmis saanud värske WordPressi lehe, tasub meeles pidada, et leht vajab ka edaspidi tähelepanu ja hoolt – värskendamist, uuendamist, täiendamist.

Mõnes mõttes saab veebilehe tervist võrrelda meie enda tervisega – mida rohkem me ennetavalt selle heaks midagi ette võtame, seda vastupidavamad ja tervemad me oleme. Selleks on veebi mõistes vaja korrapäraselt uuendada WordPressi tarkvara ennast ning kõiki selle lisasid ehk lisamooduleid (plugin) ja teemasid (theme).

Uuendada ja üle vaadata võiks kõike WordPressiga seonduvat vähemalt kord kuus.

Kas uuendused ei toimu mitte automaatselt?

Tõesti, WordPressi ja selle lisasid on võimalik seadistada end uuendama automaatselt, kuid seda ei tehta vaikimisi. Uusima WordPressi versiooni puhul on automaatne WordPressi oma versiooni uuendamine vaikimisi siiski aktiveeritud. Lisamoodulite ja teemade automaatne uuendamine tuleb aga aktiveerida käsitsi WordPressi administreerimise liideses.

Kas automaatne uuendamine on ikka soovitatav?

Automaatsel uuendamisel on tegelikult nii omad plussid kui ka miinused.

Plussid on järgmised:

Versioone tuleb niikuinii uuendada – kui valida kahe vahel, kas uuendada automaatselt või üldse mitte, siis pigem tuleks valida automaatne uuendamine.

Automaatne uuendamine tagab järjestikuse versioonilt versioonile uuendamise, mis on ohutum, kui üle mitme versiooni värskendamine ning veebilehe katkiminek uuendamise tagajärjel on niimoodi vähetõenäoline.

See hoiab kokku kodulehe omaniku või haldaja aega – automaatsete uuendamiste puhul ei pea sina või veebihaldaja kulutama aega uuenduste käsitsi läbiviimisele. Tegeleda tuleb vaid järelkontrolliga.

Siiski on ka miinuseid:

Automaatsete uuenduste puhul on alati oht, et veebileht ise või mõni selle komponent läheb selle käigus katki. Põhilised põhjused on liiga suur versioonide vahe (ehk viimasest uuendamisest on liiga palju aega möödas), käsitsi muudetud kodulehe kood, lisamoodulite/teemade/Wordpressi versioonide omavaheline konflikt.

WordPressi automaatseid uuendusi tehakse tavaliselt öösiti, kui liiklus kodulehel on kõige väiksem ning sel ajal ei ole üldjuhul keegi arvuti taga, seega ei saa ka veebilehe omanik operatiivselt reageerida, kui midagi juhtub ja veebilehte korda teha.

Automaatsete uuenduste puhul on keeruline tuvastada, kas midagi on üldse katki läinud ning kui on, siis mille uuendamise tagajärjel ja millal see juhtus.

Miks on üldse vaja uuendusi pidevalt teha?

Uuendused puudutavad eelkõige veebilehe turvalisust. Tihtipeale sisaldab uuendamata tarkavara või selle lisad turvaauke, mille kaudu on häkkeritel lihtne veebilehele ligi pääseda.

Kui nüüd küsida, et mis huvi on häkkeril ühe tavalise Eesti veebilehe vastu, siis tõesti – konkreetselt Sinu veebilehe vastu ei olegi ehk huvi, kuid häkkeritele pakuvad tavaliselt huvi ükskõik millised WordPressi lehed, mille ’’tagauks’’ on jäetud avatuks uuendamata versioonide kaudu. Häkitud veebilehe tulemuseks on aga mainekahju, tehtud töö kustumine ning lisakulud veebilehe taastamiseks ja puhastamiseks.

