Information

IT-säkerhet är en hög prioritet på Surftown

security

Surftown certifieras efter högsta branschstandard, och vill ge dig några goda råd om vad du kan göra för att vara säkrare på webben.

Vi har sett ett ökat intresse från våra kunder angående säkerhet, data och övervakning av servrarna. Phishing-mail, ransomware, kapande mailkonton- och webbsidor är en del av vår vardag, och något vi måste förhålla oss till.

Datacenter i Danmark

Surftown’s servrar är utplacerade på olika toppsäkrade datacenter i Danmark, som följer konstens alla regler. Vi har byggt våra egna datacenter helt från grunden och är stolta över arbetet som ligger bakom. Vi ställer höga krav på oss själva för att leverera det allra bästa i form av kylning, redundant strömförsörjning, hårdvara, nätverk, skydd mot brand och översvämmningar. Alla våra tjänster övervakas 24 timmar om dygnet, 365 dagar om året.

ISAE3402 certificering

Vi certifieras efter högsta branschstandard, bland annat revisionsstandard  ISAE3402 Typ II och BFIH – Braschorganisationen för IT-verksamheter i Danmark. Vi genomgår varje år en ISAE 3402-revision, som säkerställer att företaget lever upp till lagkrav och bästa praxis inom IT. Denna typ av certifiering betyder att att det är hög fokus på kvalitet och optimala arbetsprocesser inom fiber-, överförings- och datacenterlösningar.

Surftowns IT-infrastruktur hanteras av vårt moderbolag Cohaesio.

3 säkerhetsråd

IT-säkerhet har hög prioritet hos Surftown, och med några relativt enkla riktlinjer kan du minimera tänkbara säkerhetsproblem. Surftowns drift- och säkerhetsteam hanterar dagligen missbruk, spam, malware och andra skadliga aktiviteter.

Teamet ger tre grundläggande råd:

Malware-scanning

Malware är mjukvara som är specifikt skriven för att skada eller läcka data på en dator. Vi scannar alla Linux-servrar på olika nivåer dagligen, veckovis och månadsvis. För att fånga så mycket som möjligt skapar vi dessutom egna malware-signaturer baserade på okänd men skadlig kod som hittas.

Surftown’s råd

  • Klicka aldrig på länkar i mail från okända avsändare.
  • Uppdatera mjukvara löpande. Ransomware uppdateras på ett par timmar för att gå runt antivirusprogrammens signaturer, så det är viktigt att alltid ha senaste versionen eller uppdateringen.
  • Sök igenom datorn med ett antivirusprogram – även om du har Mac.
  • Säkerhetskopiera all viktig data! Använd din 100GB Keepit online back-up, som ingår i alla våra webbhotell-paket.
Kapade mailkonton

Vi övervakar onormal aktivitet på mailkonton för att detektera om de kapas och utnyttjas för att skicka spam. Ofta är kunden ovetande om problemet, och vi informerar alltid kunden om detta när något upptäcks. Problemet blir avhjälpt genom att vi informerar om vilka steg som ska tas för att säkra det kapade konton.

Surftown’s råd

  • Använd alltid unika lösenord på dina inloggningar. Om ditt antivirusprogram hittar en infektion i din dator, rensa den och ändra alla lösenord.
  • Byt dina lösenord regelbundet, scanna alla dina enheter med antivirusprogram.
Hackade hemsidor

WordPress-sidor är ett populärt mål för hackare, det är världens mest populära CMS-system. Vi uppdaterar löpande vår 1-click installer. 1-click installerar själva mjukvaran, men kan inte löpande uppdatera system som Joomla och phpBB. Undantaget är WordPress, som via vår installation även för en plugin som håller systemet uppdaterat.
Du är själv ansvarig för att uppdatera ditt CMS. Vi vet att alla inte kan vara experter – men vi är det! Om du är olycklig nog att drabbas och få en sida hackad så kan vi hjälpa dig med att t ex göra en säkerhetskontroll och en säkerhetsuppdatering.

