In English
Brightside – Ärikvaliteediga kodulehed ja tugiteenused

Häkitud koduleht?

4. veebruar 2013 / Kodulehed

Viimastel päevadel juhtus jällegi, et mitmed Eesti veebilehed said näotustamise (website defacement) osaliseks, kuvades tavapäraste lehekülgede asemel nappi infot, “Rooted by GHoST61”.

See tähendab, et keegi (tavaliselt selleks kirjutatud robot) on saanud ligi kodulehe failidele ja neid enda soovi järgi muutnud. Seda tuleb veebimaailmas ette väga tihti ja üldiselt on kõigile asjaga tegelejatele teada ka, miks see juhtuda  saab. Sellepärast, et turvalisuse eest ei kanta hoolt.

10aastase praktika jooksul oleme näinud erinevaid veebihäkke ja 90% on olnud põhjuseks hooldamata sisuhaldustarkvara või turvanõuete eiramine selle seadistamisel.

Enamik kodulehti kasutab sisu haldamiseks vastavat tarkvara: Wordpress, Joomla, Drupal, TYPO3, Magento jne. Probleem ei olegi tarkvaras kui sellises, probleem on tarkvara hoolduse puudumises.

Kust tulevad turvaprobleemid?

Väga tihti on kodulehe turvalisus puudulik selle loomisest peale. Sealt edasi kasvab oht iga päevaga, kui algusest peale ei ole tarvitusele võetud kindlaid rutiine turvalisuse tagamiseks. Ah-minuga-ei-juhtu-suhtumine maksab varem või hiljem kurvalt kätte.

Ebapädev sisuhalduse seadistus

Vähekogenud veebiarendaja ei pruugi sisuhaldustarkvara installeerimisel turvalisusele piisavalt tähelepanu pöörata ja kergekäeliselt kasutatakse kolmanda osalise mooduleid, mis ei ole turvakontrolli läbinud või on ebastabiilses arendusfaasis (alpha, beta).

Läbi peab mõtlema ka kasutajate õiguste piiramise. Iga kasutaja võiks ligi pääseda ainult temale vajalikele funktsioonidele ja lehekülgedele. Sagedane administraatorina sisselogimine suurendab riski, et kõrgema taseme parool satub valedesse kätesse.

Enamiku suuremate sisuhaldusprogrammide dokumentatsioonist leiab turvalise seadistamise ja selle kontrollimise kohta piisavalt infot.

Puuduvad turvapaigad

Turvapaikade lisamine peaks olema elementaarne rutiin. Selleks tuleb pidevalt jälgida kasutusel oleva tarkvara ja moodulite arendusi. Uute turvapaikade avaldamisel tuleb need installeerida võimalikult kiiresti.

Mõnes süsteemis on turvalisuse jälgimiseks võimalik seadistada vastavad ajastatud toimingud, mis automaatselt teavitavad, kui kasutusel on vigane tarkvaraversioon, mõni vigane moodul või on lehekülg ebaturvaline serveri seadistuste tõttu.

Vananenud sisuhalduse versioon

Turvauuendusi tehakse kindlale tarkvaraversioonile üldjuhul kindla aja jooksul. Kui tarkvaraversioon on moraalselt aegunud, lõpetatakse turvapaikade tootmine. See aga ei tähenda, et kasutusel olev süsteem on nüüd lõpuni turvaline, vaid et tuleb üle minna uuemale versioonile.

Suuremad versiooniuuendused on turvauuendustega võrreldes ajamahukamad. Testida tuleb kõigi funktsioonide toimimist ja vajaduse korral teha seadistustes või moodulites muudatusi. Tegemist on kuluga, mida tuleks teadvustada ning mille peaks iga-aastasesse veebieelarvesse sisse planeerima.

Üks äärmiselt oluline veebitarkvara valiku kriteerium on, milliseks kujunevad pikaajalised hoolduskulud. Kui tihedalt tuleb teha versiooniuuendusi ja kui valutult see läheb, oleneb konkreetse tarkvara versiooniuuenduse poliitikast.

Kui ikkagi juhtub...

...siis on hea sellest ise esimesena teada saada. Selleks on jälgimisteenused, mis annavad teada, kui midagi on korrast ära.

Näiteks www.pingdom.com teenuse abil saab regulaarselt kontrollida, kas lehekülg on ligipääsetav ja kas see väljastab ettenähtud sisu.

Kui ikkagi juhtub, siis kõige olulisem on kiire tegutsemine. Asenda esileht tavalise hooldusteatega, keela väline ligipääs muudele failidele ja ära tee lehekülge avalikuks enne, kui viga on leitud ja kõrvaldatud.

Hooldus on odavam kui parandamine

Tee kindlaks, et sinu veebilehe toimimist jälgitakse ja tarkvara hoitakse turvalisena – sõlmi selleks vajalikud lepingud.

Häkitud lehe remontimine on töö, mida tavaliselt garantii ei kata ning võimalik andmete leke vms võib minna kokkuvõttes väga kalliks maksma.

TYPO3 sisuhalduse arendused
Magento e-poed
Google AdWords reklaam