Information

Midlertidig stramning af sikkerheden for WordPress

Vi ser i øjeblikket, at hackere forsøger at tvinge sig adgang til WordPress-administrationen ved at afprøve forskellige kodeord. Teknikken hedder bruteforcing og er ikke i sig selv ny.

Bruteforcing kan sammenlignes med, at nogen forsøger at bryde en kombinationslås ved at prøve én kombination ad gangen, indtil låsen til sidst går op. Metoden er ikke særlig effektiv og derfor har man kun sjældent set den brugt i nyere tid. Noget tyder nu på at hackerne har fået adgang til så meget computerkraft, at metoden med fordel kan anvendes til at bryde ind i WordPress-installationer, og dét er nyt.

Effekten af de mange login-forsøg, der bliver skabt af angrebet kan mærkes på serverne. En hjemmeside under angreb skaber en høj belastning, hvilket går ud over den pågældende hjemmeside, men også andre kunder på serveren.

For at sikre en stabil drift, arbejder vores sikkerhedsteam med en løsningsmodel, hvor et højt antal fejlslagne loginforsøg resulterer i en midlertidig blokering af den IP-adresse, som forsøger at logge ind i WordPress. Når IP-adressen bliver blokeret vil det samtidigt stoppe den forhøjede belastning.

Vores sikkerhedsteam bliver samtidig informeret om det konkrete angrebsforsøg. Informationen bruger vi til at spotte tendenser og på den måde forudsige, samt forbygge fremtidige angrebsforsøg.

Vi er klar over at metoden kan betyde, at enkelte kunder fejlagtigt bliver låst ud af deres WordPress-administration. Sker det, er du selvfølgelig velkommen til at kontakte kundeservice her:
https://surftown.dk/support/create

Hold hackerne ude af Joomla

I løbet af den sidste uge har vi skrevet blogindlæg om sikkerhed i CMS-systemer. Nu er turen kommet til Joomla, der også benyttes flittigt til at administrere hjemmesider, præcis ligesom WordPress.

Joomlas popularitet er med til at gøre systemet til et mål for hackere, ligesom det er tilfældet for alle andre populære CMS-systemer.

Det er vigtigt, at du holder din Joomla-side opdateret, så du undgår ubehagelige besøg fra hackere. Opdateringerne giver også en række nye funktioner til din Joomla-side – eksempelvis bliver din sides administrationsmodul væsentligt forbedret i de nyere udgaver af Joomla, og du får bedre mulighed for at styre indholdet på din side.

At opdatere Joomla er altså en fordel på flere fronter. Opdateringerne giver flere og bedre funktioner end de tidligere udgaver af Joomla, og gør samtidig din side mere sikker.

Bemærk, at en hacket Joomla-installation kan påvirke andre af Surftowns brugere, og i enkelte tilfælde kan vi være nødt til at lukke for adgangen til siden, af hensyn til vores andre brugere.

Sådan opdaterer du Joomla
Hvis din Joomla-version er nyere end 1.6, så er det ganske simpelt at opgradere din Joomla-version til den nyeste. En af mine dygtige kollegaer har lavet en vejledning til, hvordan du opdaterer fra en gammel udgave af Joomla til en ny.

Benytter du dig i stedet af en Joomla-installation, der er ældre end version 1.6, så er processen for opgradering en anelse anderledes. Den indebærer flere trin end for de nyere udgaver, men det er mere vigtigt at få opdateret Joomla, fordi de ældre versioner indeholder en del sikkerhedshuller. Vores vejledning til at opdatere gamle Joomla-versioner kan findes her:
https://surftown.dk/support/hvordan-migrerer-jeg-min-joomla-15-installation-til-joomla-25

Hvis du vil gå endnu længere for sikkerheden i din Joomla-installation, vil vi opfordre dig til at tage et kig på den officielle sikkerheds-dokumentation for Joomla:
https://docs.joomla.org/Security

Sådan kan du selv sikre din WordPress-installation

CMS-systemet WordPress er verdens mest populære af sin slags. Ud af verdens 1 million mest populære hjemmesider, drives over 17 %  af WordPress, på grund af systemets fleksibilitet  og brugervenlighed.

Bagsiden af medaljen er, at systemets popularitet gør det til et oplagt mål for hackere. Når først en hacker har fundet et sikkerhedshul i WordPress, kan viden om sikkerhedhullet sælges til andre hackere for flere tusinde kroner, fordi WordPress bruges af så mange brugere, verden over. Heldigvis kan du selv gøre meget for, at sikre din WordPress-hjemmeside mod angreb.

