Veebimajutus.ee hea partneri Patchstacki turvablogi ülevaate teises osas räägime sellest, kuidas end kõigi nende eelmises osades kirjeldatud ohtude vastu kõige paremini kaitsta ja milline on võimsaim küberkaitse relv.
Me teame nüüd, miks häkkerid sihivad veebisaite ja kuidas nad neid ründavad. Kaitsemeetoditest aga pole me veel rääkinud.
Kõige olulisem, mida saad oma veebisaidi (ja äri) turvalisuse tagamiseks teha, on mõelda turvalisusest õigesti. Sa ju ei pese ennast ainult siis, kui keegi ütleb, et sa haised. Sama peaks kehtima ka turvalisuse kohta.
Rahulolu annab vale turvatunde
Inimesed kipuvad otsima kõik-ühes lahendusi oma turvaprobleemidele, mis näivad muidu liiga keerulised. Nad lihtsalt tahavad, et probleem kaoks.
See kehtib eriti WordPressis, kus turvalisus on enamasti olnud midagi, millega tegeletakse alles pärast täielikku ebaõnnestumist. Just sellepärast on enam kui kümme aastat olnud kõige populaarsemad turvateenused WordPressis intsidentidele reageerimise teenused (näiteks häkitud veebilehe puhastus).
Isegi praegu võib leida taolisi teenuseid, mis müüvad tegelikult petlikku "rahulolu", "kõik-ühes turvalisust" ning mõned isegi väidavad, et pakuvad 100% turvalisust.
Tõde selgub niipea, kui inimesed usuvad "rahulolu": siis muutuvad nad kõige haavatavamaks. See on hetk, mil kõik tundub niigi turvaline ning ei hoolita enam isegi kontrollimisest.
Turvalisus on pidev protsess
Siiski pole see nii keeruline ja müstiline, kui esialgu tundub. Sa ei pea mõistma kõiki tehnilisi detaile, kuidas arvutid, serverid ja veebitehnoloogiad töötavad, kuid sa pead teadma, millised on need asjad, millest sina, sinu veebisait ja äri otseselt sõltuvad. Siis saab alustada ründevektorite kaardistamist ja seejärel seadistada kaitsemeetmed.
Asjad, millest sa sõltud, muutuvad pidevalt, mistõttu ei tohiks turvalisusele läheneda mõtteviisiga "seadista ja unusta". Ei saa kaitsta seda, millest ei tea midagi.
Ole valmis võimalikuks häkkimiskatseks
Sõltumata sellest, kui palju pingutada, on peaaegu vältimatu, et mõnda asja ei märgata. Kui sul on plaan, on aga palju lihtsam sissemurdmisest taastuda.
DRP (ehk katastroofide taastamise plaan, Disaster Recovery Plan) võib muutuda äärmiselt oluliseks ka muudes olukordades. Näiteks siis, kui oled ise kaotanud juurdepääsu veebile või kui inimesed, kes algselt juurdepääsu omasid, ei ole enam saadaval.
Põhimõtteliselt on DRP ideeks kirja panna üksikasjalik samm-sammuline juhend, mida tuleks järgida kohe, kui mõni intsident toimub. Sellist plaani on palju lihtsam koostada juba varem, kui seda teha kõrge stressi all siis, kui midagi juhtus.
Turvalisus on protsess, mitte "hõbekuul". See tähendab, et ohte tuleb ennetada.
Kuidas kaardistada WordPressi ründevektorit?
Enne, kui hakata rakendama mingeid turvameetmeid, peab selgelt mõistma, kus on turvalisus üldse vajalik. Selleks peabki esmalt alustama oma ründevektori kaardistamisest.
Kaardistada tuleb kõikvõimalikud punktid, kus ründaja võiks ära kasutada haavatavust, vale seadistust või mõnda muud turvalisuse puudujääki. Tegelikult on WordPressi sait vaid üks paljudest ründevektori punktidest, mida võidakse rünnata, et kompromiteerida kogu ettevõtet.
