Kui oled valmis saanud värske WordPressi lehe, tasub meeles pidada, et leht vajab ka edaspidi tähelepanu ja hoolt – värskendamist, uuendamist, täiendamist.

Mõnes mõttes saab veebilehe tervist võrrelda meie enda tervisega – mida rohkem me ennetavalt selle heaks midagi ette võtame, seda vastupidavamad ja tervemad me oleme. Selleks on veebi mõistes vaja korrapäraselt uuendada WordPressi tarkvara ennast ning kõiki selle lisasid ehk lisamooduleid (plugin) ja teemasid (theme).

Uuendada ja üle vaadata võiks kõike WordPressiga seonduvat vähemalt kord kuus.

Kas uuendused ei toimu mitte automaatselt?

Tõesti, WordPressi ja selle lisasid on võimalik seadistada end uuendama automaatselt, kuid seda ei tehta vaikimisi. Uusima WordPressi versiooni puhul on automaatne WordPressi oma versiooni uuendamine vaikimisi siiski aktiveeritud. Lisamoodulite ja teemade automaatne uuendamine tuleb aga aktiveerida käsitsi WordPressi administreerimise liideses.

Kas automaatne uuendamine on ikka soovitatav?

Automaatsel uuendamisel on tegelikult nii omad plussid kui ka miinused.

Plussid on järgmised:

Versioone tuleb niikuinii uuendada – kui valida kahe vahel, kas uuendada automaatselt või üldse mitte, siis pigem tuleks valida automaatne uuendamine.

Automaatne uuendamine tagab järjestikuse versioonilt versioonile uuendamise, mis on ohutum, kui üle mitme versiooni värskendamine ning veebilehe katkiminek uuendamise tagajärjel on niimoodi vähetõenäoline.

See hoiab kokku kodulehe omaniku või haldaja aega – automaatsete uuendamiste puhul ei pea sina või veebihaldaja kulutama aega uuenduste käsitsi läbiviimisele. Tegeleda tuleb vaid järelkontrolliga.

Siiski on ka miinuseid:

Automaatsete uuenduste puhul on alati oht, et veebileht ise või mõni selle komponent läheb selle käigus katki. Põhilised põhjused on liiga suur versioonide vahe (ehk viimasest uuendamisest on liiga palju aega möödas), käsitsi muudetud kodulehe kood, lisamoodulite/teemade/Wordpressi versioonide omavaheline konflikt.

WordPressi automaatseid uuendusi tehakse tavaliselt öösiti, kui liiklus kodulehel on kõige väiksem ning sel ajal ei ole üldjuhul keegi arvuti taga, seega ei saa ka veebilehe omanik operatiivselt reageerida, kui midagi juhtub ja veebilehte korda teha.

Automaatsete uuenduste puhul on keeruline tuvastada, kas midagi on üldse katki läinud ning kui on, siis mille uuendamise tagajärjel ja millal see juhtus.

Miks on üldse vaja uuendusi pidevalt teha?

Uuendused puudutavad eelkõige veebilehe turvalisust. Tihtipeale sisaldab uuendamata tarkavara või selle lisad turvaauke, mille kaudu on häkkeritel lihtne veebilehele ligi pääseda.

Kui nüüd küsida, et mis huvi on häkkeril ühe tavalise Eesti veebilehe vastu, siis tõesti – konkreetselt Sinu veebilehe vastu ei olegi ehk huvi, kuid häkkeritele pakuvad tavaliselt huvi ükskõik millised WordPressi lehed, mille ’’tagauks’’ on jäetud avatuks uuendamata versioonide kaudu. Häkitud veebilehe tulemuseks on aga mainekahju, tehtud töö kustumine ning lisakulud veebilehe taastamiseks ja puhastamiseks.

