Kui oled käinud päris poes ja leiad hiljem selle poe veebiäri, siis ilmselt pole küsimust, kas ikka julgeb sealt osta, sest kaupmees on ju sama. Kui aga satud täiesti uude e-poodi, milles on eriti ahvatlevad hinnad, aga ei leia kuidagi kontaktandmeid ning maksevõimalused on samuti kahtlased, kas siis tasub osta?

Selleks, et e-poe turvalisuse hinnang oleks lihtsam, oleme siin kokku võtnud mõned kindlad usalduse ja ohu märgid, mis aitavad otsustada.

Sellised on turvalise e-poe tunnused

Kui tahad kindlust e-poe suhtes, siis muidugi ei saa seda keegi sada protsenti anda, kuid on mõned tunnused, mis näitavad, et see koht on usaldusväärne või vähemalt püüab teha kõik, et ostja saaks oma ostu võimalikult turvaliselt tehtud.

SSL-sertifikaat. Otsi e-poe veebiaadressi algusest “https://” ja brauseri aadressirea ees lukusümbolit. Need näitavad, et ühendus on krüpteeritud ja andmed on kaitstud, kui e-poega suhtled. See on nii elementaarne, et ilma SSL-ita veebipoest pole mõtet ostma hakatagi. Iga kaupmees peaks vähemalt selle korda tegema, kui tahab turvaliselt e-äri ajada ning selle lisamine oma veebilehele on väga lihtne.

Selged kontaktandmed. Usaldusväärsel e-poel on alati nähtaval kohal esitatud selged kontaktandmed, sealhulgas füüsiline aadress, telefoninumber ja e-posti aadress. Miks peaks neid varjama? Tavalisel kaupmehel polegi selleks mingit põhjust, vaid kahtlaste eesmärkidega veebid võivad tahta oma jälgi segada.

Kasutajate arvustused. Otsi veebist ja sotsiaalmeediast klientide tagasisidet ja arvustusi. Neid võib leiduda ka e-poe enda lehel. Positiivsed arvustused annavad kindlust, et ostud õnnestuvad ja probleeme eriti ei teki. Otsi ka negatiivseid arvustusi või neid, kus pole antud maksimumhinnet: nii saad teada, millised probleemid võivad ostes ees oodata. Mõnikord on sotsiaalmeedia hea allikas e-poe tagasiside leidmisel.

Korralik kujundus. Usaldusväärne e-pood investeerib nii kodulehe tarkvarasse kui ka disaini. Professionaalne veebikujundus ja funktsionaalsus näitavad, et oma tööd tehakse pühendumisega ja asjatundlikult.

Privaatsuspoliitika ja kasutustingimused. Loe enne ostu läbi privaatsuspoliitika ja kasutustingimused, et mõista, kuidas e-pood sinu andmeid kasutab. Kasutustingimustest võib leida ka tagastuse reeglid, garantiitingimused, maksemeetodid ja kohaletoimetamise võimalused. Kui kõik on veebilehel ära toodud, ei teki pärast arusaamatusi ja lahkarvamusi, kui midagi pole nii, nagu ostja vaikimisi eeldas.

Need on kindlad ohumärgid

Muidugi on ka e-poode, kus kampaaniate käigus võivadki olla uskumatult odavad hinnad, aga enamasti kipub see vihjama kas pettusele või peidetud kuludele, mida kohe esimesel pilgul näha pole.

Siin on mõned ohu märgid, mis peaksid tegema valvsaks.

Ebareaalselt madalad hinnad. Kahtlaselt madalad hinnad võivad olla pettuse märk. Kui sama kaupa müüakse mujal kordades kallimalt, siis ei ole tavaliselt võimalik, et üks pood suudab nii odavalt pakkuda. Kahtluse korral võiks uurida, kas Internetis on selle poe kohta arvustusi ja kui vana on e-poe domeen. Kui see on registreeritud alles hiljuti, lisab see veelgi enam kahtlusenoote.