Füüsiline kiht on nagu toitejuhtme eemaldamine - kogu sinu WordPressi saidi peatamiseks võib piisata ühest käeliigutusest. Kui kellelgi on füüsiline juurdepääs arvutile, kus veebileht asub, piisab vaid selle väljalülitamisest.
Andmekeskused on ühed kõige rohkem kaitstud rajatised maailmas ja niisama väljalülitamine korraliku teenusepakkuja juures ei tule enamasti kõne allagi.
Võrgukiht on seotud võrguga. Kui sisestad oma veebi URL-i ehk aadressi brauserisse, tehakse päring DNS-ile, mis annab domeeniserveri IP-aadressi, millega loob brauser ühenduse.
Kui keegi kaaperdab domeeni ja/või selle taga oleva IP, siis on võimalik muuta veebisait ligipääsmatuks või asendada see millegi pahatahtlikuga. See kehtib ka teenuste kohta, mis seda kontrollivad, nagu näiteks Cloudflare.
Ründevektor hõlmab kõiki teenuseid, millele oled sellel kihil juurdepääsu andnud. Kui Cloudflare'i või mõne teise DNS-pakkuja konto kompromiteeritakse, siis on kogu see kiht kompromiteeritud.
Serveri kiht on selle IP-aadressi taga olev arvuti ehk server. Siin muutuvad asjad keerulisemaks.
Esiteks, nagu kõik arvutid, töötavad ka serverid operatsioonisüsteemidega, mis põhinevad enamasti Linuxil. Kogu see tarkvara, LAMP (mis tähendab Linux, Apache, MySQL, PHP/Pearl/Python) on samuti sinu ründevektor. Nagu iga teine tarkvara, võivad needki sisaldada turvaauke ja vajavad korrektset konfigureerimist, hooldust ja uuendamist.
Siit tulenebki populaarne termin "hallatud majutus". Selle idee on, et teenusepakkuja haldab seda tarkvara, tagades, et kõik on hooldatud, uuendatud ja turvaline.
Rakenduse kiht on see, kui saad juurdepääsu oma serverile ning saad sellel rakendusi käitada. WordPressi tuum, pluginad, teemad ja muu kohandatud kood on kõik rakenduse kihis.
Kogu tarkvara, mis töötab rakenduse kihis, võib samuti sisaldada turvaauke. Selles kihis muutub tarkvara kõige kiiremini, on tihti testimata ja vajab kõige sagedasemat hooldust. See on ka kiht, kus antakse teistele juurdepääs. Arendajad jagavad administraatori juurdepääsu saidi omanikele, kes võivad seda edasi jagada vabakutselistele, turundajatele ja teistele, kes vajavad veebisaidil sisu muutmist.
Kes iganes omab administraatori õigusi, võib kompromiteerida kogu kihi. Juurdepääsu haldamise kiht on tegelikult väljamõeldud "kiht" ning katab ka kõiki teisi kihte. Esiteks tuleks siin mõelda, kes ja miks omavad juurdepääsu kõikidele erinevatele kihtidele.
Võrgukihi puhul tuleb läbi mõelda, kes omab juurdepääsu domeenile, kus see on registreeritud ja kes kontrollib DNS-i.
Serveri kihil näiteks mõtle järgi, kes omab juurdepääsu majutuskontole. Kui oled andnud arendajatele juurdepääsu serverile SFTP/SSH kaudu, siis hoia ka nendel juurdepääsudel silm peal.
Rakenduse kihis kehtib kõik nii WordPressi kui ka kõikide kolmandate osapoolte teenuste kohta, millele oled andnud juurdepääsu Wordpressile.
Need kõik on kohad, kus hoitakse "kuningriigi võtmeid", seega nende juurdepääsupunktide kaardistamine on uskumatult oluline.
See ei hõlma ainult küsimust, "kes" omab juurdepääsu, vaid ka "mis" omab. Meie isiklikud seadmed hoiavad juurdepääsu autentimisküpsiste kujul, seega veendu, et sinu seadmed oleksid turvatud ja ligipääsetavad ainult sulle.
