Viktigt

nov 02 2016

Nya viktiga åtgärder mot formulärspam

fsdata_hemsideformular Vi arbetar fortlöpande för att kunna säkerhetställa och leverera en så hög teknisk kvalitet som möjligt på våra tjänster. I enlighet med detta har vi nyligen genomfört en teknisk förändring för att motverka sk. formulärspam.

Formulärspam innebär att formulär på hemsidor missbrukas för utskick av spam/skräppost, utan att innehavaren av hemsidan är medveten om det. Det sker via formulär som inte är ordentligt uppdaterade/säkra och medför att våra e-postservrar blockeras av spamtjänster runt om i världen.

Mängden formulärspam har ökat dramatiskt den senaste tiden. Vi har under en längre tid kontaktat och försökt hjälpa enskilda kunder med sårbara formulär, men det är inte tillräckligt för att lösa detta.

Därför har vi nu genomfört ytterligare begränsningar av e-postutskick på servernivå.

Den nya begränsningen innebär att e-post som skickas från våra e-postservrar måste ha en legitim avsändare (ett aktivt e-postkonto) hos oss. Merparten av våra kunders formulär hanteras redan på detta sätt, men kunder som inte gör det måste se över sina hemsideformulär.

En alternativ lösning är att använda spamsäkra formulär: Spamsäkert formulär i WordPress

Denna förändring infördes hos oss förra veckan och meddelades på vår driftstatus. Detta eftersom våra e-postservrar inte kunde leverera legitima e-postmeddelanden åt våra kunder pga den stora ökningen av formulärspam. Vi beklagar den korta framförhållningen och hoppas på förståelse.

Om ni har några frågor kring detta, lämna gärna en kommentar nedan eller kontakta vår kundtjänst.

okt 14 2015

Viktigt: stäng av XML-RPC i WordPress

Den vanligaste attacken mot WordPress-baserade hemsidor är en sk. brute force-attack. Det innebär att man försöker få åtkomst/kontroll till en hemsida genom att gissa sig till ett lösenord väldigt många gånger. Med dagens kraftfulla datorer och servrar kan man gissa hundratals, om inte tusentals, lösenord på en minut.

Brute force-attacker är dock rätt så enkla att upptäcka. Om man ansluter x antal gånger, under en viss tid, mot wp-login.php (WordPress-inloggningssida) så kan man anta att en attack pågår. Den senaste veckan har t ex vår brandväggslösning blockerat ca 130 000 brute force-attacker mot våra kunders WordPress-sidor (det är den näst mest ”populära” attacken i vårt nätverk).

– Men tänk om man kan testa flera lösenord via en och samma anslutning?

Sedan WordPress version 3.5 är XML-RPC aktiverat som standard. XML-RPC är ett gränssnitt som används t ex av mobila appar, vissa tillägg (däribland Jetpack) samt för sk. pingbacks (att man automatiskt länkar tillbaka om man får en länk till sig). Det var från början en bra sak, men det har visat sig medföra flera säkerhetsrisker.

En av de mindre kända funktionerna i XML-RPC är en metod som heter system.multicall, som innebär att man kan utföra flera anrop inom en och samma anslutning. Det är bra om man t ex vill köra flera olika kommandon via en HTTP-anslutning. Men det har börjat missbrukas rejält de senaste månaderna.

Via system.multicall i XML-RPC kan man testa 100-tals, om inte 1 000-tals, lösenord med en enda anslutning mot WordPress.

Säkerhetsföretaget Sucuri har även uppmärksammat dessa attacker. Denna graf från dem illustrerar detta tydligt:

Attacker via system.multicall i XML-RPC

Det här är ett allvarligt problem, då dessa attacker inte lika enkelt kan uppfattas/identifieras och stoppas av våra brandväggar (och andra lösningar). Det enda vettiga sätt att skydda sig mot detta är att stänga av XML-RPC i WordPress. Det är vad vi nu vill rekommendera er att göra.

FS Data är ett säkert webbhotell – Stäng av XML-RPC i WordPress

Det enklaste sättet att stänga av XML-RPC i WordPress är att installera och aktivera ett tillägg som heter Disable XML-RPC. Tillägget fungerar bra med senaste versionen av WordPress (4.3.1 i skrivande stund), både för enklare WordPress-sidor samt för WordPress-nätverk (nätverksaktivering).

Man kan även blockera extern åtkomst till filen xmlrpc.php (som används för XML-RPC i WordPress) via .htaccess. Lägg bara in nedanstående kod i filen .htaccess som ligger i rotmappen för din WordPress-sida.

# Blockera anslutningar till xmlrpc.php

order deny,allow
deny from all

Ovanstående kod fungerar med webbservern Apache (som vi använder för våra webbhotellspaket). Man kan även begränsa åtkomsten till xmlrpc.php specifika IP-adresser genom att lägga in följande rad i .htaccess (efter raden som inleds med ”deny”):

allow from 127.0.0.1

Där man då ersätter 127.0.0.1 med den IP-adress som behöver kommunicera med WordPress via XML-RPC.

Ett tredje sätt att stänga av XML-RPC är att lägga in följande rad i wp-config.php (i rotmappen för din WordPress-sida):

add_filter( 'xmlrpc_enabled', '__return_false' );

Den raden behöver läggas in efter följande rad:

require_once(ABSPATH . 'wp-settings.php');

– När ska man inte stänga av XML-RPC i WordPress?

Den enda gång man inte bör stänga av XML-RPC är om man har en viktig applikation eller tillägg som kommunicerar med WordPress via detta gränssnitt. De mobila apparna är nuförtiden överflödiga, då WordPress är fullt ut mobilanpassat. Fundera gärna över om tillägget är tillräckligt viktigt. Att man tappar pingbacks är tråkigt, men det är det värt sett till säkerheten.

