Rapport

jun 03 2016

WordPress-tilläggen du bör undvika

En uppdaterad hemsida är en säkrare hemsida. Det känns som vi har sagt det hur många gånger som helst, men den främsta orsaken till att en hemsida blir hackad är att den innehåller funktioner med säkerhetshål. Ofta är det inte hemsidan i sig, utan dess tillägg, som är sårbara. Detta stämmer synnerligen väl om man använder WordPress.

Säkerhetsfirman Sucuri har precis släppt en säkerhetsrapport, med en analys av över 11 000 hackade hemsidor det första kvartalet 2016. Rapporten innehåller många intressanta saker, men vi fastnade särskilt för två detaljer.

– Tre WordPress-tillägg bakom 25 % av alla hackade WordPress-sidor

Det finns närmare 45 000 WordPress-tillägg i det officiella registret (och många fler på andra platser), men ändå är tre specifika tillägg med på var 4:e hackad WordPress-sida. Dessa tillägg är Slider Revolution (RevSlider), Gravity Forms och TimThumb.

fsdata_wordpress_tillagg_farligast

Slider Revolution är ett tillägg för bildspel som har över 1,5 miljoner användare. Tillägget inkluderas med många populära WordPress-teman (Hos Themeforest, under kategorin WordPress, får man över 1 000 träffar på Slider Revolution), så många användare är inte ens medvetna om att deras hemsidor är sårbara.

När ett av de större säkerhetshålen i Slider Revolution upptäcktes så hittade man över 100 000 infekterade hemsidor. Över 11 000 domännamn blev då svartlistade av Google.

Gravity Forms är ett av de mest populära tilläggen för formulär, med över 1 miljon användare. Tidigare versioner av detta tillägg har varit sårbara för uppladdning av (skadliga) filer via dess formulär. Med filerna uppladdade på webbservern har det sedan varit enkelt att hacka och ta över hemsidor.

TimThumb och dess sårbarheter bör de flesta WordPress-användare känna till nu. 2012 stod TimThumb bakom hälften av alla hackade WordPress-sidor, men nu det nere på 8 %. TimThumb är ett PHP-script som många tillägg och teman använder, så exakt användarbas är svår att avgöra. Många utvecklare har dock gått ifrån TimThumb de senare åren.

– Hur bör man agera med dessa tillägg?

Nu blir en WordPress-hemsida inte automatiskt hackad bara för att man har något av dessa tillägg. Man om man känner igen något av tilläggen och vill vara säker på att ens hemsida inte är sårbar så har vi några enkla tips för det.

1. Kontrollera din WordPress-installation

Först och främst bör man kontrollera om man har något av dessa tillägg installerade i WordPress. Logga in på din hemsida och kontrollera det i WordPress administrationsgränssnitt (wp-admin) under ”Panel” och ”Uppdateringar”. Om du har ett WordPress-nätverk behöver du kontrollera detta under nätverksadmin. Om ett tillägg behöver uppdateras, gör det då omgående.

2. Kontrollera ditt WordPress-tema

Många teman inkluderar dessa sårbara tillägg. Om du är osäker på ditt tema, besök då hemsidan för utvecklaren av temat (eller den hemsida där temat laddades ner) och kontrollera detta (det brukar vara rätt tydligt angivet, annars kan man fråga utvecklaren om det). Många teman som man köper uppdateras inte automatiskt (eller via WordPress administrationsgränssnitt). Se till att du har den senaste versionen av ditt tema.

3. Sök efter sårbarheter i TimThumb

TimThumb är som bekant ett script som många teman och tillägg använder, man kan inte hitta det under den vanliga listan med tillägg i WordPress. För att kontrollera om man har en sårbar version av TimThumb på sin hemsida kan man installera och använda tillägget TimThumb Vulnerability Scanner. Detta tillägg kan även uppdatera TimThumb till en nyare version.

4. Välj ett säkrare webbhotell

Ett av de enklaste sätten att få en säkrare hemsida är att välja ett säkrare webbhotell. Med webbhotell hos FS Data är hemsidan skyddad med en kraftfull brandväggslösning, som bl a stoppar kända WordPress-attacker, automatiska säkerhetskontroller och mycket annat. Även med ett säkert webbhotell bör man givetvis se till att uppdatera sin WordPress-hemsida fortlöpande.