Tidligere har man set storstilede angreb mod mange tusinde WordPress-sider. Her blev siderne inficeret med skadelig kode, som ødelagde hele hjemmesider, samt inficerede de besøgendes computere med virus.  Det understreger pointen fra vores tidligere blogindlæg om, at det er vigtigt at få opdateret sin hjemmeside. Alene det at opdatere WordPress lapper de fleste sikkerhedshuller og gør dermed din side bedre rustet i kampen mod hackerne. Udover opdateringer findes der en del andre tiltag, som kan medvirke til at gøre din side mere sikker.

Sådan gør du WordPress sikrere
Et godt tiltag er udvidelsen  ’Better WP Security’. Det er et gratis plugin, som samler en række forskellige funktioner, der alle kan bruges til at forbedre sikkerheden på din WordPress-side. Eksempelvis hjælper udvidelsen med at skjule, at der er tale om en WordPress-side, hvilket er med til at forbedre sikkerheden væsentligt.

Kombineret med ovenstående hjælper pluginnet dig også med at rette sårbarheder i din installation, som potentielt kan misbruges af hackere til at kompromittere din hjemmeside, og dermed gøre den skadelig for dig og dine besøgende.

Better WP Security fokuserer på, at gøre selve WordPress-installationen sikker. Som WordPress-bruger må man dog ikke undervurdere vigtigheden i, at man også skal huske at vedligeholde sine plugins og sine temaer. Uden en vedligeholdelse af plugins og temaer fremstår hjemmesiden som en åben dør for hackerne. Det er kun et spørgsmål om tid, før et sikkerhedshul bliver opdaget af hackere – og når det bliver det, så skal hackerne nok sørge for at benytte sig af det.

Generelt er nøglen til at holde hackerne på afstand, at du holder øje med din side, og sørger for at at den altid er opdateret til den seneste udgave af WordPress. På den måde kan du proaktivt reagere på sikkerhedsproblemer i CMS-systemet, og dermed forhindre uønskede besøg af hackere. Dette gør sig gældende for alle, der har en hjemmeside, også selvom siden ikke er drevet af WordPress.

Hvis du vil vide vide mere om hvordan du kan sikre din WordPress-side, så har udviklerne bag CMS-systemet skrevet en artikel om emnet:
https://codex.WordPress.org/Hardening_WordPress

Hvad gør du selv, for at holde din side sikker?

Derfor skal du opdatere din hjemmeside

En undersøgelse fra 2012 viste, at 63% af hjemmesideejere ikke vidste, hvordan deres hjemmeside var blevet hacket – 20% pegede på sikkerhedshuller eller manglende opdatering af software som årsagen. Og billedet bliver ikke pænere af det faktum at antallet af inficerede hjemmesider steg med 46% fra 2011 til 2012 ifølge DKCERT, som peger på sikkerhedshuller i CMS’er som en væsentlig årsag.

At en hjemmeside bliver hacket skyldes ofte, at hjemmesider der er bygget i et CMS ikke holdes opdateret, når først det hele kører. Men hackerne er konstant på udkig efter nye sikkerhedshuller i de populære CMS’er. Samtidig kommer der løbende opdateringer, som både tilføjer nye funktioner og lukker sikkerhedshuller. På den måde kører der en vedvarende krig mellem hackerne og udviklerne, hvor det hele tiden gælder om at være et skridt foran.

Det kan bedst sammenlignes med dit anti-virusprogram på computeren. De fleste ved, at man løbende skal holde sit anti-virusprogram opdateret, for at sikre din computer bedst mod ondsindet software og hackere. Det samme gælder for det CMS, din hjemmeside er baseret på.

Derfor er det vigtigt, at du løbende opdaterer dit CMS, uanset om du bruger Joomla, WordPress eller noget helt tredje. Ved løbende at opdatere dit CMS, minimerer du risikoen for at din side bliver hacket.

Den gode nyhed er at det oftest kan gøres automatisk via administrationen i dit CMS.

Sådan minimerer du risikoen for at din hjemmeside bliver hacket

Du kan heldigvis gøre meget for at minimere risikoen for at din side bliver hacket. Vi har forsøgt at samle tre gode tiltag her:

1.Husk at holde din hjemmeside opdateret
Mange hackere udnytter kendte sikkerhedshuller i dit CMS, fordi de er meget udbredte. Det gælder især de store systemer WordPress og Joomla. Derfor er det bedste våben mod hackerne at sørge for, at dit CMS er opdateret til den seneste udgave.