Ründevektori kaardistamine nõuab põhimõtteliselt kõige jälgimist. See on hea harjutus ja kui selle protsessi läbi teed, võid avastada nii mõnedki üllatused.
WordPressi turvalisus võrgukihil
Mida saab (ja peab) tegema Wordpressi veebilehe kaitsmiseks võrgukihil? Just seal saab otsustada, kes või mis võib sinu serveriga ühendust võtta. See on iga WordPressi saidi esimene kaitseliin.
Võrgukihil peab läbima iga päring filtri. Võrgukihil leevendatakse kõige sagedamini bottide liiklust ja DDoS-rünnakuid. Jagatud teenusetõkestusrünnakute (DDoS) eesmärk on üle koormata sinu server nii paljude päringutega, et sait lakkab töötamast.
Võrgukiht on parim koht, kus vabastada serverid sellest üleliigsest liikluskoormusest ja filtreerida välja DDoS-rünnakud ning samuti erinevad muud robotid nagu crawlerid ja spämmerid. See on ka parim kiht, kus seada üles lihtsad IP- ja lehepõhised piirangud.
Siin on veel parim võimalus ka SSL/TLS-krüptimise sundimiseks ja tagamaks, et kogu liiklus käib üle turvalise HTTPS-i.
Võrgukihil ei saa hästi teha neid asju, mis nõuavad nähtavust serveris, rakendustes ja lõppkasutaja seanssides ning autentimises. Sel põhjusel on enamik võrgukihi tulemüüre (sealhulgas Cloudflare) optimeeritud madalaima vale-positiivsete taseme jaoks, kuna peab töötama veatult igas rakenduses.
Seega võiks luua ise oma täiendavad reeglid (mida enamik ei tee), et muuta oma WordPressi rakendus turvalisemaks.
Kas tasub ise teha või delegeerida?
Kui on täielik kontroll serveri ja võrgu switchide üle, siis võiks ju minna “valusamat” teed, et seadistada kõike ise. Kuid see nõuab regulaarset ja väga põhjalikku hooldust.
Kui sul pole juurdepääsu võrguseadmetele, siis kogu liiklus jõuab ikkagi otse serverini, seega lõpuks sõltub kõik serveri olemasolevatest ressurssidest ja liikluse mahust.
Üks levinumaid (ja kulutõhusamaid) lähenemisviise on delegeerida see tegevus mõnele teenusepakkujale nagu Cloudflare, Fastly või Akamai. Need on spetsiaalselt optimeerinud oma infrastruktuuri, et toime tulla väga suure võrguliiklusega ja kuna neil on palju servereid üle kogu maailma, saavad nad koormust ühtlaselt jaotada.
Oma domeeni registraatorile peab siis ütlema, et sinu domeeni taga oleva serveri IP-aadress on see, mille näiteks annab Cloudflare. Seejärel tuleb Cloudflare'ile öelda oma serveri tegelik IP-aadress.
Nüüd läheb kogu liiklus, mis tuleb sinu domeenist, otse Cloudflare'i ja enne, kui Cloudflare laseb liiklusel tõelise serverini jõuda, filtreerib see juba välja, mida (ja keda) läbi lasta. Kui domeen saab ohtralt bottide liiklust või on DDoS-rünnaku all, kasutatakse Cloudflare'i servereid selle leevendamiseks.
Oluline on see teenus täielikult delegeerida ja muuta server ligipääsetavaks ainult läbi Cloudflare'i.
WordPressi turvalisus serverikihil
Serveris muutuvad asjad palju keerulisemaks. Just see keerukus on üks põhjusi, miks on olemas hallatud majutuse teenused. Enamik inimesi soovib lihtsalt oma veebisaidi serverisse jätta, et see oleks veebis saadaval. Rohkemat ei tahetagi.
Täpselt nagu WordPressi saidil, on oluline hoida serveri operatsioonisüsteem ja kõik paigaldatud programmid ajakohasena ja õigesti seadistatuna. Õnneks hallatud majutuse teenuse eest makstes teeb seda teenusepakkuja ise.