Surftown’s råd

  • Det finns två enkla åtgärder som effektivt täpper till de flesta säkerhetshål: Se till att uppdatera och säkerhetskopiera.
    Många system, som t ex WordPress, har inbyggd funktionalitet för att automatiskt uppdatera eller notifera om tillgängliga uppdateringar – håll ett öga på dem. Använd gärna 1-click installationen för nya sidor så att du från början har med en automatiskt uppdateringsplugin.
  • Det är viktigt att du alltid använder senaste versionen av det CMS eller system du använder för sidan. Om du inte håller sidan uppdaterad, så riskerar den bli mål för hackers som utnyttjar kända säkerhetshål, och att sedan rensa en hackad sida är långt mer tidskrävande än att hålla den säker.
  • Om inte vill tänka på säkerhetsrisker på din sida, så kan du skapa den i vår egen Surftown Sitebuilder . Detta verktyg underhålls och uppdateras av Surftown.

Du är alltid välkommen att kontakta oss för att få hjälp! Vi erbjuder bland annat säkerhetstjänster för din sida, så att du inte behöver hantera allt själv.

Så får du WordPress snabbare

WordPress är inte bara det vanligaste CMS-systemet bland Surftowns kunder, utan det är också det mest använda i hela världen – utav de en miljon mest besökta webbsidorna på Internet, så använder nästan 15% WordPress.

En av de vanligaste frågorna vi får angående WordPress är hur man kan snabba upp sin sida. En stor del beror ju naturligtvis på våra webbservrar, men det finns en del saker som man själv kan göra för att snabba upp sidan rejält.

Som exempel så har jag valt att använda min kollega Alexias blogg. Alexias blogg är som de flesta andra, med diverse tillägg, massor av bilder, kommentarspam, och allehanda anekdoter om allt och ingenting. Som utgångspunkt, så laddas sidan på dryga 4,2 sekunder ifrån en testserver i Amsterdam.

Utav de 4,2 sekunderna, så går 1,05 till att skapa själva index-filen, dvs. till att läsa in hela WordPress kärna, avgöra vad som skall visas för besökaren, samt hämta allt innehåll ifrån databasen. Härnäst, så hämtas i allt 88 filer ifrån webbservern – en total datamängd på 9,5 MB (vilket tar ca. tre sekunder att hämta med en vanlig ADSL-anslutning).

Det finns en hel mängd olika sätt att snabba upp processen. För enkelhets skull så har jag delat upp dem i svårighetsgrader: nybörjare och erfarna användare.

Nybörjare – Installera ett caching-tillägg
Det finns en uppsjö av olika cachingtillägg för WordPress. De två vanligaste heter WP Super cache och W3 Total cache. Bägge är gratis, och debatten om vilket tillägg som ger den bästa prestandavinsten har rasat i åratal, och kommer antagligen att fortsätta i några år till.

Grundprincipen är densamma – tilläggen sparar resultatet av sidvisningar så att det är klart med en gång nästa gång någon vill komma åt dem. Detta sparar tid eftersom WordPress inte behöver laddas varje gång , och man helt enkelt kan visa resultatet med en gång och utan fördröjning. Hos Surftown så har vi testat bägge, och har kommit fram till att båda fungerar, men att WP Super cache är betydligt lättare att konfigurera, och vi rekommenderar därför detta plugin framför W3 Total cache. För god ordnings skull så avråder vi kunder ifrån att ha mer än ett caching-tillägg installerat.

WP Super cache kan installeras snabbt och enkelt via WordPress administrations-sida. När det är installerat och aktiverat, så dyker det upp en liten notifikation om att caching inte har aktiverats ännu. För att komma vidare, så skall man klicka på länken, aktivera caching, och sedan spara inställningarna genom att trycka på ’Uppdatera status’:

1

2

Nästa gång en sida laddas så kommer WordPress nu att spara resultatet av sidvisningen, så att det finns redo för andra besökare. I Alexias fall så sänkte detta tiden för att skicka index-filen ifrån 1,05 sekunder till 66 milisekunder! Den totalla laddningstiden på sidan hamnade därmed på ca. 3,3 sekunder.