Puudulik kontaktinfo. Kui veebilehel puuduvad selged kontaktandmed, võib tegemist olla ebausaldusväärse poega.

Halb keelekasutus ja kirjavead. Palju keelevigu ja halb keelekasutus võivad viidata ebausaldusväärsele lehele, mille taga on tegelased, kes tegelikult sellel turul ei tegutse. Kehva tõlkega üritatakse õngitseda kasutajate andmeid üle maailma, proovides meelitada emakeeles veebiga.

Maksevõimalused. Ole ettevaatlik, kui e-poele sobib ainult pangaülekanne või kasutatakse tundmatuid maksevahendajaid. Kui maksemeetodite osas tekib kahtlusi tasub taas teha internetiotsingut ja veenduda, kas see variant on ohutu.

Kuidas kontrollida e-poe usaldusväärsust?

Selleks, et kontrollida e-poe usaldusväärsust, on olemas erinevaid teenuseid nii Eestis kui rahvusvaheliselt.

Kõigepealt uuri, millal on registreeritud e-poe domeeninimi. Eestis saab seda teha veebisaidil internet.ee, rahvusvahelise domeeni puhul võiks uurida näiteks siit: whois.com.

Veebisaitide usaldusväärsuse kontrollijad. Kasuta vastavaid veebitööriistu nagu Scamadviser või Trustpilot, et hinnata e-poe usaldusväärsust. Ka Scam Detector analüüsib veebisaite põhjalikult, kuid on mõnikord liigagi kriitiline isegi tuntud korralike Eesti e-poodide vastu.

Eesti e-poodide jaoks on aga olemas „Turvalise ostukoha“ usaldusmärgis, mille saanud e-poed on varustatud vastava logoga e-poe esilehel, kus see on ostjatele lihtsasti leitav. Logo peab olema lingitud Eesti E-kaubanduse Liidu lehele, kust ostja saab kontrollida, kas lehekülg on kantud usaldusmärgise kandjate nimekirja ja omab õigust selle kandmiseks. Seda usaldusmärgist kannab Eestis hetkel pea 200 e-poodi.

Otsi tagasisidet. Kontrolli veelkord klientide arvustusi erinevatel platvormidel ja foorumites.

Kontrolli ka ettevõtte tausta. Otsi infot ettevõtte kohta äriregistrist või sarnastest allikatest.

Nipid e-poe omanikele oma veebi usaldusväärsuse tõstmiseks

Sellest, kuidas ostjad e-poe usaldusväärsust hindavad, on õppida ka e-poe pidajatel. Vähemalt need asjad võiksid korras olla, et jätta kindel mulje.

Kvaliteetne klienditeenindus. Paku kiiret ja professionaalset kliendituge. Anna ostjatele erinevaid võimalusi kontakti võtmiseks: telefon, e-post, vestlusaken e-poes jne.

Läbipaistvus. Jaga alati selget infot toodete, hindade tarneaegade ja ostutingimuste kohta.

Klientide tagasiside. Julgusta kliente jätma ausaid arvustusi ja reageeri kindlasti konstruktiivselt igasugusele tagasisidele, lahendades ka negatiivseid arvamusi.

Turvalisuse sertifikaadid. Hangi ja näita turvalisuse sertifikaate, nagu SSL ja “Turvaline ostukoht”, et näidata andmekaitse taset.

Turvalised maksevõimalused. Paku võimalikult mitmekesiseid ja usaldusväärseid maksevõimalusi.

Sotsiaalmeedias esindatus. Aktiivne sotsiaalmeedias kohalolu aitab luua usaldust ja suurendada läbipaistvust.

E-poodide turvalisus on oluline nii ostjate kui ka müüjate jaoks. Tähtis on olla teadlik ohumärkidest ja kontrollida e-poe usaldusväärsust, samal ajal kui poe omanikud peavad samuti pidevalt tööd tegema oma veebipoe usaldusväärsuse tõstmise nimel.