< Telli kodulehe hooldus CasperDisainilt >

Allikas: veebimajutus.ee

Eesti küberturbefirma Patchstack uuris taas, millised on maailma populaarseima sisuhaldusplatvormi WordPress suurimad probleemid. Suure turvauuringu kokkuvõtteks võib öelda, et ehkki enamasti ohustavad kodulehti turvaaugud mõne kolmanda osapoole pluginates, langevad veebid siiski küberpättide ohvriks sel lihtsal põhjusel, et administraatorid on jätnud vajalikud uuendused õigel ajal paigaldamata.

Veebimajutus uuris Patchstacki turundusjuhilt Mart Virkuselt, mida nad veel oma uuringuga teada said ja mida on meil kõigil tulemustest õppida.

Millised olid möödunud aastal WordPressi lehtede kõige suuremad probleemid?

Turvalisuse vaatepunktist on jätkuvalt suurimaks ohuallikaks pluginad ja teemad ehk valdavalt kolmandate osapoolte poolt loodud komponendid, mida WordPressi veebilehtede tegemiseks kasutatakse. 96% turvaaukudest, mida me eelmisel aastal oma andmebaasi lisasime, olidki pärit pluginatest.

Laiemalt on probleemiks aga ikka see, kui WordPressi lehti ei hooldata ning neile ei tehta õigeaegselt uuendusi. Turvariskidega seotud uuendused tuleks teha võimalikult kiiresti või siis kasutada Patchtsacki laadset teenust, mis lehte nende riskide eest kaitseb juba enne uuenduste tegemist.

Eraldi probleemina tooksin välja veel need pluginad, mis on arendajate poolt hüljatud ning mis enam uuendusi ei saa. Sellised pluginad on eriti ohtlikud, kuna kasutajatele jääb mulje, nagu uuendusi pole ja seega oleks kõik justkui korras.

Reeglina küll WordPress eemaldab ise ohtlikud pluginad oma nimistust, kui arendaja probleemiga ei tegele, kuid veebilehtedele jäävad need ju ikkagi alles.

Kas eelmise aasta probleemid erinesid kuidagi ka varasematest aastatest? Kas kerkis esile midagi uut?

Väga suur trend viimasel ajal on nn tarneahela turvariskid ehk siis juhtumid, kui väga suur hulk pluginaid kasutab üht ja sama komponenti, milles on sees haavatavus. Tagajärjeks on see, et taoline haavatavus levib omakorda edasi igale seda komponenti kasutavale tarkvarale.

Eelmisel aastal oli näiteks üks selline juhtum, kus turvaauk ühes tarkvaras mõjutas umbes tuhandet pluginat!

Nendest omakorda mitusada said küll tänu arendajate ja WordPressi meeskonna kiirele tegutsemisele üsna kiirelt lapitud, kuid veel sajad pluginad jäidki haavatavaks ja need eemaldati lõpuks WordPress.org nimistust.

Milline on ühel tavalisel WordPressi lehel kasutatav keskmine pluginate arv ja kui paljud on neist sellised, mida tegelikult enam ei arendata ning võiks maha võtta?

Me ise uurisime seda viimati 2021. aastal ja siis kasutas üks WordPressi leht keskmiselt 18 pluginat, millest keskeltäbi kuus on uuendamata!

Inimesed, kes lehti teevad, peaksid siiski kindlasti jälgima, millal pluginaid viimati uuendati ja kui tihti neid uuendusi üldse pakutakse. Hea märk on see, kui plugina arendaja toob ise selgelt esile turvalisusega seotud uuendused. See näitab, et ta võtab turvalisust väga tõsiselt.

Kas WordPressi turvaohtude avastamise kiirus on muutunud võrreldes varasemate aastatega?

Kindlasti. Me lisasime enda andmebaasi eelmisel aastal 4528 erinevat turvariski, mida oli üle 300% rohkem, kui üle-eelmisel aastal!

See aga ei tähenda, et arendajad oleksid lohakamad. Pigem näitabki see, et turvaauke otsitakse rohkem ja neist antakse palju rohkem teada.

