Küberturvalisuse eksperdid ja häkkerid on leidnud tuhandeid loomingulisi viise, kuidas arvutisüsteeme rünnata. Samas viiakse enamus küberrünnakuid läbi kasutades paari järgi proovitud ja töötavat rünnakutüüpi. Üks levinumaid neist on jõurünne. Õnneks saad oma e-poodi seesuguste rünnakute vastu kaitsta paari suhteliselt lihtsa abinõuga.

Mis on jõurünne?

Jõurünne (ingl k brute-force attack) on ründe viis, mille käigus häkkerid proovivad läbi suure hulga erinevaid kasutajanimede ja paroolide kombinatsioone lootuses sinu paroolid lõpuks ära arvata. Selle juures abistavad häkkerit tumeveebist (ingl k dark web) kättesaadavad kasutajanimede ja paroolide tabelid või nn sõnastikud. 

Kas sinu e-pood on tõepoolest ohus?

Jah! Sa ei pea olema maailmakuulus bränd, et langeda küberrünnaku ohvriks. Valdav enamus küberrünnakutest tehakse automaatselt – häkkerite loodud robotid käivad valimatult läbi kümneid tuhandeid veebisaite ja proovivad miljoneid erinevaid kasutajanimede ja paroolide kombinatsioone. Kui su sait on avalikult kättesaadav, siis on ta juba sihile võetud. 

 

Kolm lihtsat abinõud e-poe jõurünnaku eest kaitsmiseks

 

1. Muuda ära halduskeskkonna sisselogimislehe aadress

Selle jaoks, et häkkeri robot sinu saidil erinevaid paroole katsetada saaks, peab ta leidma õige aadressi, mida rünnata. Palju populaarsed sisuhaldussüsteemid kasutavad vaikesätetes alati sama aadressi – näiteks WordPressi vaikesätetes sisselogimislehe aadress on /wp-login.php ja Joomlas /administrator. Võimalusel seadista selle asemele midagi unikaalset. See abinõu üksi ei takista sihikindlat häkkerit, aga teeb sinu e-poega tegelemise piisavalt keeruliseks, et keskmine robot sellega hakkama ei saa.

WordPressis on võimalik halduskeskkonda sisselogimise aadressi muuta mooduliga: https://wordpress.org/plugins/wps-hide-login/

2. Piira kui palju sisselogimise päringuid sinu halduskeskkond teha lubab

Isegi kõige kiirem nobenäpp ei suuda sadu korda sekundis uut kasutajanime ja parooli proovida. Küll aga suudab seda häkkeri robot. Sinu e-pood ei tohiks sellist üli-inimlikku käitumist lubada – erinevalt inimesest ei ole selline tempo häkkeri kirjutatud roboti jaoks mingi probleem. Sealjuures, mida kiirem on su e-poe server, seda kiiremini ta häkkeri robotile vastab ja seda kiiremini su parool ära arvatakse.

WordPressis on võimalik päringute arvu ja kiirust piirata mooduliga: https://wordpress.org/plugins/limit-login-attempts-reloaded/

Samuti pakub sarnast lahendust WordPressi tööriistade komplekt Jetpack: https://jetpack.com/features/security/brute-force-attack-protection/

3. Kasuta päriselt turvalist parooli

Ilmselt tead juba, et kui su kasutajanimi on “admin” ja parool on “password”, siis häkitakse su konto varem või hiljem ära. Kahjuks ei piisa parooli ja kasutajanime valikul ka mõnest ilustast eestikeelsest sõnast, eriti kui see sõna juhtub olema “parool” või mõni selle variant nagu “parool123”. Vähegi tublima häkkeri tööriistad sisaldavad ka levinumate eestikeelsete sõnade ja Eesti veebisaitidelt lekkinud paroolide nimekirju. Tugev parool on:

  • Võimalikult suvaline, mitte päris sõna
  • Kasutusel ainult konkreetse konto jaoks
  • Vähemalt 8 tähemärki pikk, mida rohkem seda parem
  • Sisaldab nii suur- kui väiketähti
  • Sisaldab nii numbreid kui tähti
  • Sisaldab vähemalt ühte sümbolit n ! @ # ? ] (NB! Ära kasutada sümboleid < ja >)

 

Paroolide haldamise ja kaitsmise kohta saad lisaks lugeda ka siit: https://e-kaubanduseliit.ee/kuidas-kaitsta-e-poe-paroole/

 

Enno Kirsimäe – Idyllum Labsi kaasasutaja

 

Idyllum Labs on Eesti küberturvalisuse idufirma. Kui sind huvitab oma e-poe või veebilehe turvalisus, saad seda automaatselt testida SIIN(https://www.idyllum.com/?utm_source=e-kaubanduseliit&utm_medium=affiliate&utm_campaign=kuidas-kaitsta-poodi-jourunde-eest). Eesti E-kaubanduse Liidu liikmetele on Idyllum Labs PRO pakett täiesti tasuta! Lisainfo saamiseks kirjuta meile info [ätt] idyllum.com .

Liitu uudiskirjaga

Väärt uudised, praktilised nõuanded ning siseinfo Eesti e-kaubanduse kohta.