Hurtigt og enkel blokering af bruteforce-angreb mod WordPress-sider

For et par dage siden afholdte WordPress Copenhagen deres månedlige meetup her, hos os.

Emnet var sikkerhed, og et af de problemer som blev diskuteret var de bruteforce-angreb, som har hærget siden i vinter. Metoden er ganske simpel, og kan sammenlignes med at man forsøger at bryde en kombinationslås op, ved at prøve én kombination af gangen.

Foruden at der findes en risiko for at angrebet faktisk lykkedes, så skaber denne type angreb et problem, både for webserveren og for webmastere, eftersom at et angreb kan få en hel del alarmklokker til at ringe.

De fleste webhoteller, inklusive Surftown, har en blokering mod disse angreb. Der er dog nogle undtagelser, såsom VPS-servere og lignende, og i disse tilfælde kan det være fordelagtigt at blokere angreb på en anden måde.

Hvordan gør man så?
Den hyppigste form for blokering er at tilføje almindelig HTTP-godkendelse for wp-admin/ og wp-login.php. Det fungerer i princippet for alle, men kræver et ekstra sæt legitimationsoplysninger. At whiteliste IP-adresser virker også fint, men administrationen heraf kan blive irriterende, hvis du har mange forskellige personer, som har behov for at logge på administrationen.

Som et alternativ kan du bruge mod_rewrite til at blokere alle forsøg på login, som ikke kommer fra det rigtige sted. For at gøre dette, så skal du først oprette en separat login-side til din WordPress-installation.

Der er flere plugins, som giver mulighed for at tilføje en login-formular på en anden side. I dette eksempel opretter vi en login-side, som kaldes ‘minloginside’ og tilføjer en login-formular ved blot at kopiere HTML-koden fra den normale login-side, og derefter indsætte det på min ‘minloginside’.

Bagefter åbner vi filen .htaccess, som er placeret som en skjult fil i din WordPress-mappe. Hvis den ikke findes, så kan du oprette en tom tekstfil og navngive den .htaccess.

I toppen af filen skal vi indsætte følgende kode:

RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{HTTP_REFERER} !^https://mitdomæne.tld/minloginside/$ [NC]
RewriteRule ^wp-login.php$ – [F,L]

For at dette virker for netop din hjemmeside, så skal adressen til din loginside selvfølgelig rettes. Når dette er gjort, så skal du bare gemme filen, og er dit websted beskyttet mod loginforsøg, som ikke kommer fra din loginside. Mislykkede forsøg vil resultere i en fejl 403.

14 dage ekstra med fødselsdagstilbud

Over 1500 har udnyttet vores fødselsdagstilbud i perioden 15-25 august. Det er vi rigtigt glade for og vi byder jer velkommen hos Surftown. Vi har også kunnet se en stigende interesse over perioden for at få fingre i et domæne med et års webhotel for kun 10 kr i alt.

Da vi stadig er i ret godt fødselsdagshumør har vi valgt at forlænge tilbuddet i 14 dage, så endnu flere kan nå at få glæde af muligheden. Så nu kan nye kunder få glæde af dette særtilbud helt frem til 10. september. Du kan hjælpe os med at sprede det glade budskab med et tweet eller like på facebook fra kampagnesiden.

Surftown bli’r 10!

DKpaint

Fra i dag fejrer vi at Surftown i år runder 10 år som en af Nordens førende udbydere af webhoteller.

Det fejrer vi med en super konkurrence, både for nye og gamle kunder. Og det fede er at det er nemt at være med. Vi bli’r 10 år, så vi har 10 gaver på højkant – bla. et professionelt webdesign og en fin lille iPad. Læs mere her:
https://surftown.dk/surftown-bliver-10-aar

Er du ikke kunde hos Surftown endnu, men har den fede idé til et nyt website, eller et sjovt domænenavn du bare må eje, er det nu du skal slå til. Du får domænet og hele det første års webhotel for 10 kr. Dét er billigt – men så skal du altså også handle inden den 25. august:
https://surftown.dk/webhotel-10kr

Når man runder 10 begynder alderen måske at trykke for nogle – men ikke for os! Vi har en masse nyheder på vej, som vi glæder os til at dele med jer.
Måske er du en af vores beta-testere? I al fald er der lidt at læse om vores kommende, moderne kontrolpanel lige her:
https://blog.surftown.dk/nyt-kontrolpanel-pa-vej/

Kritisk sikkerhedsopdatering til Joomla

Joomla har for nylig udgivet kritiske sikkerhedsopdateringer til Joomla 2.5 og 3, og vi anbefaler at alle opgraderer Joomla snarest muligt.

Der er også en uofficiel patch til Joomla 1.5, der også er ramt.

Sikkerhedshullet er relateret til ikke-autoriserede uploads af filer, hvilket vil sige at det er muligt at uploade filer uden tilladelse og uden adgang til sidens backend.

For mere information, se: https://www.joomla.org/announcements/

Nyt kontrolpanel på vej

Vi har længe ønsket at give vores gamle kontrolpanel en ordentlig ansigtsløftning, og vi ved, at rigtig mange af vores brugere har samme ønske. Derfor har vi arbejdet hårdt på at bygge et helt nyt kontrolpanel, samt forberede den enorme opgave at migrere tusindvis af brugerkonti til det nye system.

Vores primære fokus har været på at forbedre de eksisterende funktioner i kontrolpanelet, men vi har også tilføjet nye lækre funktioner. Her er lidt om, hvad du kan forvente dig af det nye kontrolpanel:

Nyt design og mindre rod

Der er ryddet godt og grundigt op i det gamle kontrolpanel, og vi har fjernet den store mængde funktioner, som enten ikke virkede efter hensigten eller bare aldrig rigtig blev brugt. Resultatet er et kontrolpanel, hvor du let kan få et overblik over dine produkter, fakturaer og supportsager.

new_cp_dasboard_en_590px

En samlet konto

Mange af vores brugere har mere end ét webhotel hos Surftown, hvilket også betyder flere brugernavne og adgangskoder, der skal holdes styr på. Det vil vi gerne gøre nemmere. Derfor har vi gjort det muligt for dig at samle og håndtere alle dine webhoteller og domæner på samme konto.

Du har også mulighed for at oprette brugere og styre, hvilke områder den enkelte bruger skal have adgang til.

new_cp_dashboard_services_en_590px

Nem og automatisk fornyelse

Der er stor efterspørgsel blandt vores brugere på muligheden for automatisk at fornye både domæner og webhoteller. I det nye kontrolpanel vil du kunne aktivere automatisk fornyelse, og på den måde forhindre, at din konto pludselig bliver lukket eller du mister rettigheden til dit domænenavn, på grund af manglende betaling.

Bedre styring af domæner

I det nye kontrolpanel får du mulighed for selv at gøre mange af de ting, du før skulle kontakte supporten for. Dermed slipper du for besvær, og du sparer tid. Det betyder eksempelvis, at du vil kunne slå fornyelse af domæne til og fra, opdatere DNS, finde dine EPP-koder og opdatere kontaktoplysninger på dine domæner.

Migrering af din konto

Vi glæder os rigtig meget til at slippe dig løs i det nye kontrolpanel, men før du kan få lov at nyde alt det nye, skal vi migrere din konto til det nye system. Du modtager yderligere information om migrering af din konto, når vi nærmer os.

Kunne du tænke dig at være med til at betateste det nye kontrolpanel, så hold øje med din mail. Der sendes betainvitationer ud de næste par dage til Surftowns brugere, og der er kun et begrænset antal pladser.

«< 3 4 5 6 7 >»