Nybörjare – Installera Lazy Load
Normalt sett så laddar en webbläsare in samtliga bilder på en webbsida med en gång när sidan visas. Detta sker oavsett om bilderna ligger i toppen eller i botten av sidan, och oavsett om besökaren ser bilden eller ej.

För att råda bot på detta så har det skrivits en uppsjö av tillägg som ger en effekt som kallas ”Lazy load” – bilder, som ligger t.ex. i botten av sidan laddas inte in förrän användaren scrollar ned och rent faktiskt tittar på den. Det finns många olika att välja på, men vi rekommenderar pluginet som heter just Lazy Load av den enkla anledningen till att vi har testat det och vet att det fungerar. Lazy load kan lätt installeras via administrationssidan

För Alexias blogg, som har en stor mängd bilder på sig, så märkte vi skilladen direkt: antalet filer som hämtades med en gång gick ifrån 88 till 72, och storleken på sidan gick halverades, och hamnade på 4,6 MB! Laddningstiden följde efter, och hamnade på strax över 1,3 sekunder.

Bilderna laddas ju naturligtvis in när man scrollar ned på sidan, men effekten går inte att ta miste på – sidan laddas betydligt mjukare än tidigare.

Erfarna användare – ställ in WP Super Cache till att vara ännu snabbare
Vi kan nu konstatera att de två första åtgärderna har skurit ned laddningstiden med två tredjedelar, och att det kanske är nog. För de av oss som hellre vill klicka på fliken ”Avancerat” så finns det emellertid några extra millisekunder att hämta!

Till att börja med så rekommenderar vi att man slår över WP Super Cache till att använda mod_rewrite. Detta gör att man använder webbserverns inbyggda funktionalitet för att skicka .html-filer direkt, istället för att först ladda in PHP och slösa dyrbara millisekunder på att göra något som kan göras snabbare:

3

När man har sparat inställningarna så är det viktigt att man väljer att uppdatera .htaccess, då mod_rewrite inte fungerar utan uppdateringen:

4

Lite längre ned på sidan så kan man styra hur länge en sida skall sparas innan den tas bort ifrån cachen. Standard är fem minuter, men sidor som uppdateras mer sällan kan med fördel ställas in till att cachas i en timme, ett dygn, eller en hel vecka, utan att det ger problem:

6

Totalt så lyckades vi med att få ned Alexias blogg till en laddningstid på 1,26 sekunder ifrån de ursprungliga 4,26 sekunderna – en förbättring på nästan 70%!

Vad är ditt bästa tips på att snabba upp WordPress?

Så kan du själv förbättra säkerheten för din WordPress-installation

CMS-systemet WordPress  är Världens mest populära verktyg för att bygga webbsidor  – Utav de 1 million mest populära webbsidorna på Internet så drivs över 17% av WordPress, på grund av dets flexibilitet och användarvänlighet.

Nackdelen med WordPress är att det desvärre ett vanligt mål för hackers. När ett säkerhetshål upptäcks, så säljs det ofta vidare till andra hackers, för tusentals kronor eftersom det kan användas på otaliga webbsidor. WordPress popularitet gör med andra ord att det är väldigt utsatt, men man kan som tur är själv göra mycket för att göra sin webbsida eller blogg mot angrepp.

Tidigare så har man sett storskaliga angrepp mot flera tusentals WordPress-sidor, som blivit infekterade med skadlig kod. Detta har resulterat i förstörda sidor och virusinfektioner på besökarnas datorer. Vi vill därför upprepa vårt budskap ifrån tidigare blogginlägg – att det är viktigt att hålla sin WordPress-installation uppdaterad. WordPress utvecklare uppdaterar själva kärnan i WordPress relativt ofta, och de täcker därmed till de flesta säkerhetshål, vilket underlättar kampen mot hackers. Utöver uppdateringarna så finns det även en del andra verktyg, som kan medverka till att göra en sida mer säker.

