FS Data

FS Data - webbhotell, domännamn, e-post, servrar

Det enklaste sättet till en säker WordPress-sida

Uppdatera WordPress! Din säkerhetsguide för WordPress! Undvik att bli hackad – uppdatera WordPress! Så säkrar du WordPress på 10 minuter! Uppdatera, säkerhet, uppdatera!!!

Känner du igen det här? Även om det är viktigt att hålla WordPress uppdaterat, av säkerhetsskäl, så känns det ibland som att det finns en miljard olika tillägg, metoder och guider för detta. Det är en djungel, där i princip alla webbhotell och WordPress-experter försöker sälja karta och kompass.

Vi är minst lika skyldiga här på FS Data, med våra inlägg om nya WordPress-versioner och vår tidigare guide till en säkrare och snabbare WordPress-sida. Även om vi verkligen, verkligen vill att våra kunder ska hålla sig uppdaterade så förstår vi att det inte alltid är så enkelt.

Men nu tänker vi göra bot för detta, en gång för alla. Idag ska vi enbart tipsa om ett (1) WordPress-tillägg som erbjuder ett, mer eller mindre, komplett säkerhetsskydd för WordPress. Låt oss få presentera Wordfence:

WordFence kontrollerar rättigheter, filer, ändringar och meddelar när uppdateringar är tillgängliga (via e-post). Det skannar även efter virus, dåliga länkar och visar trafiken till din WordPress-sida i real-tid.

Installationen sker som vanligt enklast genom WordPress administrationsgränssnitt. När man har installerat WordFence så kan man även gå igenom en liten guide, motsvarande WordPress egen ”what’s new?”-guide (som visas vid versionsuppdateringar), där man lär sig mer om hur tillägget fungerar.

WordFence skannar automatiskt av en WordPress-installation när det har installerats och visar tydligt vilka säkerhetsrisker/hål som finns. Samtliga fel/varningar är rangordnade, så man kan se vad som är mer och mindre allvarligt. Till varningarna medföljer även bra förklaringar, med länkar till ytterligare information.

Vi har själva testat och kört detta tillägg i närmare en månads tid, med väldigt bra resultat. Även om det kräver viss förståelse för filerna i WordPress-core och olika tillägg, så är det användaren själv som sätter ribban för hur säker en sida ska vara. WordFence är ett otroligt bra hjälpverktyg för en säkrare WordPress-sida.

Så om du, på ett väldigt snabbt och enkelt sätt, vill säkerställa WordPress – installera WordFence.

Snart kommer Google att hitta allt

Att Google läser och analyserar sina kunders e-post är sedan länge allmänt känt. Det är trots allt denna information, innehållet i kundernas e-postmeddelanden, som ligger till grund för de annonser som visas i deras e-posttjänst.

Men nu vill Google ta detta ett steg längre.

Google håller nämligen på att introducera något som de kallar för ”Universal Search”. Med denna nya sökmetod inkluderas även e-postmeddelanden (och andra personliga uppgifter, såsom dokument, kalendrar, filer osv, från Googles tjänster) i deras sökresultat.

Här är ett exempel på hur det kan se ut:

Förutom det vanliga sökresultatet så visas e-postmeddelanden m.m. i ett separat fält till höger. Tanken är att detta ska underlätta för användarna och än mer integrera alla Googles tjänster med varandra. Liknande integration finns sedan en tid tillbaka även med t ex Google+.

Än så länge befinner sig ”Universal Search” i beta (man kan ansöka om att få testa det här). Om och när det introduceras för samtliga kunder hos Google är inte klart än, men det kommer sannolikt att ske rätt snart. Google har de senaste åren arbetat väldigt mycket med att skapa mer ”personliga” sökresultat.

Vi har inte hunnit testa denna nya sökmetod så länge, men är ändå rätt imponerade. Integrationen är väldigt smidig och det är enkelt att stänga av den om man så önskar. Det finns dock vissa frågetecken kring detta.