Allikas: veebimajutus.ee

Kui oled valmis saanud värske WordPressi lehe, tasub meeles pidada, et leht vajab ka edaspidi tähelepanu ja hoolt – värskendamist, uuendamist, täiendamist.

Mõnes mõttes saab veebilehe tervist võrrelda meie enda tervisega – mida rohkem me ennetavalt selle heaks midagi ette võtame, seda vastupidavamad ja tervemad me oleme. Selleks on veebi mõistes vaja korrapäraselt uuendada WordPressi tarkvara ennast ning kõiki selle lisasid ehk lisamooduleid (plugin) ja teemasid (theme).

Uuendada ja üle vaadata võiks kõike WordPressiga seonduvat vähemalt kord kuus.

Kas uuendused ei toimu mitte automaatselt?

Tõesti, WordPressi ja selle lisasid on võimalik seadistada end uuendama automaatselt, kuid seda ei tehta vaikimisi. Uusima WordPressi versiooni puhul on automaatne WordPressi oma versiooni uuendamine vaikimisi siiski aktiveeritud. Lisamoodulite ja teemade automaatne uuendamine tuleb aga aktiveerida käsitsi WordPressi administreerimise liideses.

Kas automaatne uuendamine on ikka soovitatav?

Automaatsel uuendamisel on tegelikult nii omad plussid kui ka miinused.

Plussid on järgmised:

Versioone tuleb niikuinii uuendada – kui valida kahe vahel, kas uuendada automaatselt või üldse mitte, siis pigem tuleks valida automaatne uuendamine.

Automaatne uuendamine tagab järjestikuse versioonilt versioonile uuendamise, mis on ohutum, kui üle mitme versiooni värskendamine ning veebilehe katkiminek uuendamise tagajärjel on niimoodi vähetõenäoline.

See hoiab kokku kodulehe omaniku või haldaja aega – automaatsete uuendamiste puhul ei pea sina või veebihaldaja kulutama aega uuenduste käsitsi läbiviimisele. Tegeleda tuleb vaid järelkontrolliga.

Siiski on ka miinuseid:

Automaatsete uuenduste puhul on alati oht, et veebileht ise või mõni selle komponent läheb selle käigus katki. Põhilised põhjused on liiga suur versioonide vahe (ehk viimasest uuendamisest on liiga palju aega möödas), käsitsi muudetud kodulehe kood, lisamoodulite/teemade/Wordpressi versioonide omavaheline konflikt.

WordPressi automaatseid uuendusi tehakse tavaliselt öösiti, kui liiklus kodulehel on kõige väiksem ning sel ajal ei ole üldjuhul keegi arvuti taga, seega ei saa ka veebilehe omanik operatiivselt reageerida, kui midagi juhtub ja veebilehte korda teha.

Automaatsete uuenduste puhul on keeruline tuvastada, kas midagi on üldse katki läinud ning kui on, siis mille uuendamise tagajärjel ja millal see juhtus.

Miks on üldse vaja uuendusi pidevalt teha?

Uuendused puudutavad eelkõige veebilehe turvalisust. Tihtipeale sisaldab uuendamata tarkavara või selle lisad turvaauke, mille kaudu on häkkeritel lihtne veebilehele ligi pääseda.

Kui nüüd küsida, et mis huvi on häkkeril ühe tavalise Eesti veebilehe vastu, siis tõesti – konkreetselt Sinu veebilehe vastu ei olegi ehk huvi, kuid häkkeritele pakuvad tavaliselt huvi ükskõik millised WordPressi lehed, mille ’’tagauks’’ on jäetud avatuks uuendamata versioonide kaudu. Häkitud veebilehe tulemuseks on aga mainekahju, tehtud töö kustumine ning lisakulud veebilehe taastamiseks ja puhastamiseks.

