Pole midagi lihtsamat, kui mõned olulised asjad oma kodulehel ära teha, et see ei langeks häkkimise ohvriks. Keerulisemate lahendustega saab tegeleda juba järgmisena. Siin ongi need elementaarsed käigud, mis vaja läbi teha, et võiksid rahulikult öelda: ma pole jätnud olulisi kaitsemeetmeid unarusse, et koduleht oleks kindel ja turvaline.
Vaata, mis PHP versioon on kasutusel
Valdav enamus kodulehti kasutavad PHP koodi. Selle uued versioonid tulevad välja pidevalt, mingil hetkel tuleb oma veebimajutus tõsta uuema versiooni peale.
Kui logid sisse iseteeninduskeskkonda ja avastad, et koduleht kasutab endiselt PHP 5.6 versiooni (veel vanem on juba tõeline uunikum!), siis on aeg uuendada. Logi sisse Veebimajutuse iseteeninduskeskkonda, vaata kõigepealt veebiserveri jaotusest vasakpoolses menüüs PHP infot ja seal ongi kirjas, millist PHP versiooni sinu kodulehe virtuaalserver hetkel pakub.
Sobiv PHP versioon praegusel hetkel võiks olla uuem kui 7.1. Kõige parem, kui kasutad PHP 7.2.4 versiooni.
Kuid enne, kui kohe sellele lõplikult ümber lülitud, kontrolli kindlasti ära, kas koduleht uusima versiooniga ikka töötab korralikult. Väga vana koodi kasutavates veebides võib probleeme tekkida, ehkki enamasti ei juhtu midagi, eriti kui kasutad mõnda sisuhaldust, näiteks Wordpressi või Drupalit.
HTTPS peale!
Juba mõnda aega eelistab Google´i otsing HTTPS-iga veebilehti ehk selliseid, mille andmeühendus veebikülastajatega on krüpteeritud. Seega isegi kui sul ei ole salajast infot, mida külastajatega jagada, võiksid parema positsiooni nimel Google´i otsingus HTTPS-i ehk krüpteeritud ühenduse peale lülitada.
Veebimajutuse iseteeninduses käib see väga lihtsalt ja ei nõua IT-alaseid teadmisi. Mine vaid alajaotusse Veebiserver – SSL sertifikaat ja telli Let’s Encrypti tasuta sertifikaat, mida uuendatakse automaatselt.
Järgmisena võiksid valida, kuidas suunatakse kodulehe liiklus – kui veeb on seni tegutsenud HTTP peal ehk krüpteerimata, võiksid lisada veebiserveri seadetest suunamise alati HTTPS-i peale.
Siis peaks muidugi taas kontrollima, kas kõik lingid veebis toimivad. Asenda vajadusel kodulehele sissekirjutatud HTTP-aadressid HTTPS-iga ja kontrolli igaks juhuks lehtede toimuvus üle.
Tugevad paroolid
Kindlusta oma koduleht tugevate paroolidega – kõige parem, kui need on valitud kindla turvapoliitika järgi. Wordpressil, Drupalil ja teistel sisuhaldustel saad panna peale ka reeglid, mille järgi paroole valida: peavad sisaldama suur- ja väiketähti, numbreid, sümboleid, olema piisavalt pikad jne.
Kui endal pole head ideed, millist salasõna valida, kasuta mõnda parooligeneraatorit. Neid leidub järgnevatel linkidel:
- https://passwordsgenerator.net/
- https://strongpasswordgenerator.com/
- https://www.lastpass.com/password-generator
- https://www.avast.com/random-password-generator
Turva-plugin´id
Kui oled ise turva-asjades võhik või pole alati jõudnud kurssi viia viimaste turvatäiendustega, siis paigalda oma kodulehe sisuhaldusele mõni vajalik turvamoodul. Neid on enamlevinud sisuhaldusplatvormidele mitmeid.
Wordpressile sobivad näiteks järgmised:
Kasutajate õigused paika
Kontrolli üle, kas kõik kasutajad ja kasutajagrupid kodulehel (nii foorumikülastajad, kodulehele lugude lisajad kui administraatorid) saavad ikka piisavalt õigusi ja mitte rohkem, kui vaja. Tavakasutajal pole vaja ligi pääseda kodulehe põhiseadete muutmisele, foorumikasutajad ei pea saama lisada artikleid kodulehele ning anonüümsed kasutajad võiksid vähemalt CAPTCHA kontrolli teha (tõestada, et nad pole robotid), enne kui üldse midagi, isegi anonüümse kommentaari saavad lisada. Kõigil sisuhaldustarkvaradel on kasutajate õiguste lisamine nii grupiti kui ükshaaval seadetes olemas.
Peida veateated
Kodulehe veateated võivad endas sisaldada olulist infot veebi turvaolukorra kohta. Olgu see siis mõne mooduli vananemise teade või andmebaasipäringu ebaõnnestumine – kõik, mis pole vajalik väliskülalisele, peida ära. Sea veateadete õigused nii, nagu vaja arendajale. Teiste jaoks piisab, kui kuvatakse mõni üldisem ja lakoonilisem teade.
Näiteks mõne andmebaasipäringu ebaõnnestumise puhul piisab tekstist „Andmebaasi viga! Proovi hiljem uuesti“ või midagi sarnast.
Uuenda sisuhaldust
Kodulehe elementaarse turvahügieeni juurde kuulub ka sisuhaldstarkvara pidev uuendamine. Kui võimalik, sea kriitiliste turvauuenduste tegemine automaatseks, kui aga seda tarkvara ei võimalda, siis proovi siduda end mõne uudisvoo või grupiga, kuhu saadetakse sinu jaoks olulise sisuhalduse turvauuenduste kohta e-kiri. Siis saad õigel ajal jaole ja kodulehe uuendatud.