– Kommer denna nya sökmetod att introduceras för alla användare av Google, så som nuvarande ”personliga” sökresultat?

– Exakt hur säkert är detta? Google säger att ”Universal Search” enbart fungerar över SSL. Men räcker det?

– Tänk om man lånar ut sin dator till en vän/släkting etc. Om de använder Google så kommer de även kunna söka bland alla e-postmeddelanden osv.

– Sist men inte minst, hur isolerade blir vi av detta? Om våra sökresultat är personligt anpassade så riskerar vi att gå i cirklar. Hur hittar man saker utanför denna ”personliga bubbla”?

Det är med nyfiken skepsis som vi välkomnar denna nya sökmetod. Att Google utvecklar och förbättrar sin sökmotor är givetvis trevligt, men hela ”storebrorsupplägget” är onekligen lite läskigt. Vi hoppas och tror dock att Google i slutändan inte glömmer det viktigaste: den personliga integriteten.

Vad tror du om Googles planer på att inkludera allt i sökresultatet? Lämna gärna en kommentar!

Om du använder Googles e-posttjänster (och/eller kalendrar, kontakter, uppgifter osv) och tycker att denna utveckling är oroväckande så finns det alternativ. Vi erbjuder kraftfulla, säkra och prisvärda e-posttjänster med hög personlig integritet (som inte påverkas av utländska övervakningslagar). Testa oss gärna du också!

Ett litet tips för säkrare e-post

Vad skulle ni säga om era vanliga brev skickades i genomskinliga kuvert? Visst vore det rätt så dumt? Ändå är det inte många som tänker på att vanlig e-post skickas i klartext mellan servrar och klienter.

Vill ni skicka e-post inom ert företag eller organisation, utan att utomstående ska kunna läsa detta? Då behöver ni använda TLS (Transport Layer Security, eller transportlagersäkerhet). Med TLS så krypteras och skyddas e-posten.

Det är i princip som när man surfar på en SSL-säkrad hemsida (t ex loggar in i sin Internetbank).

Aktivera säker e-postöverföring

Att aktivera TLS är enkelt. Det enda som behövs är att man bockar i alternativet ”TLS” eller ”SSL” i sitt e-postprogram. Detta brukar man kunna hantera under ”Avancerade inställningar” för e-postkonton i sitt e-postprogram.

Här är övriga uppgifter som behövs för att använda TLS hos oss:

Användarnamn: detta framgår i vår kontrollpanel, under ”E-post” > ”Konton”
Lösenord: detta väljer man i vår kontrollpanel, under ”E-post” > ”Konton”
Server för inkommande e-post: pop.fsdata.se (port 110) eller imap.fsdata.se (port 993)
Server för utgående e-post: smtp.fsdata.se (port 587)

Om ni vill ha ytterligare hjälp med detta, kontakta då gärna vår kundtjänst.

Ett annat bra sätt att skydda sin e-post från oönskad avlyssning, det är att välja en svensk e-postleverantör. E-post som hanteras inom Sverige berörs nämligen inte av utländska övervakningslagar (såsom SOPA, PIPA, Patriot Act osv) eller FRA-lagen. Faktum är att svenska säkerhetsexperter även rekommenderar detta.

FS Data har en av världens största och mest säkra och stabila e-postlösningar, som baseras på Microsoft Exchange Server. Våra e-posttjänster är väl tilltagna vad det gäller utrymme och fulla av funktionalitet såsom delade kalendrar, mobil e-post, webbmail osv. Läs gärna mer om våra e-posttjänster här.

Uppdatera er hemsida – eller bli hackade!

– Vad är den vanligaste orsaken till att en hemsida blir hackad? Att den är dåligt uppdaterad.

Precis som datorer behöver säkerhetsuppdateringar så behöver även hemsidor uppdateras regelbundet. Skillnaden mellan datorer och hemsidor är dock att hemsidorna alltid, dygnet runt och året om, är uppkopplade. Det innebär att de är ännu mer utsatta för attacker och säkerhetshål. Ändå uppdateras hemsidor mer sällan än datorer.