Kui kiiresti pluginatele keskmiselt parandused välja tulevad?

Nii on raske öelda, aga me omalt poolt teeme pluginate arendajatega palju koostööd, et avastatud turvaaugud saaksid võimalikult kiiresti lapitud. Kui aga arendajad probleemile ei reageeri, siis kaasame vajadusel WordPressi tiimi.

Meil juhtus eelmisel aastal niimoodi 147 juhul. Paraku 60% nendest pluginatest jäidki uuenduseta ning eemaldati lõpuks WordPressi nimistust.

Millised olid eelmisel aastal suurimad WordPressi turvaintsidendid, mis mõjutasid väga paljusid veebilehti ja kuidas need lahenesid?

Elementor on väga populaarne WordPressi lehtede ehitamise platform – neil on üle viie miljoni kasutaja ja eelmine aasta avastati nende pluginas küllaltki kõrge riskiskooriga haavatavus.

Peab veel mainima, et Elementor reageerib sellistele riskidele kiiresti.

Millised olid kõige levinuimad turvaaugud, mis tehnikaid ja ohte need ära kasutasid?

Kindlasti XSS (cross-site scripting) on väga levinud rünnakutüüp. Sellised rünnakud sisestavad veebilehtedele pahaloomulisi skripte, kasutades ära näiteks lohakalt tehtud või bug’iseid vorme. Üldiselt need skriptid on siis suunatud veebilehe külastajale.

Milliseid turvaauke pole siiani ära parandatud, mis ohustavad endiselt suurt hulka WordPress kodulehti?

Reeglina väga suure kasutajaskonnaga pluginad parandatakse ikkagi kiirelt ära.

Küll aga on probleem selles, et paljud inimesed ei uuenda oma lehti ise piisavalt tihedasti ehk siis turvaauk küll lapitakse ära, kuid vanad haavatavad versioonid jäävad paljudel saitidel siiski kasutusse.

Kui haavatavus on piisavalt ohtlik ja plugin piisavalt levinud, siis on risk rünnakuga pihta saada vägagi reaalne.

 

Allikas/Rohkem lugemist: veebimajutus.ee

Eesti päritolu veebiturvalisuse ettevõte Patchstack (kellest oleme kirjutanud) hoiatab ühe väga levinud WordPressi disainimooduli Elementor Pro turvanõrkusest, mis puudutab väga paljusid veebilehti, sealhulgas ka Eestis.

Elementor Pro on tasuline WordPressi lehtedele välimuse andmise ja kohendamise lisandmoodul, mille abil saab oma WordPressi lehele anda programmeerimisest ja disainist põhjalikult teadmata täiesti professionaalse välimuse või seda hiljem muuta. Veebimajutuses saab muide sellesama mooduli tasuta versiooni oma WordPressi paigaldusel kasutada, kuid turvaoht tasuta versiooni ei puutu.

Märtsi teises pooles avastatud turvaoht lubab WordPressi lehel Elementor Pro plugini ehk lisandmoodulit kasutades ja paigaldatud Woocommerce´i e-poega kasutada ära ebameeldivat turvanõrkust, millega suvalised lehel autenditud kasutajad, nagu näiteks e-poe kliendid või kogukonna liikmed saavad veebiseadeid muuta, mis võib viia kogu kodulehe täieliku ülevõtmiseni.

Turvaohu avastajaks 18. märtsil oli NineTechNet ja kirjutati sellest 28. märtsil. Puudutatud on kõik plugini versioonid, mis on 3.11.6 ja vanemad. 22. märtsist on saadaval versiooniuuendus 3.11.7, millega oht on kõrvaldatud.

Seega kõik kasutajad, kes seda lisandmoodulit kasutavad, peaksid kiiremas korras oma WordPressi plugini uuendama. Võimalike tagajärgede avastamiseks peaks üle vaatama ka logifailid. Patchstacki andmetel on turvaauku üritatud ka ära kasutada.

Allikas: veebimajutus.ee