– Framtiden för XML-RPC i WordPress

Sedan en tid tillbaka pågår arbete med ett helt nytt REST API (ett annat gränssnitt) för WordPress. Om allt går enligt plan så kommer detta API att erbjudas från WordPress 4.5 (som släpps nästa år). Med det nya API:et på plats är det högst sannolikt att XML-RPC kommer vara inaktiverat som standard för WordPress.

Vi vill avslutningsvis rekommendera er alla att stänga av XML-RPC i WordPress.

Om du har några frågor kring detta, eller kanske förslag på andra lösningar, så får du gärna lämna en kommentar här nedan.

maj 13 2014

Rösta i EU-valet – få en .eu domän!

EU-val 2014 Den 25:e maj är det val till Europaparlamentet. Vid det senaste EU-valet 2009 röstade inte ens varann svensk (45,53 %). Det tycker vi är väldigt olyckligt.

EU-valet är viktigt. De beslut och lagar som upprättas av EU trumfar den svenska lagstiftningen och har inflytande i Sverige ända ner på kommunnivå. EU-valet berör och påverkar oss alla.

FS Data är ett partipolitiskt oberoende företag. Våra medarbetare röstar på allt från (M) till (V) och ett valår som detta går de politiska diskussionerna varma på våra kontor. Oavsett politisk övertygelse så är vi alla eniga om vikten av att rösta den 25:e maj.

Vi vill göra det vi kan för att bidra till ett högre valdeltagande i EU-valet.

Fr o m idag och fram till den 25:e maj så ger vi alla som röstar i EU-valet en helt kostnadsfri .eu domän. Det enda man behöver göra för att få sin .eu domän är att ta en bild på sitt röstkort och lägga ut den på Twitter, Facebook eller Instagram med hashtaggen #fsdataeu.

#fsdataeu

Om du vill så kan du skriva lite kort om varför du röstar, så att fler får upp ögonen för detta. Men det är inget måste. Vi övervakar #fsdataeu och kontaktar fortlöpande alla som lägger upp bilder. Om du har lagt upp en bild och inte hört från oss senast den 31:a maj, kontakta då marknad@fsdata.se.

Tänk på att inte fotografera i din vallokal och att respektera övriga valdeltagare.

Ett litet förtydligande: Vi bjuder på 1 års registrering av valfri (ledig) .eu domän (värde 90 kr + moms). Ange inte vilken domän du vill ha med din bild (med risk för att någon annan registrerar domännamnet då). Vi kontaktar alla som lägger upp bilder med vår hashtagg så snabbt vi bara kan.

jan 11 2013

Allvarligt säkerhetshål i Ruby on Rails

Ett allvarligt säkerhetshål har nyligen upptäckts i ramverket Ruby on Rails (RoR), som vi erbjuder stöd för i våra webbhotellspaket. Säkerhetshålet påverkar alla versioner av RoR förutom versionerna 3.2.11, 3.1.10, 3.0.19 samt 2.3.15. Det ger illasinnade möjlighet att injicera och köra skadlig (motsvarande SQL-injektion).

För att skydda våra kunder så installerade vi igår kväll/natt dessa nya versioner av Ruby on Rails, som inte påverkas av detta säkerhetshål. Vi vill uppmana alla kunder, som kör en osäker version av RoR, att omgående uppgradera sina applikationer. Idag kommer även våra drifttekniker att kontakta varje kund hos oss som kör RoR, för att informera om detta säkerhetshål.

De nya och säkra versionerna av Ruby on Rails är installerade på samtliga Linuxbaserade webbservrar hos oss (där vi erbjuder stöd för RoR). För att ytterligare säkra upp denna webbmiljö så kommer de tidigare osäkra versionerna av RoR att tas bort torsdag 17/1. Det är därför viktigt att omedelbart byta version av RoR.

Om ni har några frågor om detta, kontakta gärna vår kundtjänst. Kunder till oss som inte använder Ruby on Rails är på inget sätt påverkade eller hotade av detta säkerhetshål.

jul 04 2011

WordPress 3.2 är ute – läs detta först!

WordPress 3.2 har precis släppts, efter 4 1/2 månaders intensiv utveckling av tusentals frivilliga människor. Det är den klart bästa versionen av WordPress hittills, med stöd för nya funktioner såsom ett fullskärmsläge när man skriver inlägg, ett fräschare administrationsgränssnitt, ett helt nytt standardtema och ett flertal hastighetsförbättringar (och en snabb hemsida är en bra hemsida).

Det finns dock en väldigt viktig detalj med denna uppdatering: systemkraven har ökat och man behöver minst PHP 5.2.4 samt MySQL 5.0 för att kunna köra WordPress 3.2.

På FS Data har vi stöd för både PHP 4.4.8 och PHP 5.2.14. Som kund hos oss väljer man själv sin PHP-version i Waff, under ”Hemsida” > ”PHP”. Kontrollera att du har valt PHP 5.2.14 innan du uppdaterar till WordPress 3.2.

Det finns även ett WordPress-tillägg som du kan använda för att ta reda på om din hemsida/webbhotell är kompatibelt med WordPress 3.2. Tillägget heter WordPress Requirements Check och det installeras enklast direkt via /wp-admin i WordPress, under ”Tillägg” > ”Lägg till nytt” och en sökning på ”WordPress Requirements Check”.

Om du får följande resultat med WordPress Requirements Check så bör du avvakta med uppdateringen och kontakta ditt webbhotell (eller själv byta PHP-version genom Waff, om du är kund hos oss):

Om allt är grönt, så är det bara att tuta och köra. Ha nu så skoj med WordPress 3.2!