– WordPress-användare är bättre på att uppdatera sina hemsidor

När man läser säkerhetsrapporter så är det lätt att få ett intryck av att WordPress är världens mest osäkra system. Så är dock inte fallet. Faktum är att WordPress-användare är bättre än många andra på att uppdatera och säkerställa sina hemsidor. Av de CMS (innehållshanteringssystem) som Sucuri testade så var WordPress klart bäst uppdaterat.

Här är andelen dåligt uppdaterade CMS i säkerhetsrapporten:

fsdata_sucuri_wordpress_uppdaterat

Att WordPress är enklare att uppdatera än många andra CMS har stor betydelse här. Säkerhetshål och problem med WordPress uppmärksammas även mer, även i traditionell media. Det är inte så konstigt heller, då hälften av alla hemsidor på nätet baseras på WordPress. Oavsett är det roligt att så många WordPress-användare ändå håller sina hemsidor uppdaterade.

Om du har några frågor eller funderingar kring detta, lämna då gärna en kommentar här nedan.

feb 28 2014

Fler väljer svensk, säker e-post

Hälsoläget i .se 2013 .SE (Stiftelsen för internetinfrastruktur) presenterar årligen en rapport om hälsoläget i .se zonen, baserat på domännamn tillhörande statliga bolag, banker, finansföretag, kommuner osv. Det är domäner som förväntas ligga i framkant vad gäller teknisk utveckling, säkerhet och funktionalitet.

I undersökningen kontrolleras olika tekniska faktorer, som om domänerna har stöd för DNSSEC, IPv6, var de befinner sig geografiskt osv. Undersökningen för 2013 (PDF) inkluderar 913 st domännamn och även om det kanske inte är en statistiskt säkerställd rapport så är det en bra indikation av utvecklingen i den svenska domänzonen.

Det som främst fångade vårt intresse i den nya rapporten, det var e-postutvecklingen.

E-post är ett av de viktigaste kommunikationsmedel som vi har idag. Det är samtidigt ett av de mest utsatta kommunikationsmedel som finns. E-post skickas/tas emot och lagras vanligtvis i klartext. Dessutom lyssnar gärna många utländska myndigheter på den e-post som hanteras utanför Sverige.

Rapporten från .SE visar att allt fler tar sin e-postsäkerhet på allvar.

2012 var 42 % av e-postservrarna för dessa domännamn placerade i Sverige. I den nya rapporten, för 2013, så är 54 % av e-postservrarna placerade i Sverige.
En annan positiv utveckling är stödet för TLS (säker kommunikation med e-postservrar). Föregående år hade 45 % av e-postservrarna stöd för TLS. 2013 hade 54 % av e-postservrarna stöd för TLS.

Även om det finns gott om utrymme för förbättring så är detta ändå glädjande. Att byta e-postserver kan vara svårt och ta tid (om man inte använder vår flytthjälp), så det är fullt möjligt att vi kommer få se ännu fler svenska säkra e-postservrar till nästa år (till följd av det senaste årets avslöjanden om utländsk övervakning).

FS Data är ett säkert webbhotell Ett enkelt sätt att få svensk, säker e-post är att välja FS Data som e-postleverantör.

Vi erbjuder snabba, säkra och stabila e-posttjänster från våra serverhallar i Helsingborg. Våra e-postservrar har givetvis stöd för TLS och vi arbetar aktivt för säkrare e-post, bl a genom att stödja den säkra e-postklienten Mailpile.

Läs gärna mer om våra e-posttjänster här: FS Data, E-post

mar 24 2011

En liten rapport från WHD

Som vi berättade tidigare i veckan så är ett gäng från FS Data på världens största mässa för webbhotell, World Hosting Days (WHD). De har haft ett späckat schema, men här kommer ändå en liten halvleksrapport med reflektioner och bilder från vår VD, Fredrik Sköld.

Vi är tre personer på plats här i Tyskland, som representanter för vår koncern med FS Data, Nordreg och ISPHuset. Förutom jag själv så är även Andreas och Benny med här.