2.Skift dine kodeord jævnligt
Nogle hackere bruger ikke tid på at lede efter sikkerhedshuller i hjemmesider. De forsøger i stedet at gætte dit kodeord, ud fra en række lister over de mest brugte adgangskoder. Derfor opfordrer vi til, at du skifter sin adgangskode regelmæssigt. Din adgangskode skal helst være kryptisk, så hackerne ikke kan gætte det så nemt. Et godt password består af minimum otte tegn, og benytter en kombination af tal og store og små bogstaver. Hvis du vil gøre dit kodeord ekstra sikkert, så kan du også tilføje specialtegn, men det er ikke alle systemer, der tillader det.

3.Sørg for, at dine filrettigheder står korrekt
For de lidt mere avancerede brugere, så er det også godt at være opmærsom på, at filernes rettigheder på webhotellet står korrekt. Eksempelvis er det ofte en dårlig idé, at lade alle skrive i filerne, da det ofte kan have negative konsekvenser. En god retningslinje er, at en mappe aldrig skal have mere 755 som rettighed, og en fil aldrig bør have mere end 644. Hvis du er i tvivl om, hvordan filrettigheder fungerer, opfordrer vi dig til ikke at ændre på standardværdierne.

Derfor bliver hjemmesider hacket

Det er svært at sige, præcis hvorfor en hjemmeside bliver hacket. En ting er dog helt sikkert; i langt de fleste tilfælde bliver det udført, uden på nogen måde at være personligt rettet mod ejeren af hjemmesiden.

De mest udbredte tilfælde har til formål, at stille webhosting til rådighed for angreb mod eksempelvis udvalgte virksomheder. I de tilfælde spredes inficeret kode ud på mange forskellige hjemmesider, verden over. Når en hacker har inficeret tilstrækkeligt mange hjemmesider, benyttes de mange inficerede sider til at skabe en stor mængde forspørgsler mod en udvalgt virksomheds hjemmeside. Formålet er at få virksomhedens servere til at bukke under for presset, og dermed gøre den ramte hjemmeside utilgængelig. Det kalder man for DoS-angreb (Denial of Service).

En anden type hacking er af mere simpel karakter – her tvinger hackere sig adgang til sider og ændrer indholdet på hjemmesiden. Formålet er enten at kommunikere et budskab eller at benytte siden til at vise, at han/hun kan hacke den. Man kan sammenligne det med en personer der maler grafitti eller skriver tags rundt omkring i byen. Det kalder man ofte for “Defacement” eller “Defacing”.

Hvad gør du for at holde din hjemmeside sikker?

Vi rydder op og udfaser en række funktioner

“The Times They Are a-Changin'” sang Bob Dylan tilbage i 1964, og det samme kunne vi så sandelig sige her hos Surftown for tiden. Vi fortsætter arbejdet med at forbedre vores produkt, og i øjeblikket arbejder vi på en stor opgradering og oprydning i vores backend og systemer. I den forbindelse vil nogle funktioner blive udfaset og fjernet. Dog erstattes nogle af de funktioner med noget nyt og bedre.

Alle nedenstående funktioner udfases i løbet af foråret. Vi fortæller mere, når vi nærmer os.

BEMÆRK: Der er tale om funktioner, der i øjeblikket findes i dit kontrolpanel (My Surtown). Det drejer sig altså udelukkende om, at den funktionalitet ikke længere vil være tilgængelig via kontrolpanelet.

Der er forskellige årsager til at funktionerne udfases. Nogle funktioner udfases, fordi de udgør en udnødvendig sikkerhedrisiko, hvor der samtidig findes bedre alternativer. Andre features, såsom MIME type og ODBC, udfases fordi de ikke længere understøttes af vores webserver-software eller fordi det er en uddateret funktionalitet, der er erstattet af nyere metoder.

Den fulde liste over funktioner der vil blive udfaset er:

CGI-DIR

CGI-dir udfases i den forstand, at vi fjerner muligheden for at aktivere CGI via kontrolpanelet. Vi lukker ikke for de som allerede har aktiveret CGI, og har du evnerne til det, så kan du teoretisk set stadig aktivere CGI via .htaccess.

MIME-TYPER

Vi fjerne muligheden for at tilføje egne MIME-typer i kontrolpanelet. Du kan dog stadig oprette dine egne MIME-typer via .htaccess eller web.config.

SSI

I forhold til SSI fjerner vi understøttelsen af SHTML, hvor der findes moderne alternativer i ASP.NET og PHP.