Så gör du WordPress säkrare
Ett snabbt och effektivt sätt att göra sin sida säkrare är tillägget ’Better WP Security’, som är gratis och kan  installeras genom WordPress administrationspanel. Tillägget samlar en radda olika funktioner som var för sig kan användas till att förbättra säkerheten på din WordPress-sida. Till exempel så hjälper det till med att dölja att din sida drivs av WordPress. Detta är en fördel i sig, eftersom det gör det svårare för hackers att hitta sidan.

Tillägget hjälper också till med att att blockera en del vanliga säkerhetshål i själva installationen, och som potentiellt kan missbrukas för att förstöra eller ta kontroll över sidan.

Better WP Security fokuserar primärt på själva WordPress-installationen, men det är även viktigt att understryka att det även är viktigt att uppdatera teman och plugins, som ofta har sårbarheter i sig. Speciellt äldre versioner av teman har ofta säkerhetshål i sig, och det är bara en fråga om tid innan hackers utnyttjar sig av dem. Som användare av WordPress så är det därför av yttersta vikt att man regelbundet underhåller sin WordPress-installation.

Generellt sett så är nyckeln, till att hålla hackers på avstånd att hålla koll på sin sida, och med WordPress i sig. På det sättet så kan man reagera proaktivt reagera nyupptäckta säkerhetshål och därmed förhindra oväntade besök ifrån hackers. Detta gäller för alla webbsidor – även de som inte drivs med WordPress.

Om du vill veta mer om hur man kan säkra sin sida så har WordPress utvecklare själva skrivit en artikel i ämnet:
http://codex.wordpress.org/Hardening_WordPress

Vad har du gjort för att säkra din WordPress-installation?

Därför ska du uppdatera din hemsida

En undersökning från 2012 visar att 63 % av webbplatsägarna inte vet hur det gick till när deras webbplats blev hackad – 20 % anger säkerhetshål eller bristen på uppdatering av programvara som orsak. Och saken blir inte bättre av det faktum att antalet infekterade webbplatser ökade med 46 % från 2011 till 2012 enligt danska DKCERT, som pekar på säkerhetshål i innehållshanteringssystem (CMS) som en viktig orsak.

Anledningen till att webbplatser blir hackade beror ofta på att de är uppbyggda med CMS-system som inte hålls uppdaterade när allt är igång. Hackare söker nämligen ständigt efter nya säkerhetshål i de populära CMS-systemen. Samtidigt kommer det regelbundna uppdateringar som både tillför nya funktioner och täpper till säkerhetshål. På det här sättet förs ett kontinuerligt krig mellan hackare och utvecklare, där det hela tiden gäller att ligga steget före.

Det kan bäst jämföras med ditt antivirusprogram på datorn. De flesta människor vet att man hela tiden måste hålla sitt antivirusprogram uppdaterat för att säkra datorn mot skadlig programvara och hackare. Detsamma gäller för det CMS-system som din hemsida är baserad på.

Därför är det viktigt att du regelbundet uppdaterar ditt CMS-system, oavsett om du använder Joomla, WordPress eller något annat system. Genom att löpande uppdatera ditt CMS-system minimerar du risken för att din webbplats blir hackad.
Den goda nyheten är att du ofta kan göra detta automatiskt via administrationen i ditt CMS-system.

SÅ MINIMERAR DU RISKEN FÖR ATT DIN HEMSIDA BLIR HACKAD

Du kan lyckligtvis göra mycket för att minimera risken för att din webbplats blir hackad. Nedan följer tre bra åtgärder:

1. Kom ihåg att hålla hemsidan uppdaterad
Många hackare utnyttjar kända säkerhetshål i ditt CMS-system eftersom de är mycket vanliga. Det gäller särskilt de stora systemen WordPress och Joomla. Därför är det bästa vapnet mot hackare att se till att ditt CMS-system är uppdaterat till den senaste versionen.

2. Ändra ditt lösenord regelbundet
Vissa hackare lägger inte tid på att leta efter säkerhetshål på webbplatser. De försöker istället att gissa ditt lösenord från ett antal listor över de vanligaste lösenorden. Därför rekommenderar vi att du ändrar ditt lösenord regelbundet. Ditt lösenord bör helst vara kryptiskt, så att hackarna inte kan gissa det så lätt. Ett bra lösenord består av minst åtta tecken med en blandning av siffror och stora och små bokstäver. För att göra ditt lösenord extra säkert kan du också lägga till specialtecken, men det är inte alla system som tillåter det.