Kui hostid ise, siis veendu, et tunned süsteemi hästi. Kui aga sind ei huvita olla osalise tööajaga süsteemiadministraator, siis ära hosti ise.
Varem oli tavaline, et odavad jagatud hostingu pakkujad kogesid turvaintsidente, kus häkkerid said liikuda ühelt kliendi veebisaidilt teisele, sest need polnud õigesti isoleeritud. Õnneks see enam nii pole. Kuid kasutajad ise tahavad raha säästa, valivad kõige odavama hostingu, ostavad ühe serveri ja lisavad siis suure hulga saite selle erinevatesse kaustadesse. Niipea kui üks saitidest häkitakse, lähevad kaasa ka kõik teised.
Kuidas pahavara tuvastada?
Kui häkkimine läbi läheb ja sait nakatatakse, on oluline teada, kuhu vaadata. Mida iganes pahavara skaneerimiseks kasutada, ei tohiks sõltuda millestki, mis on juba kompromiteeritud. Ära kunagi sõltu ainult WordPressi enda pahavara skaneerimise pistikprogrammidest.
Kuigi need on head tööriistad, mida saab kiiresti installida, on need ka esimene sihtmärk pahavara enda poolt. Mõni pahavara lülitab esmalt välja nii WordFence'i kui ka Sucuri ja liigub siis edasi.
Tuginemine pistikprogrammi põhistele pahavara skanneritele võib anda vale turvatunde ja on ka väga ebaefektiivne viis failide ning andmebaasi skaneerimiseks, aeglustades veebisaiti.
Kui valid majutusteenuse pakkujat, küsi järgi, kas nad teevad regulaarset pahavara skaneerimist. Tänapäeval teevad enamik hostingu ettevõtteid seda niigi, mõned aga paremini kui teised. Küsi, kui kiiresti sind teavitatakse ja kas nad pakuvad raportit.
Kui hostid ise, vaata esmalt mõningaid avatud lähtekoodiga pahavara skannereid nagu ClamAV ja Maldet.
Varukoopiad on ülimalt olulised
Parim on muidugi see, kui kodulehtedele ei murta kunagi sisse, kuid sellele ei saa muidugi loota. Veel parem on, kui pahavara tuvastatakse kohe ja peale intsidenti saad kodulehe lihtsalt taastada puhta varukoopia pealt.
Selleks peab veenduma, et varukoopiad on regulaarselt salvestatud ja neid on pikema aja jooksul säilitatud. Juhul, kui pahavara ei tuvastata kohe, on oht, et ka varukoopiad on kompromiteeritud. Seega saavad lisapunktid need majutusteenuse pakkujad, kes skaneerivad ka varukoopiaid pahavara suhtes.
Varukoopiad peaksid olema tehtud viisil, mis ei sõltu kompromiteeritud saidist. Püüa vältida varundamise pistikprogramme ja vali hostingu pakkuja, kes teeb backup´i ise juba serveri poolelt.
WordPressi ja selle pluginate turvalisus rakenduse kihil
Kui sinu server on valmis, tuleb seadistada rakendus, mida soovid seal majutada. Meie näitel on see WordPress ja kõik erinevad pluginad, teemad ning kohandatud kood.
Otsused sellel tasemel avaldavad suurimat mõju WordPressi saidi üldisele turvalisusele.
WordPressi tuum on iseenesest väga turvaline, see on eksisteerinud üle 20 aasta ja tuhanded arendajad ning turvaeksperdid on koodi juba läbi vaadanud.
Sama ei saa öelda enamiku pluginate ja teemade kohta. Mida populaarsem plugin, seda rohkem arendajaid on selle koodi läbi vaadanud, kuid enamik neist on ehitatud vaid mõne (või isegi ühe) arendaja poolt.
Üks olulisemaid otsuseid, mida peab tegema, on see, milliseid pluginaid kasutada konkreetse WordPressi saidi jaoks. Isegi kui on vaja lisada ainult lihtne veebivorm, on valida kümneid erinevaid pluginaid.
Valikul peaks kindlasti kaaluma järgmist.
