WordPressi turvauuring: turvalisus paraneb, aga arenguruumi on endiselt

Veebirebane
04. sept 2023

Veebiturvalisuse teemalise portaali Security Boulevard hiljutise WordPressi turvauuringu põhjal võib öelda, et paljud elementaarsed lahendused on seda populaarset sisuhaldussüsteemi kasutavatel veebilehtedel juba kasutusele võetud, kuid mõnedes küsimustes leidub endiselt arenguruumi.

Kokku esitati turvalisuse kohta üheksa küsimust. Siin on võimalus ka enda veebi kohta samu asju pärida ja vaadata, kas koduleht on ikka igatpidi kaitstud.

Iga-aastase turvaküsitlusega esitatakse samu küsimusi ja uuritakse, kuidas on WordPressi lehtede olukord vahepeal paranenud. Turvauuringu teemad on inspireeritud Wordpressi turvalisuse juhistest, mille kohta saab pikemalt lugeda siit.

Küsimused ja vastused olid sellised.

1. Kas kasutad kodulehel SSL/TLS sertifikaate (ehk kas WordPress avaneb HTTPS: aadressilt)?

Tundub, et veebibrauserite arendajad on kasutajaid hoolsalt harinud ja tervenisti 97,3 protsenti veebidest on krüpteeritud ühendusega ehk kasutab HTTPS-i. Brauserid nimelt hoiatavad ja ei ava ilma krüpteeringuta veebilehti enam niisama, vaid hoiatavad ja küsivad üle, kas kasutaja ikka tõesti tahab sinna edasi minna. SSL/TLS sertifikaadi saamine on muutunud tänapäeval väga lihtsaks ja on tasuta. Veebimajutus.ee lehel saab iseteenindusest selle lihtsalt sisse lülitada.

2. Kas tulemüür on paigaldatud (ja milline)?

Selles osas on vastused rohkem erinevad. 37,5% kasutavad WordPressi pluginat WAF, 31% loodavad mõnele online teenusele ja 17% kasutavad taristuteenust kodulehe teenusepakkuja enda juures. 14,5% aga ei kasutagi tulemüüri.

3. Kas kasutusel on CAPTCHA mis aitab spämmi ja toore jõuga paroolide murdmist ära hoida?

CAPTCHA uurib enne veebivormi või sisselogimisakna täitmist, kas tegemist on inimese või robotiga. See aitab ära hoida spämmipostitusi veebivormidesse või proovimise teel paroolide äraarvamist robotite abiga. Tegemist on täiendava turvameetmega ning abivahendiga kodulehe hooldamisel, et administraator ei peaks spämmi käima pidevalt kustutamas. CAPTCHA vajadusest on aru saanud 77% veebilehe omanikest ja selle oma WordPressile paigaldanud mõne lisandmooduli abiga.

4. Kui tihti uuendad veebilehte?

Uuendustest polnud kuulnud või ei tegele sellega õnneks vaid 1,75% vastanutest. Peaaegu pooled ehk 47,8% vastanutest uuendab niipea, kui uuendused välja tulevad ja on ära testitud. 41,25% aga uuendab kohe, kui need uuendused on välja tulnud. Siin on veel arenemisruumi, kuna üle kaheksa protsendi uuendavad siis, kui meelde tuleb.

5. Kas salasõnade reeglid on kehtestatud?

Siingi on arenguruumi, sest vaid 75% veebidest olid kehtestanud reeglid salasõnade keerukusele. Veerandil lehtedest võis panna parooliks ka 1234. Samas tuleb siin arvestada, et paljud veebid ei lasegi kasutajatel kontosid teha ning neid veebe haldabki üks (loodetavasti teadlik) administraator, kelle jaoks pole vaja eraldi reegleid luua.

