Veebiturvalisuse teemalise portaali Security Boulevard hiljutise WordPressi turvauuringu põhjal võib öelda, et paljud elementaarsed lahendused on seda populaarset sisuhaldussüsteemi kasutavatel veebilehtedel juba kasutusele võetud, kuid mõnedes küsimustes leidub endiselt arenguruumi.
Kokku esitati turvalisuse kohta üheksa küsimust. Siin on võimalus ka enda veebi kohta samu asju pärida ja vaadata, kas koduleht on ikka igatpidi kaitstud.
Iga-aastase turvaküsitlusega esitatakse samu küsimusi ja uuritakse, kuidas on WordPressi lehtede olukord vahepeal paranenud. Turvauuringu teemad on inspireeritud Wordpressi turvalisuse juhistest, mille kohta saab pikemalt lugeda siit.
Küsimused ja vastused olid sellised.
1. Kas kasutad kodulehel SSL/TLS sertifikaate (ehk kas WordPress avaneb HTTPS: aadressilt)?
Tundub, et veebibrauserite arendajad on kasutajaid hoolsalt harinud ja tervenisti 97,3 protsenti veebidest on krüpteeritud ühendusega ehk kasutab HTTPS-i. Brauserid nimelt hoiatavad ja ei ava ilma krüpteeringuta veebilehti enam niisama, vaid hoiatavad ja küsivad üle, kas kasutaja ikka tõesti tahab sinna edasi minna. SSL/TLS sertifikaadi saamine on muutunud tänapäeval väga lihtsaks ja on tasuta. Veebimajutus.ee lehel saab iseteenindusest selle lihtsalt sisse lülitada.
2. Kas tulemüür on paigaldatud (ja milline)?
Selles osas on vastused rohkem erinevad. 37,5% kasutavad WordPressi pluginat WAF, 31% loodavad mõnele online teenusele ja 17% kasutavad taristuteenust kodulehe teenusepakkuja enda juures. 14,5% aga ei kasutagi tulemüüri.
3. Kas kasutusel on CAPTCHA mis aitab spämmi ja toore jõuga paroolide murdmist ära hoida?
CAPTCHA uurib enne veebivormi või sisselogimisakna täitmist, kas tegemist on inimese või robotiga. See aitab ära hoida spämmipostitusi veebivormidesse või proovimise teel paroolide äraarvamist robotite abiga. Tegemist on täiendava turvameetmega ning abivahendiga kodulehe hooldamisel, et administraator ei peaks spämmi käima pidevalt kustutamas. CAPTCHA vajadusest on aru saanud 77% veebilehe omanikest ja selle oma WordPressile paigaldanud mõne lisandmooduli abiga.
4. Kui tihti uuendad veebilehte?
Uuendustest polnud kuulnud või ei tegele sellega õnneks vaid 1,75% vastanutest. Peaaegu pooled ehk 47,8% vastanutest uuendab niipea, kui uuendused välja tulevad ja on ära testitud. 41,25% aga uuendab kohe, kui need uuendused on välja tulnud. Siin on veel arenemisruumi, kuna üle kaheksa protsendi uuendavad siis, kui meelde tuleb.
5. Kas salasõnade reeglid on kehtestatud?
Siingi on arenguruumi, sest vaid 75% veebidest olid kehtestanud reeglid salasõnade keerukusele. Veerandil lehtedest võis panna parooliks ka 1234. Samas tuleb siin arvestada, et paljud veebid ei lasegi kasutajatel kontosid teha ning neid veebe haldabki üks (loodetavasti teadlik) administraator, kelle jaoks pole vaja eraldi reegleid luua.
6. Kuidas kasutatakse kaheastmelist autentimist?
Siin jagunesid vastused üsna võrdselt, kolmandik iga vastusevariandi peale. Kaheastmeline autentimine tähendab, et lisaks paroolile peab kasutaja veel midagi tegema, et tõestada oma isikut. Võib muidugi taas öelda, et kui olulistele asjadele pääseb ligi vaid üks administraator, pole kõigi kasutajate jaoks kaheastmelist tuvastamist vaja, kuid mitte kellegi jaoks seda veebis kasutada võib olla tänapäeva turvalisuse olukorras juba ohtlikuvõitu.
7. Kuidas on lood WordPressi varukoopiatega?
65% teeb varukoopiaid iga päev, ka veebimajutus.ee majutuse puhul on see tavaline, 3% aga ei tee varukoopiaid üldse. Millele nemad loodavad, on raske arvata. Võimalik, et nende koduleht ei muutugi kunagi, aga ka siis peaks enne turvauuenduste paigaldamist vähemalt sel hetkel varunduse tegema.
8. Mida tehakse mitteaktiivsete kasutajatega?
Pea 70% WordPressiga jooksvate kodulehtede omanikest kustutab need kasutajad ära. See on turvalisem, kui jätta need alles. Samuti on mõistlikum mitteaktiivseid kasutajaid teatud aja täitudes automaatselt kustutada, saates neile enne korduvaid meeldetuletusi.
9. Kas kasutusel on aktiivsuslogi (Activity log)?
Tegemist on kausliku WordPressi tööriistaga, kust saab jälgida tegevusi kodulehel ja selle abil nii turvaintsidente avastada kui muudatuste mõju uurida. 63% kasutavad seda. Kasulik oleks seda siiski teha, see lihtsustab veebilehe haldamist.