-
Funktsionaalsus: iga lisatud plugin lisab kaalu. Pluginad, mis triivivad oma esialgsest funktsionaalsusest eemale, muutuvad sageli paisutatuks. See on halb jõudlusele ja lisab sageli keerukust, mis võib kaasa tuua ootamatuid haavatavusi.
-
Koodi kvaliteet: hästi hooldatud ja dokumenteeritud kood sisaldab vähem vigu ja turvaauke.
-
Turvapraktikad: pluginatel peaks olema turvakontakt ja nad peaksid viivitamatult väljastama turvapaiku. Selge kommunikatsioon on samuti oluline, et kasutajad teaksid, millal uuendada.
-
Maine: oluline on valida plugin, mis on ehitatud usaldusväärse arendaja poolt.
Püüa kasutada samu pluginaid erinevatel saitidel, mida ehitad. Kasuta ainult neid, mida tõesti vajad ja hoia paigaldatud pluginate/teemade koguarv võimalikult väike.
WordPressi tuum ja iga plugin või teema vajab hooldust. Arendajad lasevad välja uusi versioone, mis sisaldavad uusi funktsioone, vigade parandusi ja turvauuendusi. Mõnikord on uuendused vajalikud ka selleks, et püsida ühilduvana uute WordPressi tuuma uuendustega. Kõige olulisem on jälgida turvauuendusi.
Kuidas haavatavusi hallata ja leevendada?
Isegi kui oled sisse lülitanud automaatsed uuendused või teed neid ainult siis, kui uues versioonis on avastatud turvaparandused (seda saab teha Patchstacki abil), siis pea meeles, et ligi 30% avaldatud haavatavustest ei saa õigeaegselt parandusi.
Turvahaavatavusi pluginates võidakse hakata massiliselt ära kasutama vaid mõne tunni jooksul. Kui sa ei uuenda parandatud versiooni enne seda või kui parandatud versiooni ei avaldata arendaja poolt üldse, siis on tõenäoline, et sinu veebisait saab kompromiteeritud.
Sellise riski vähendamiseks kasutatakse turvateenuseid, mis loovad virtuaalseid turvapaiku, mida saab aktiveerida veebisaidil automaatselt ilma koodimuudatuste või katkestusteta ning mis saavad koheselt haavatavust leevendada.
Juurdepääsud vajavad haldamist
Mitte iga kasutaja ei vaja administraatori õigusi. Administraatori kontosid ei tohiks kasutada igapäevaselt sisuhaldamiseks. Kahjuks näeme tihti, et neid kontosid kasutatakse kogu aeg kõige jaoks.
Kui võimalik, peaksid arendajad vältima administraatori kontode andmist saidi tavalistele kasutajatele. Enamikel juhtudel on Autori roll rohkem kui piisav inimestele, kes töötavad saidi sisuga. Kui rohkem kui üks inimene võib sama sisuga tegeleda, siis saab neile määrata Toimetaja rolli.
2024. aastal võiks juba kindlasti rakendada ka 2FA-d (kaheastmelist autentimist) kõigil privileegiga kontodel (kõigil, kellel on kõrgemad õigused kui kaastöötaja).
Kui soovid oma juurdepääsu haldamist kindlustada, vaata Fortressi, mis katab 2FA, sessioonide, paroolide turvalisuse ja sisselogimise kaitse. Samuti võib kaaluda Solid Securityt.
Väga hea tava on oma kontolt välja logida, kui oled lõpetanud ja paluda (või sundida) teisi sama tegema.
Kokkuvõtteks: vali oma WordPressi komplekt targalt
Kui vaatad koodi hulka, mis paneb WordPressi rakendused tööle, siis paljudel juhtudel on WordPress ise kõige väiksem osa sellest.
Vali oma tarkvarakomplekt targalt, ära ole hooldamisega lohakas ning veendu, et sa ei jääks pimedusse kobama, kui tegemist on turvahaavatavustega. Ära sõltu ainult pluginate arendajatest – võta turvalisus enda kätte, veendu, et haavatavused saavad leevendatud niipea, kui need avaldatakse.