6. Kuidas kasutatakse kaheastmelist autentimist?

Siin jagunesid vastused üsna võrdselt, kolmandik iga vastusevariandi peale. Kaheastmeline autentimine tähendab, et lisaks paroolile peab kasutaja veel midagi tegema, et tõestada oma isikut. Võib muidugi taas öelda, et kui olulistele asjadele pääseb ligi vaid üks administraator, pole kõigi kasutajate jaoks kaheastmelist tuvastamist vaja, kuid mitte kellegi jaoks seda veebis kasutada võib olla tänapäeva turvalisuse olukorras juba ohtlikuvõitu.

7. Kuidas on lood WordPressi varukoopiatega?

65% teeb varukoopiaid iga päev, ka veebimajutus.ee majutuse puhul on see tavaline, 3% aga ei tee varukoopiaid üldse. Millele nemad loodavad, on raske arvata. Võimalik, et nende koduleht ei muutugi kunagi, aga ka siis peaks enne turvauuenduste paigaldamist vähemalt sel hetkel varunduse tegema.

8. Mida tehakse mitteaktiivsete kasutajatega?

Pea 70% WordPressiga jooksvate kodulehtede omanikest kustutab need kasutajad ära. See on turvalisem, kui jätta need alles. Samuti on mõistlikum mitteaktiivseid kasutajaid teatud aja täitudes automaatselt kustutada, saates neile enne korduvaid meeldetuletusi.

9. Kas kasutusel on aktiivsuslogi (Activity log)?

Tegemist on kausliku WordPressi tööriistaga, kust saab jälgida tegevusi kodulehel ja selle abil nii turvaintsidente avastada kui muudatuste mõju uurida. 63% kasutavad seda. Kasulik oleks seda siiski teha, see lihtsustab veebilehe haldamist.

Küsitluse tulemusi saab vaadata siit.

Veebirebane

Veebimajutus.ee pakub oma klientidele mugavusteenust domeeni, e-posti, kodulehe majutuse ja tööriistade vallas. Elkdata OÜ on tegutsenud 25 aastat, teenindades igapäevaselt pea 25 000 klienti, luues neile väärtust läbi kiirete ja lihtsate veebiteenuste.

Kasutajad kes lugesid seda artiklit lugesid ka neid

Mis on domeen ja mida vaja sellest teada enne kodulehe tegemist?
Millega veel jälgida oma veebi külastajaid lisaks Google Analytics´ile?
Kliendi lugu: Meemeistrite e-pood sai üleöö iluasjast oluliseks müügikohaks
Kuidas teha kiirelt ja soodsalt e-pood?
Mis on backlink ehk tagasilink ja kuidas see mõjutab sinu veebilehe kohta Google´i otsingus?
Veebimajutus on Facebookis. Sina oled kah.
Saame sõpradeks? Meil on Sulle palju rääkida, küllap Sul meilegi. Teeme ära?
fox-head fox-head
Ka veebis tuleb targalt tegutseda. Eriti veebis!
Veebimajutuse 25 000 klienti rääkisid ja meie kuulasime - oleme teie vajaduste ning tagasiside põhjal loonud blogi, milleta ei saa hakkama ükski edukas e-ärimees. Eesti tippkirjutajad toovad Sinuni värskeimad nipid, uudised ja nõuanded. Ükski trend ei jää saladuseks ning väljakutse ületamatuks!
Klienditeenindus
Lisasime diili sinu ostukorvi, said ikka mega hea diili!

Vali paketi periood

1 kuu põhine arveldus

Kuus 9.90

Kokku 9.90

3 kuu põhine arveldus

Kuus 9.90

Kokku 29.70

6 kuu põhine arveldus

Kuus 9.90

Kokku 59.41

1 aasta põhine arveldus

Säästad 20% ehk -19.80

Kuus 8.25

Kokku 99.02

1 aasta
0.00
2 aastat
0.00
3 aastat
0.00
4 aastat
0.00
5 aastat
0.00
6 aastat
0.00
7 aastat
0.00
8 aastat
0.00
9 aastat
0.00
10 aastat
0.00