3. Se till att dina filrättigheter är korrekt satta
För de mer avancerade användarna kan det också vara bra att se till att filernas rättigheter på webbhotellet är korrekt satta. Det är till exempel ofta en dålig idé att låta alla skriva i filerna, eftersom det ofta kan få negativa konsekvenser. En bra riktlinje är att rättigheterna till en mapp inte bör överstiga 755 och att rättigheterna till en fil inte bör överstiga 644. Om du är osäker på hur filrättigheter fungerar rekommenderar vi att du bibehåller standardvärdena.

DÄRFÖR BLIR WEBBPLATSER HACKADE

Det är svårt att säga exakt varför en webbplats blir hackad. En sak är dock säker – i de flesta fall sker det utan att det på något sätt är personligt riktat mot webbplatsägaren.

I det vanligaste fallet är målet att göra webbhotell tillgängliga för angrepp mot exempelvis utvalda företag. I dessa fall sprids infekterade koder på många olika webbplatser runt om i världen. När hackare har smittat tillräckligt många webbplatser använder de många infekterade sidor för att skapa en mängd frågor mot ett utvalt företags webbplats. Målet är att få företagets servrar att ge vika för belastningstrycket och göra den drabbade webbplatsen otillgänglig. Det kallas DoS-angrepp (Denial of Service).

En enklare typ av hackning är när hackare tvingar till sig obehörig åtkomst till sidor och ändrar innehållet på en webbplats. Målet är att antingen kommunicera ett budskap eller att använda webbplatsen för att visa att den kan hackas. Man kan jämföra det med graffiti eller ”tags” på andras eller allmän egendom utan tillstånd. Det kallas ofta för ”defacement” eller ”defacing”.

Vad gör du för att hålla din webbplats säker?

Avrundning på Litespeed-uppgraderingen

För två månader sedan annonserade vi uppgraderingen av alla våra Linux-servrar från Apache till Litespeed, och för tre veckor sedan uppgraderades den sista servern. Därefter har vi fokuserat på att tweaka inställningar och förbättra prestanda baserat på den feedback vi har fått.

Vi har fått många positiva reaktioner från användare som kan se en märkbar förbättring i hastighet på sin webbplats. Tyvärr har vissa användare också drabbats av problem med visning av bilder eller långsammare laddningshastighet som en följd av uppgraderingen. De flesta av de problem som har uppstått i kölvattnet av uppgraderingen har nu korrigerats så att alla förhoppningsvis får en positiv upplevelse framöver.

Vi har försökt att sammanfatta återstående frågor här under. Upplever du andra problem med din webbplats vi vill gärna höra från dig. Du kan med fördel kontakta kundservice direkt här.

Kända problem du bör vara medveten om

Cache-relaterade fel
Litespeed använder en privat cache för varje användare, vilket bidrar till att öka hastigheten på de flesta webbplatser. På vissa webbplatser kan användarna uppleva att de visas som utloggade. På andra webbplatser kan det vara sämre laddningshastighet. I dessa fall kan det vara nödvändigt att stänga av standardcachen och använda en annan typ av cache.

Vi rekommenderar dock att du kontaktar kundservice innan du stänger av cachen, så att du är säker på att det är den rätta lösningen. Det kan finnas andra och bättre lösningar.

Filrättigheter
I samband med uppgraderingen finns det risk för att filrättigheter för filer på ditt webbhotell har ändrats. Du kan läsa mer om varför det har hänt och hur felet korrigeras här.

Register_globals är avstängt
För att öka säkerheten har vi valt att stänga av inställningen register_globals som standard på alla webbhotell. Det finns dock fortfarande ett fåtal webbplatser som kräver att register_globals är aktiverat. Om du får felmeddelanden på din webbplats kan det bero på att register_globals måste aktiveras. Du kan läsa mer om hur du aktiverar register_globals här.

1 2 3 4 5 >»