Wordpressi keskkonnas on mitmeid lisamooduleid, mis aitavad kõikvõimalike rünnete ja viiruste vastu võidelda. Siin on mõned kõige kasulikumad ja lõpus boonuseks üks soovitus, mida Drupali veebivormidega teha, et keegi ei saaks kodulehele üles panna isegi süütut tekstifaili koos karmi (liba)hoiatusega.
1. WP Security Audit Log
Kõik algab logiteadetest. Juba enne, kui midagi halba juhtub, on logidest näha, et miskit kavandatakse. Security Audit Log aitabki nii väljast kui seest (kasutajate poolt) tulevaid kahtlasi tegevusi juba varakult avastada.
Kui aga midagi on juhtunud, saab Security Audit Logist teada. Lisamoodul teatab varakult, kui administraatorina on toimunud kahtlane sisselogimine või on parooli muudetud, et õige administraator enam sisse ei saaks.
Samuti antakse alarmiga teada kahtlaste moodulite paigaldamisest. Selleks, et turvalisus oleks veel paremal tasemel, saab logi salvestada ka eraldi andmebaasi.
2. Security Ninja Pro
Wordpressi turvalisuse tagamiseks on oluline seda kõigepealt testida, enne kui vajalikke turvamooduleid välja valida ja paigaldada. Security Ninja ongi hea testimismoodul, mis teeb üle neljakümne erineva turvatesti ning skännib Wordpressi tuuma võimalike pahavarade suhtes.
Tasuta versioon paistab olevat tegutsemise lõpetanud, kuid Pro eest küsitakse raha 41 dollarit. Levinud rünnete suhtes saab Security Ninja ka ise midagi ette võtta, võib saiti regulaarselt skännida ja lõpuks ka salvestada vajaliku turvalogi tuleviku jaoks.
3. Wordfence Security
Üks populaarseimatest Wordpressi turvamoodulitest teeb lisaks kaitsele ka kodulehe tunduvalt kiiremaks. Wordfence Security otsib kõigist postitustest ja kommentaaridest ohtlikku koodi, toimib tulemüüri ja puhvermäluna, mis tagab kiirema lehekülgede allalaadimise.
Blokeeritakse kõik koormusrünnakud ja lisaturvalisust saab selle mooduliga tekitada kaheastmelise autentimisega, nii nagu näiteks Google kaitseb kasutajate kontosid. Sisselogimisel saadetakse SMS-iga kood, mille peab sisestama sisselogimisaknasse.
Kõigist kahtlastest toimingutest teatatakse administraatorile e-kirjaga. Ka ise saab otseajas jälgida Wordpressi liiklust ja selekteerida välja mõne kahtlase toimingu.
4. Bulletproof Security Pro
See turvamoodul teeb lihtsaid asju, mida ise alati ei märka teha: kaitseb wp-admin kausta ja juurkataloogi väliste piilujate-sissemurdjate poolt ning kaitseb CSRF, Base64, XSS, RFI, SQL nakatamise koodide eest.
Pro-versioon on tasuline, kuid küsitakse vaid ühekordset tasu 60 dollarit. On olemas ka tasuta versioon, kus on vähem kaitsevõimalusi.
5. iThemes Security
Täht "i" nime alguses vihjab Apple'ilikule ilusale kasutajaliidesele. Nii ongi: turvatarkvara on lihtsaks ja kenaks tehtud.
Paigaldamine on lihtne, kaitseomadusi saab graafilistest liuguritest sisse-välja lülitada. Kuid see on vaid teadlikumate kasutajate jaoks: tavalise Wordpressi kasutaja jaoks piisab mõne klõpsuga installist ja kõik vajalik on juba seadistatud.
Kaitstakse tuntud rünnete eest ja jälgitakse sisselogitud kasutajate tegevusi.
6. WP Antivirus
Nii nagu arvutile, nii on ka veebilehele vajalik antiviirus, sest viirused levivad alati, kui on väheteadlikke kasutajaid ja netiühendust.
Wordpressi antiviirus otsib viiruseid, usse, pahavara ja muud, mis loodud nakatamaks maailma populaarseima sisuhaldustarkvaraga veebilehti. Lisaks võivad kasutajad ja kommenteerijad postitada kodulehele linke kahjuliku tarkvara lehtedele, mida aitab samuti takistada WP Antivirus. Kui midagi juhtub, saadetakse alarmteade administraatori e-postile.
Antiviirus aitab varakult ära hoida kodulehe sattumise Google'i ja brauserite musta listi, nii et need blokeerivad kodulehele ligipääsu. Selleks, et mitte nende (ja ka veebiteenuse pakkuja enda) musta nimekirja sattuda, ongi vajalik kahjulike tegevuste väga kiire avastamine.
7. All in One WP Security & Firewall
Turvamoodulite "šveitsi nuga" All in One WP Security & Firewall on ühte komplekti pannud kõik vajaliku oma kodulehe igat pidi kaitsmisel: kasutajakontode turvamise, failide viirusetõrje, tulemüüri, andmebaasi kaitsmise, lisandmoodulite jälgimise, logimise ja palju muud. Kõigepealt püüab pilku osuti, mis näitab Wordpressi lehe turvataset hetkel, edasi tulevad erinevad seaded, et seda turvataset tõsta.
Boonus Drupali-kasutajatele: kuidas vältida kahtlaste failide istutamist oma veebilehele?
Lõpetuseks ka üks päevakohane soovitus Drupali kasutajatele, kuidas vältida kasutajate veebivormide kaudu kahtlaste failide lisamist oma kodulehele.
17. jaanuaril jõudis küberintsidentide andmebaasi Defacer.id teade, et Maksu- ja tolliameti veebiserveris on tekstifail, kus räägitakse EMTA.ee veebilehele toimunud võimalikust sissemurdmisest. Sellise faili võib veebiserverisse laadida igaüks, kui koduleht on tehtud nii, et üleslaetud faili saab hiljem avalikult veebiaadressilt näha.
Drupalis on võimalik üleslaetavad failid väljast "nägemise" eest ära peita ja muidugi kasutada ka viirusetõrjet, mis kõik väljast tulnud dokumendid viiruste suhtes üle skännib.
Lihtsaim viis on muuta failide kataloogi nime (Upload Directory), kuhu kasutajate poolt üles laetud dokumendid lähevad. Siis pole võimalik nende veebiaadressi niisama lihtsalt teistel vaikimisi aadressist tuletada.
Põhjalikumalt turvalisuse tõstmisest kasutajate poolt üles laetud failidega ümberkäimisel loe siit.