< Telli kodulehe hooldus CasperDisainilt >

Allikas: veebimajutus.ee

Loe rohkem

WordPressi suurimaks ohuks on adminnide lohakus

Eesti küberturbefirma Patchstack uuris taas, millised on maailma populaarseima sisuhaldusplatvormi WordPress suurimad probleemid. Suure turvauuringu kokkuvõtteks võib öelda, et ehkki enamasti ohustavad kodulehti turvaaugud mõne kolmanda osapoole pluginates, langevad veebid siiski küberpättide ohvriks sel lihtsal põhjusel, et administraatorid on jätnud vajalikud uuendused õigel ajal paigaldamata.

Veebimajutus uuris Patchstacki turundusjuhilt Mart Virkuselt, mida nad veel oma uuringuga teada said ja mida on meil kõigil tulemustest õppida.

Millised olid möödunud aastal WordPressi lehtede kõige suuremad probleemid?

Turvalisuse vaatepunktist on jätkuvalt suurimaks ohuallikaks pluginad ja teemad ehk valdavalt kolmandate osapoolte poolt loodud komponendid, mida WordPressi veebilehtede tegemiseks kasutatakse. 96% turvaaukudest, mida me eelmisel aastal oma andmebaasi lisasime, olidki pärit pluginatest.

Laiemalt on probleemiks aga ikka see, kui WordPressi lehti ei hooldata ning neile ei tehta õigeaegselt uuendusi. Turvariskidega seotud uuendused tuleks teha võimalikult kiiresti või siis kasutada Patchtsacki laadset teenust, mis lehte nende riskide eest kaitseb juba enne uuenduste tegemist.

Eraldi probleemina tooksin välja veel need pluginad, mis on arendajate poolt hüljatud ning mis enam uuendusi ei saa. Sellised pluginad on eriti ohtlikud, kuna kasutajatele jääb mulje, nagu uuendusi pole ja seega oleks kõik justkui korras.

Reeglina küll WordPress eemaldab ise ohtlikud pluginad oma nimistust, kui arendaja probleemiga ei tegele, kuid veebilehtedele jäävad need ju ikkagi alles.

Kas eelmise aasta probleemid erinesid kuidagi ka varasematest aastatest? Kas kerkis esile midagi uut?

Väga suur trend viimasel ajal on nn tarneahela turvariskid ehk siis juhtumid, kui väga suur hulk pluginaid kasutab üht ja sama komponenti, milles on sees haavatavus. Tagajärjeks on see, et taoline haavatavus levib omakorda edasi igale seda komponenti kasutavale tarkvarale.

Eelmisel aastal oli näiteks üks selline juhtum, kus turvaauk ühes tarkvaras mõjutas umbes tuhandet pluginat!

Nendest omakorda mitusada said küll tänu arendajate ja WordPressi meeskonna kiirele tegutsemisele üsna kiirelt lapitud, kuid veel sajad pluginad jäidki haavatavaks ja need eemaldati lõpuks WordPress.org nimistust.

Milline on ühel tavalisel WordPressi lehel kasutatav keskmine pluginate arv ja kui paljud on neist sellised, mida tegelikult enam ei arendata ning võiks maha võtta?

Me ise uurisime seda viimati 2021. aastal ja siis kasutas üks WordPressi leht keskmiselt 18 pluginat, millest keskeltäbi kuus on uuendamata!

Inimesed, kes lehti teevad, peaksid siiski kindlasti jälgima, millal pluginaid viimati uuendati ja kui tihti neid uuendusi üldse pakutakse. Hea märk on see, kui plugina arendaja toob ise selgelt esile turvalisusega seotud uuendused. See näitab, et ta võtab turvalisust väga tõsiselt.

patchstack_dashboard_2023

Kas WordPressi turvaohtude avastamise kiirus on muutunud võrreldes varasemate aastatega?

Kindlasti. Me lisasime enda andmebaasi eelmisel aastal 4528 erinevat turvariski, mida oli üle 300% rohkem, kui üle-eelmisel aastal!

See aga ei tähenda, et arendajad oleksid lohakamad. Pigem näitabki see, et turvaauke otsitakse rohkem ja neist antakse palju rohkem teada.

Kui kiiresti pluginatele keskmiselt parandused välja tulevad?