Många av våra kunder använder färdiga hemsidelösningar, såsom WordPress, Joomla! och Drupal. Det är riktigt bra, med tanke på de många och bra möjligheter som dessa lösningar erbjuder. Men det finns även en baksida till detta.

När det uppstår säkerhetshål i färdiga hemsidelösningar så dyker det även upp program som utnyttjar dessa säkerhetshål och hackar hemsidor som är sårbara (dvs, dåligt uppdaterade). Dessa program är väldigt vanliga – ja, faktum är att de arbetar automatiskt och oavbrutet över hela nätet.

När en hemsida blir hackad så märks det oftast inte till en början. Hemsidan fylls dock allt eftersom med illasinnat material (länkar och program). Många hackade sidor utnyttjas även för att skicka ut spam. Med tiden blir hemsidan långsammare, fungerar allt sämre och kan även blockeras i Google (Google svartlistar hackade sidor). En hackad hemsida hjälper nämligen till att hacka ännu fler hemsidor.

Om man har ett företag som är beroende av sin hemsida så kan man drabbas väldigt hårt av en hackad hemsida. I värsta fall kan man förlora hela sin verksamhet.

Hur vanligt är det då att hemsidor hackas? Ja, våra tekniker hjälper i genomsnitt 5 kunder/vecka som har fått sina hemsidor hackade. Det är då kunder som har upptäckt att deras hemsidor är hackade. Mörkertalet är sannolikt stort.

Hur uppdaterar man då sin hemsida? Här är instruktioner för de mest populära hemsidelösningarna hos våra kunder:

– Uppdatera WordPress

WordPress uppdateras enklast direkt via dess administrationsgränssnitt (wp-admin). Under Adminpanel > Uppdateringar kan man hitta och installera tillgängliga uppdateringar för WordPress samt dess tillägg och teman.

För mer om säkerhet i WordPress, läs gärna vårt tidigare inlägg Guide till en säkrare och snabbare WordPress-sida. Där visar vi t ex hur man kan få e-post när uppdateringar är tillgängliga för WordPress.

– Uppdatera Joomla!

Joomla! har historiskt sett varit lite svårare att uppdatera. Men från version 2.5, som släpptes i början av 2012, har även Joomla! fått enkla funktioner för uppdatering av system och tillägg. Dessa är tillgängliga direkt vid inloggning i administrationsgränssnittet.

– Uppdatera Drupal

Drupal är lite mer komplicerat att uppdatera. Det finns inbyggda funktioner för att få information om när uppdateringar är tillgängligar, både via administrationsgränssnittet (under Reports > Available updates) och via e-post.

Uppdateringen av Drupal behöver dock utföras manuellt och här är bra instruktioner för detta: Update your Drupal site from one minor 7.x version to another minor 7.x version

Avslutningsvis, tänk på att det inte bara räcker med att uppdatera det huvudsakliga systemet utan att man även måste hålla tillägg, moduler och teman uppdaterade. Det är faktiskt vanligare att säkerhetshål uppstår i olika tillägg än i själva systemet. Så håll extra koll på detta och installera inga tillägg som inte faktiskt används på hemsidan.

Om ni har en hemsida hos oss, som har blivit hackad, så kan våra tekniker givetvis hjälpa till att återställa en tidigare backup av er hemsida. Trots detta så brukar en hackad hemsida ändå innebära en hel del extra arbete även för berörda kunder.

Det bästa är helt enkelt att hålla sin hemsida uppdaterad, så att man slipper få den hackad.

Tips för en säkrare Minecraft-server

Så var det dags för den tredje och avslutande delen i vår serie av blogginlägg om dataspelet Minecraft. Efter att ha installerat en Minecraft-server samt förbättrat Minecraft-servern med tillägg så är det nu dags att kika närmare på säkerheten.