Den första dagen av WHD handlade nästan uteslutande om ”molnet”. Aktörerna inom detta segment är många och alla erbjuder de givetvis den bästa lösningen på marknaden. Det var något av en trend att försöka bräcka Microsoft, som själva slog tillbaka med Hyper V och andra trevliga upplägg.

För oss som har arbetat med Microsofts servertjänster sedan förra århundradet så är skillnaden som natt och dag, till det bättre.

Under ett av de föredrag som inte handlade om molnet den första dagen presenterades en väldigt intressant undersökning om webbhotellkunders flyttvanor. Enligt denna undersökning är det få kunder som flyttar mellan olika leverantörer.

Som främsta orsak till en flytt nämndes dålig support. Det var väldigt intressant, särskilt med tanke på hur vi satsar på utvecklingen av vår support (mer om det senare).

Den andra dagen på WHD handlade mest om domännamn. Det var särskilt intressant för Nordreg, som är en av Nordens största ackrediterade registrarer för bl a .com, .net, .se och .nu domäner.

Ett föredrag handlade om faran med snarlika domännamn, t ex med variationer av i î ï ’i. Här har vi som leverantör ett ansvar att informera och hjälpa våra kunder om vikten av att skydda sitt namn ordentligt.

Vet ni förresten att ett domännamn i genomsnitt är 11 tecken långt?

Vi har även haft ett givande möte med Parallels, som bl a levererar lösningar för våra VPS-tjänster. De har ett flertal förbättringar och uppgraderingar på gång och vi diskuterade även möjlighet för oss att licensiera våra medarbetare i deras system. Och ja, de har även en ny molntjänst på gång. 🙂

Vi tackar Fredrik för rapporten och ser fram emot ytterligare intryck från Andreas och Benny här framöver. Missa inte heller att Fredrik twittrar från WHD!

feb 23 2011

Hur viktig är det med en snabb hemsida?

En ny svensk undersökning visar att mer än varannan avbryter sitt köp på Internet för att det tar för lång tid eller är för krångligt. Det är även fler kvinnor och äldre personer som avbryter sina köp. Så här förklarar SVT Rapport detta:

Det här är egentligen ingen nyhet för oss på FS Data. Förutom att vi själva säljer våra tjänster på nätet så har vi även många e-handlare som kunder hos oss. Vi förstår värdet av snabba servrar och hemsidor. Därför översäljer vi t ex inte våra webbhotellspaket och vi har färre kunder på varje server hos oss (jämfört med många av våra branschkollegor).

Men vad mer kan man göra, förutom att välja FS Data som leverantör, om man vill ha en snabb hemsida?

1. Kontrollera din hemsida

Din hemsida består av många olika delar (texter, bilder osv). Varje del av hemsidan påverkar laddningstiden på din hemsida, beroende på hur mycket de väger (t ex hur stora bilderna är). För att ta reda på hur lång tid det tar att ladda din hemsida och varje del av dem, så kan du börja med att testa de kostnadsfria tjänsterna hos Load Impact och Pingdom.

Om du vill kontrollera din hemsida ännu mer ingående så rekommenderar vi Google Pagespeed och Yahoo Yslow.

2. Komprimera dina bilder

Genom att komprimera, eller minska ner, dina bilder kan du minska storleken på din hemsida med uppåt 80-90 %. De flesta bildprogram, såsom Photoshop och Pixelmator, har stöd för komprimering av bilder. Det finns även separata verktyg som komprimerar bilder, såsom Yahoo Smush.it.

3. Optimera din kod

Om man själv utvecklar/programmerar sin hemsida så finns det många sätt att både optimera kod och databaser. Även script för funktioner, t ex Javascript, kan man optimera t ex genom att placera dem sist i koden för hemsidan.

Har du en färdig lösning, som t ex är baserad på öppen källkod, se då till att hålla den uppdaterad. Uppdateringar sker inte bara av säkerhetsskäl, utan även för att förbättra hastigheten. Detsamma gäller eventuella tillägg.

En snabb hemsida är en vinst både för dig och dina besökare. Vill du veta mer om hur du får en snabbare hemsida? Kontakta oss gärna så berättar vi mer om våra snabba, stabila och säkra lösningar.