< Telli kodulehe hooldus CasperDisainilt >

Allikas: veebimajutus.ee

Eesti küberturbefirma Patchstack uuris taas, millised on maailma populaarseima sisuhaldusplatvormi WordPress suurimad probleemid. Suure turvauuringu kokkuvõtteks võib öelda, et ehkki enamasti ohustavad kodulehti turvaaugud mõne kolmanda osapoole pluginates, langevad veebid siiski küberpättide ohvriks sel lihtsal põhjusel, et administraatorid on jätnud vajalikud uuendused õigel ajal paigaldamata.

Veebimajutus uuris Patchstacki turundusjuhilt Mart Virkuselt, mida nad veel oma uuringuga teada said ja mida on meil kõigil tulemustest õppida.

Millised olid möödunud aastal WordPressi lehtede kõige suuremad probleemid?

Turvalisuse vaatepunktist on jätkuvalt suurimaks ohuallikaks pluginad ja teemad ehk valdavalt kolmandate osapoolte poolt loodud komponendid, mida WordPressi veebilehtede tegemiseks kasutatakse. 96% turvaaukudest, mida me eelmisel aastal oma andmebaasi lisasime, olidki pärit pluginatest.

Laiemalt on probleemiks aga ikka see, kui WordPressi lehti ei hooldata ning neile ei tehta õigeaegselt uuendusi. Turvariskidega seotud uuendused tuleks teha võimalikult kiiresti või siis kasutada Patchtsacki laadset teenust, mis lehte nende riskide eest kaitseb juba enne uuenduste tegemist.

Eraldi probleemina tooksin välja veel need pluginad, mis on arendajate poolt hüljatud ning mis enam uuendusi ei saa. Sellised pluginad on eriti ohtlikud, kuna kasutajatele jääb mulje, nagu uuendusi pole ja seega oleks kõik justkui korras.

Reeglina küll WordPress eemaldab ise ohtlikud pluginad oma nimistust, kui arendaja probleemiga ei tegele, kuid veebilehtedele jäävad need ju ikkagi alles.

Kas eelmise aasta probleemid erinesid kuidagi ka varasematest aastatest? Kas kerkis esile midagi uut?

Väga suur trend viimasel ajal on nn tarneahela turvariskid ehk siis juhtumid, kui väga suur hulk pluginaid kasutab üht ja sama komponenti, milles on sees haavatavus. Tagajärjeks on see, et taoline haavatavus levib omakorda edasi igale seda komponenti kasutavale tarkvarale.

Eelmisel aastal oli näiteks üks selline juhtum, kus turvaauk ühes tarkvaras mõjutas umbes tuhandet pluginat!

Nendest omakorda mitusada said küll tänu arendajate ja WordPressi meeskonna kiirele tegutsemisele üsna kiirelt lapitud, kuid veel sajad pluginad jäidki haavatavaks ja need eemaldati lõpuks WordPress.org nimistust.

Milline on ühel tavalisel WordPressi lehel kasutatav keskmine pluginate arv ja kui paljud on neist sellised, mida tegelikult enam ei arendata ning võiks maha võtta?

Me ise uurisime seda viimati 2021. aastal ja siis kasutas üks WordPressi leht keskmiselt 18 pluginat, millest keskeltäbi kuus on uuendamata!

Inimesed, kes lehti teevad, peaksid siiski kindlasti jälgima, millal pluginaid viimati uuendati ja kui tihti neid uuendusi üldse pakutakse. Hea märk on see, kui plugina arendaja toob ise selgelt esile turvalisusega seotud uuendused. See näitab, et ta võtab turvalisust väga tõsiselt.

Kas WordPressi turvaohtude avastamise kiirus on muutunud võrreldes varasemate aastatega?

Kindlasti. Me lisasime enda andmebaasi eelmisel aastal 4528 erinevat turvariski, mida oli üle 300% rohkem, kui üle-eelmisel aastal!

See aga ei tähenda, et arendajad oleksid lohakamad. Pigem näitabki see, et turvaauke otsitakse rohkem ja neist antakse palju rohkem teada.

