Veebimajutus.ee hea partneri Patchstacki turvablogi ülevaates oleme juba käsitlenud WordPressi turvalisuse põhialuseid, kuid nüüd on aeg üle vaadata mõned levinumad müüdid ja väärarusaamad, mis selle populaarse veebiplatvormiga ikka ja jälla esile kerkivad.
Internet on täis SEO-le suunatud sisu, mis pakub mitmesuguseid turvasoovitusi, kuid üsna tihti on osa neist otsingutes esimesena välja tulevatest nõuannetest eksitavad või lausa valed. Heidame pilgu mõnedele levinud müütidele, mis võivad olla isegi kahjulikud, kui neid pimesi järgida.
Müüt 1: "Häkkerid ei hooli sinu väikesest veebisaidist"
Päris tihti kuuleb väiksemate ettevõtete esindajaid küsimas: "Miks peaksid häkkerid meid üldse sihikule võtma?"
Tegelikkuses pole aga neil enamasti vahet, kas tegemist on väikese või suure firmaga. Enamik rünnakutest on juhuslikud, mitte sihilikult mõne konkreetse äri vastu suunatud.
Häkkerid ei planeeri rünnakuid konkreetsete veebilehtede pihta, vaid sihivad tarkvara, mille põhjal veebileht on ehitatud. Selline lähenemine võimaldab märkimisväärselt laiendada rünnakute mõjupinda.
Müüt 2: "WordPressi kasutamise peitmine kaitseb rünnakute eest"
Paljud arvavad, et kui nende veebisait peidab kuidagimoodi fakti, et see on loodud WordPressi platvormil, ei satu see häkkerite huviorbiiti.
Tegelikult ei kuluta häkkerid aega mõnede konkreetsete WordPressi saitide sihtimiseks. Rünnakud toimuvad automaatselt ja sihivad kõiki avalikke IP-aadresse.
Seega pole WordPressi “peitmine” tõhus kaitse.
Müüt 3: "Pluginaid uuendatuna hoides oledki turvaline"
Kuigi pistikprogrammide ehk pluginate ja WordPressi tuuma versiooni ajakohasena hoidmine on väga oluline, pole see siiski piisav.
Patchstacki andmetel jääb igal aastal umbes 30% haavatavustest paranduseta, kuna arendajad ei pruugi alati kiirelt reageerida või üldse turvaauke parandada.
Seega on vale arvata, et ainult uuendamine hoiab saidi täiesti turvalisena.
Müüt 4: "Serveripoolne turvalisus on piisav"
Viimastel aastatel on levinud üks omapärane arvamus, et piisab vaid serveripoolsest turvalisusest. Tegelikult on WordPressi kaitsmine kihiline protsess, mis mis hõlmab turvameetmete rakendamist nii serveri-, võrgu- kui ka tarkvaratasandil.
Kes vastutab WordPressi turvalisuse eest?
Turvalisuse osas kerkib sageli esile küsimus, et kes vastutab.
Paljud veebisaidid ehitatakse üles veebiagentuuride või vabakutseliste, mitte ettevõtete endi poolt. Siin jaguneb vastutus omaniku ja teenusepakkujate vahel.
Veebimajutusettevõtted vastutavad infrastruktuuri eest, samas kui saidi omanik (või tema poolt palgatud arendaja) peab hoolitsema veebilehe toimimise ja turvalisuse eest.
Arendajate ja agentuuride jaoks on seega väga oluline pakkuda oma klientidele hooldusplaane, mis tagavad saidi regulaarsed turvauuendused. Paljud probleemid tekivadki just siis, kui veebisaidi omanik kaotab kontakti arendajaga ja veebisaidil tehtavad vajalikud regulaarsed hooldustööd jäävad tegemata.
Kokkuvõttes võib öelda, et WordPressi turvalisuse osas võib levida mitmeid väärarusaamu, millele ei tohiks pimesi toetuda. Turvalisus on mitmekihiline protsess, mis nõuab pidevat tähelepanu ja hooldamist. Iga veebisait, eriti aga populaarsel WordPressil põhinev, vajab hooldus- ja turvaplaani, et tagada selle kindel toimimine pikemas perspektiivis. Arendajad ja agentuurid peavad selgelt rääkima võimalikest turvariskidest ning tagama, et vastutus turvalisuse eest oleks jagatud ja selgelt määratud.