Här är några tips på vad man göra, specifikt för en Minecraft-server, vad det gäller säkerhet. Det finns givetvis mer saker att tänka på när man säkrar upp en server, såsom brandväggar, loggning, rättigheter osv, men det är lite överkurs för denna bloggserie. Om ni ändå har fler frågor om säkerheten, lämna då gärna en kommentar här nedan.

Säkra upp en Minecraft-server

Precis som tidigare så utgår vi från en Ubuntu 11.10-server, där samtliga kommandon utförs via SSH eller det webbgränssnitt vi tidigare installerade.

  1. Håll Minecraft-servern ordentligt uppdaterad

    Som med all annan mjukvara så behöver även samtliga installerade program på Minecraft-servern hållas uppdaterade, för att undvika säkerhetshål och buggar (samt förbättra serverns prestanda). För att uppdatera de program som är installerade på servern, använd följande kommandon:

    apt-get update
    apt-get upgrade

    Det kan vara bra att uppdatera servern på detta sätt någon gång i veckan.

    Man kan även automatisera serveruppdateringarna i Ubuntu 11.10. Här är en liten guide för det: Ubuntu Server Guide, Automatic Updates. Man bör dock vara lite försiktig med de automatiska uppdateringarna och hålla ett öga på sina systemloggar (som finns under /var/logs) om man gör detta.

    Om servern kör en gammal version av Minecraft, Bukkit eller McMyAdmin så får man information om detta när man loggar in på servern med sin Minecraft-klient. För att uppdatera dessa program så använder man webbgränssnittet, som nås på http://127.0.0.1:8080 (ersätt 127.0.0.1 med IP-adressen till servern). Under fliken ”About” finns det knappar för dessa uppdateringar.

  2. Schemalägg backuper av server och Minecraft-värld

    Om det värsta händer, såsom att servern blir hackad och/eller Minecraft-världen förstörs, så är det bra att kunna återställa allt från en backup. Med VPS-tjänsterna hos FS Data så ingår det automatiskt backup av varje server, men om man inte har detta så bör man ordna det.

    Det är även möjligt att ta backup av Minecraft-världen via McMyAdmins webbgränssnitt. Antingen kan man ta en manuell backup, under fliken ”Backups”, eller så kan man ordna automatiska backuper.

    För att ta backup automatiskt via McMyAdmin, gå in under fliken ”Schedule”. Här kan man skapa schemalagda aktiviteter under sektionen ”Add new event”. Under alternativet ”Event” är det bara att välja ”Backup the current world” samt ange hur ofta det ska ske (förslagsvis en gång/dag).

    Samtliga backuper av Minecraft-världen kan sedan hanteras och återställas under fliken ”Backups”.

  3. Vitlista spelare på servern

    Om man inte vill ha en allmänt tillgänglig och öppen Minecraft-server, som vem som helst kan logga in på (med sin Minecraft-klient), så kan man använda vitlistor. Med vitlistor får enbart angivna spelare logga in och bygga på servern.

    Börja med att lägga till samtliga önskade spelare (med deras användarnamn i Minecraft) under fliken ”Users and Groups” i McMyAdmins webbgränssnitt. Spelarna läggs till i valfri grupp under kolumnen ”Users”. Under kolumnen ”Permissions” kan man se vad respektive grupp har för rättigheter.

    När alla spelare har lagts till här, gå då in under fliken ”Configuration” och välj ”Features” högst upp. Därefter väljer man ”Match any group” under alternativet ”Whitelist Mode”. Nu kan enbart inlagda spelare ansluta till Minecraft-servern.

Det var allt för denna gång. Återigen, lämna hemskt gärna en kommentar om ni har några frågor eller något att tillägga. Vi hoppas att ni får mycket nytta och nöje med era snabba, säkra och stabila Minecraft-servrar! 🙂

Hela Minecraft-serien i vår blogg: Installera en Minecraft-server (på 10 minuter)Förbättra en Minecraft-server med tilläggTips för en säkrare Minecraft-server