Kui kiiresti pluginatele keskmiselt parandused välja tulevad?

Nii on raske öelda, aga me omalt poolt teeme pluginate arendajatega palju koostööd, et avastatud turvaaugud saaksid võimalikult kiiresti lapitud. Kui aga arendajad probleemile ei reageeri, siis kaasame vajadusel WordPressi tiimi.

Meil juhtus eelmisel aastal niimoodi 147 juhul. Paraku 60% nendest pluginatest jäidki uuenduseta ning eemaldati lõpuks WordPressi nimistust.

Millised olid eelmisel aastal suurimad WordPressi turvaintsidendid, mis mõjutasid väga paljusid veebilehti ja kuidas need lahenesid?

Elementor on väga populaarne WordPressi lehtede ehitamise platform – neil on üle viie miljoni kasutaja ja eelmine aasta avastati nende pluginas küllaltki kõrge riskiskooriga haavatavus.

Peab veel mainima, et Elementor reageerib sellistele riskidele kiiresti.

Millised olid kõige levinuimad turvaaugud, mis tehnikaid ja ohte need ära kasutasid?

Kindlasti XSS (cross-site scripting) on väga levinud rünnakutüüp. Sellised rünnakud sisestavad veebilehtedele pahaloomulisi skripte, kasutades ära näiteks lohakalt tehtud või bug’iseid vorme. Üldiselt need skriptid on siis suunatud veebilehe külastajale.

Milliseid turvaauke pole siiani ära parandatud, mis ohustavad endiselt suurt hulka WordPress kodulehti?

Reeglina väga suure kasutajaskonnaga pluginad parandatakse ikkagi kiirelt ära.

Küll aga on probleem selles, et paljud inimesed ei uuenda oma lehti ise piisavalt tihedasti ehk siis turvaauk küll lapitakse ära, kuid vanad haavatavad versioonid jäävad paljudel saitidel siiski kasutusse.

Kui haavatavus on piisavalt ohtlik ja plugin piisavalt levinud, siis on risk rünnakuga pihta saada vägagi reaalne.

 

Allikas/Rohkem lugemist: veebimajutus.ee

Eesti päritolu veebiturvalisuse ettevõte Patchstack (kellest oleme kirjutanud) hoiatab ühe väga levinud WordPressi disainimooduli Elementor Pro turvanõrkusest, mis puudutab väga paljusid veebilehti, sealhulgas ka Eestis.

Elementor Pro on tasuline WordPressi lehtedele välimuse andmise ja kohendamise lisandmoodul, mille abil saab oma WordPressi lehele anda programmeerimisest ja disainist põhjalikult teadmata täiesti professionaalse välimuse või seda hiljem muuta. Veebimajutuses saab muide sellesama mooduli tasuta versiooni oma WordPressi paigaldusel kasutada, kuid turvaoht tasuta versiooni ei puutu.

Märtsi teises pooles avastatud turvaoht lubab WordPressi lehel Elementor Pro plugini ehk lisandmoodulit kasutades ja paigaldatud Woocommerce´i e-poega kasutada ära ebameeldivat turvanõrkust, millega suvalised lehel autenditud kasutajad, nagu näiteks e-poe kliendid või kogukonna liikmed saavad veebiseadeid muuta, mis võib viia kogu kodulehe täieliku ülevõtmiseni.

Turvaohu avastajaks 18. märtsil oli NineTechNet ja kirjutati sellest 28. märtsil. Puudutatud on kõik plugini versioonid, mis on 3.11.6 ja vanemad. 22. märtsist on saadaval versiooniuuendus 3.11.7, millega oht on kõrvaldatud.

Seega kõik kasutajad, kes seda lisandmoodulit kasutavad, peaksid kiiremas korras oma WordPressi plugini uuendama. Võimalike tagajärgede avastamiseks peaks üle vaatama ka logifailid. Patchstacki andmetel on turvaauku üritatud ka ära kasutada.

Allikas: veebimajutus.ee