Nii on raske öelda, aga me omalt poolt teeme pluginate arendajatega palju koostööd, et avastatud turvaaugud saaksid võimalikult kiiresti lapitud. Kui aga arendajad probleemile ei reageeri, siis kaasame vajadusel WordPressi tiimi.

Meil juhtus eelmisel aastal niimoodi 147 juhul. Paraku 60% nendest pluginatest jäidki uuenduseta ning eemaldati lõpuks WordPressi nimistust.

Millised olid eelmisel aastal suurimad WordPressi turvaintsidendid, mis mõjutasid väga paljusid veebilehti ja kuidas need lahenesid?

Elementor on väga populaarne WordPressi lehtede ehitamise platform – neil on üle viie miljoni kasutaja ja eelmine aasta avastati nende pluginas küllaltki kõrge riskiskooriga haavatavus.

Peab veel mainima, et Elementor reageerib sellistele riskidele kiiresti.

Millised olid kõige levinuimad turvaaugud, mis tehnikaid ja ohte need ära kasutasid?

Kindlasti XSS (cross-site scripting) on väga levinud rünnakutüüp. Sellised rünnakud sisestavad veebilehtedele pahaloomulisi skripte, kasutades ära näiteks lohakalt tehtud või bug’iseid vorme. Üldiselt need skriptid on siis suunatud veebilehe külastajale.

Milliseid turvaauke pole siiani ära parandatud, mis ohustavad endiselt suurt hulka WordPress kodulehti?

Reeglina väga suure kasutajaskonnaga pluginad parandatakse ikkagi kiirelt ära.

Küll aga on probleem selles, et paljud inimesed ei uuenda oma lehti ise piisavalt tihedasti ehk siis turvaauk küll lapitakse ära, kuid vanad haavatavad versioonid jäävad paljudel saitidel siiski kasutusse.

Kui haavatavus on piisavalt ohtlik ja plugin piisavalt levinud, siis on risk rünnakuga pihta saada vägagi reaalne.

Allikas/Rohkem lugemist: veebimajutus.ee

Loe rohkem

Ettevaatust! Elementor Pro turvanõrkus puudutab 11 miljonit WordPressi lehte

Eesti päritolu veebiturvalisuse ettevõte Patchstack (kellest oleme kirjutanud) hoiatab ühe väga levinud WordPressi disainimooduli Elementor Pro turvanõrkusest, mis puudutab väga paljusid veebilehti, sealhulgas ka Eestis.

Elementor Pro on tasuline WordPressi lehtedele välimuse andmise ja kohendamise lisandmoodul, mille abil saab oma WordPressi lehele anda programmeerimisest ja disainist põhjalikult teadmata täiesti professionaalse välimuse või seda hiljem muuta. Veebimajutuses saab muide sellesama mooduli tasuta versiooni oma WordPressi paigaldusel kasutada, kuid turvaoht tasuta versiooni ei puutu.

Märtsi teises pooles avastatud turvaoht lubab WordPressi lehel Elementor Pro plugini ehk lisandmoodulit kasutades ja paigaldatud Woocommerce´i e-poega kasutada ära ebameeldivat turvanõrkust, millega suvalised lehel autenditud kasutajad, nagu näiteks e-poe kliendid või kogukonna liikmed saavad veebiseadeid muuta, mis võib viia kogu kodulehe täieliku ülevõtmiseni.

Turvaohu avastajaks 18. märtsil oli NineTechNet ja kirjutati sellest 28. märtsil. Puudutatud on kõik plugini versioonid, mis on 3.11.6 ja vanemad. 22. märtsist on saadaval versiooniuuendus 3.11.7, millega oht on kõrvaldatud.

Seega kõik kasutajad, kes seda lisandmoodulit kasutavad, peaksid kiiremas korras oma WordPressi plugini uuendama. Võimalike tagajärgede avastamiseks peaks üle vaatama ka logifailid. Patchstacki andmetel on turvaauku üritatud ka ära kasutada.

Allikas: veebimajutus.ee

Loe rohkem