POSTGRESQL

Vi fjerne muligheden for at oprette nye pgSQL-databaseer, men eksisterende databaser får lov at køre videre.

white_1px

Maildomæne-alias

Vi skal for en god ordens skyld understrege, at der ikke er tale om almindeligt mail-alias. Du vil stadig kunne oprette en mail-adresse som alias for en anden mail-adresse. Der er derimod tale en mindre brugt og separat mailservice der findes i forbindelse oprettelse af domænealias.

white_1px

SiteStudio og SiteBuilder erstattes af et ny og bedre hjemmesideprogram

Har du lavet din hjemmeside ved hjælp af SiteStudio eller SiteBuilder, så vil det ikke påvirke din allerede publicerede hjemmeside. Brugere, der allerede har aktiveret og bruger SiteBuilder, vil dog fortsat kunne redigere deres sider via SiteBuilder. SiteStudio vil blive fjernet helt for alle brugere, og man vil ikke længere kunne opdatere sin side via SiteStudio.

Alle bruger får adgang til et nyt og bedre hjemmesideprogram, hvor du kan bygge en flot og moderne hjemmeside. Det fortæller vi selvfølgelig mere om snart.

white_1px

Squirrelmail og Atmail udfases endeligt

Det er efterhånden noget tid siden, vi lancerede vores nye webmail. Dengang annoncerede vi, at vi ville påbegynde udfasningen af de to gamle webmailprogrammer, Squirrelmail og Atmail. Nu er det så blevet tid til at gøre alvor af den plan, og de to webmailprogrammer vil blive lukket fuldstændigt. Herefter vil der kun være adgang til den nye Surftown webmail.

*OPDATERET*
Vi har valgt at udfase SquirrelMail og AtMail af flere forskellige årsager. Vi vil fokusere vores indsats på én webmail. Der har vi valgt at fokusere på vores nye webmail, som lader os tilbyde det største udvalg af funktioner. Det er også den webmail der bruges af langt de fleste af Surftowns brugere. Dertil kommer, at både SquirrelMail og AtMail indeholder fejl, som skaber unødvendige frustrationer hos vores brugere og ekstra arbejde for os.

Vi har hørt de klagepunkter, der er i forhold til den nye webmail, og i den forbindelse kan jeg fortælle, at der i løbet af sommeren vil komme en stor opdatering af webmailen. Både design og funktionalitet får sig et gevaldigt løft i den forbindelse.

Hvis du af den ene eller anden årsag ikke kan bruge den nye webmail, så er der også mulighed for at installere et mailprogram på din computer og læse/hente din mail via POP3 eller IMAP.

white_1px

.web.surftown.dk-domæner

Vi har allerede lukket ned for muligheden for at oprette .web.surftown.dk-domæner, men der findes stadig aktive .web.surftown.dk-domæner. Disse domæner vil i løbet af foråret blive lukket ned, så de ikke længere virker. Eventuelt indhold, der ligger på de eksisterende .web.surftown.dk-domæner, vil ikke blive slettet. Men eftersom domænerne ikke længere virker, vil indholdet ikke kunne tilgås via en browser.

white_1px

FrontPage Extensions

Her er også tale om en funktion der allerede er lukket ned for nyoprettede brugere. De brugere, som har haft FrontPage Extensioms aktiveret inden vi lukkede ned for det, har dog fortsat kunne anvende det. Når vi i løbet af foråret lukker endegyldigt ned for FrontPage Extensions, så vil det gælde for alle brugere, at det ikke længere er tilgængeligt i kontrolpanelet.

white_1px

OsCommerce (1-click install)

Vi har tidligere tilbudt mulighed for at installere OsCommerce via 1-Click Toolbox på nogle webhoteller. I fremtiden vil ikke vi ikke tilbyde denne mulighed. Du kan dog stadig installere OsCommerce manuelt og bruge OsCommerce på Surftowns webhoteller.

white_1px

ODBC og MyLittleAdmin

For både ODBC og MyLittleAdmin findes der nyere og bedre alternativer. Klik “Læs mere” ud for dem, for at læse mere om hvordan du eksempelvis bruger SQL Management Studio i stedet for MyLittleAdmin, eller hvordan du opretter forbindelse til en MSSQL database uden brug af ODBC.

Har du spørgsmål, så står vi klar til at svare. Skriv dit spørgsmål i en kommentar herunder, eller kontakt kundeservice her: https://surftown.dk/support/create

< 1 2 3 4 5 >»