Säkerhet

HTTPS vad är det och varför det är viktigt för dig.

 

HTTPS, även kallat HTTP över TLS, är ett protokoll för att kryptera trafiken mellan din webbläsare och den server, som en hemsida ligger på.

Kortfattat är detta vad HTTPS gör:

  1. Intygar att din hemsida är just din hemsida. Att dina besökare inte hamnat på någon hemsida som utger sig för att vara din.
  2. Ser till att data bara skickas mellan din hemsida (server) och din besökare (klient). Och att det inte finns någon tredje part som lyssnar av trafiken.
  3. Garanterar att ingen tredje part modifierar trafiken. Data som besökare skickar till din hemsida är orörd och vice versa.

HTTPS är bra för dina besökare och bör användas på alla hemsidor, stora som små. Det låter dina besökare att surfa säkrare på internet.
Du kan se att du besöker en sida med HTTPS genom att du kan se att det står https istället för http i adressfältet. Det gröna hänglåset till vänster om adressen ger en tydlig indikation till dina besökare.

Har fått större fokus de senaste åren.

Tidigare har det varit standard att använda HTTPS på känsliga delar av din sida. Exempelvis på din sida för inloggning eller på din webbshop.
De senaste åren har dock privatliv på nätet fått mera fokus, och internetjättar så som Google, Mozilla med flera, har gått starkt ut för ett säkrare internet för alla, genom att arbeta mot att krypterad trafik ska vara standard.

Ingen HTTPS ger varning i chrome

I de allra flesta webbläsarna visas nu varningar på sidor där du anger lösenord eller kreditkortsupplysningar

Google ger fördelar genom SEO och exklusiv tillgång till moderna webbtekniker.

Den största moroten från Google var uttalandet att HTTPS spelar roll i din sökmotors rankning. Det finns dock en helt annan sida, nämligen att få fortsätta använda moderna webbtekniker.

I och med att webbläsarna får kraftfullare funktioner och att det mobila surfandet växer, så ökar mängden information som finns tillgängligt om dina besökare. Google har genom Chrome bestämt att dessa får du endast tillgång till om du levererar din sida över HTTPS.

API’er för att ta reda på information om din besökares geografiska plats, använda kameran på datorn eller mobiletelefonen, eller att få skicka så kallade push-notifikationer, är redan nu blockerat i Chrome om du inte använder HTTPS, och Google planerar att blockera fler API’er.

Så har vi gjort det enklare att använda HTTPS för våra kunder.

Historiskt sett har det varit relativt krångligt att använda HTTPS. Du var tvungen att köpa ett certifikat, aktivera det, installera det och uppdatera din sida för att ta emot HTTPS trafik. Om du inte hade dedikerat IP var valmöjligheterna för certifikat väldigt få. Utöver detta var du även tvungen att förnya ditt certifikat varje år. Att använda HTTPS har tidigare varit en relativt avancerad teknik men nu gör vi det enklare med hjälp av Let’s Encrypt.

Let’s Encrypt

Lets encrypt logotyp och grafik
Uppbackat av jättar som Cisco, Mozilla, Chrome och Facebook, lanserades 2016 Let’s encrypt, en gratis och automatiserad certifikatutfärdare. Utvecklad med öppenhet och transparens genom The Linux Foundation. Genom Let’s encrypt kan vem som helst som har en domän få ett certifikat gratis.

Då Let’s Encrypt gör det smärtfritt att få, konfigurera och förnya certifikat har vi använt oss av denna teknik för att ge alla våra kunder på Linux Webbhotell tillgång till HTTPS.

Så, se till att aktivera HTTPS på din sida om du vill ha:

  • Bättre säkerhet för dig själv och dina besökare.
  • Högre trovärdighet mot dina besökare.
  • Bättre rankning i sökmotorerna.
  • Framtidssäkra din site med tillgång till moderna API’er och funktioner.

Aktivera HTTPS på din hemsida.

Om du har ett Linux webbhotell hos Surftown så är du redan ett steg på vägen.

WordPress säkerhetsuppdatering 4.7.3

WordPress Säkerhetsupddatering

”Hejsan! Din webbplats har automatiskt uppdaterats till WordPress 4.7.3.”
Om du fick ett mail denna morgon från din WordPress sida med den informationen – Du har automatiska säkerhetsuppdateringar för WordPress påslagna och är skyddad mot ett flertal nya kända attacker. Om inte; dags att logga in och uppdatera, detta är en viktig säkerhetsuppdatering.

Läs mer på: https://wordpress.org/news/

WordPress 4.7.3 Security and Maintenance Release

 

Hackare utnyttjar kritisk sårbarhet i Joomla: Uppdatera nu.

joomla-346-security-update

Igår släppte Joomla-utvecklarna Joomla 3.4.6 – en kritisk säkerhetsuppdatering för Joomla som täpper till ett allvarligt säkerhetshål som funnits sedan Joomla 1.5. Detta har resulterat i en massiv mängd trafik från diverse bots som försöker utnyttja säkerhetshålet på slumpmässigt utvalda websidor över hela världen. Lösningen är att uppgradera till Joomla 3.4.6 – oavsett vilket version som används nu.

Det kan vara mycket tidskrävande att uppgradera gamla Joomla-versioner, men då dessa inte längre stöds av utvecklarna är de vidöppna för attacker. Det finns dock oofficiella och osupporterade uppdateringar för Joomla 1.5 och 2.5.

Om man inte uppgraderar

Om en sida blir hackad genom detta säkerhetshål, så kommer hackern att få full tillgång till ditt webhotell. Om du har flera domäner på samma konto så kan dessa också attackeras genom det ursprungliga Joomla-hålet. Vanliga konsekvenser av detta är oönskade meddelanden, spam från sidan och falska banksidor (phishing). Surftown tvingas att temporärt avaktivera sidor som aktivt utnyttjas för detta.

Vad kan jag göra?

Om du använder Joomla 3.x, vänligen uppdatera till 3.4.6 så fort som möjligt. Om du har en sida med Joomla 1.5 eller 2.5 bör du installera de oofficiella säkerhetsuppdateringarna omedelbart, och sedan uppdatera till Joomla 3.4.6 så fort som möjligt.

Användare av Joomla 1.6 och 1.7 bör också uppgradera till 3.4.6 så fort som möjligt – det finns inga säkerhetsuppdateringar för dessa, och sidorna är sårbara tills de uppgraderats till 3.4.6.

Vad gör Surftown?

Vi arbetar med att blockera alla kända försök att utnyttja detta säkerhetshål. Vi söker också igenom våra servers för att identifiera föråldrade Joomla-versioner, och infomerar alla kunder som påverkas.

Snabb och enkel blockering av brute force-angrepp mot WordPress-sidor

För ett par dagar sedan så hade WordPress Copenhagen sitt månatliga möte, och eftersom mötet hölls i våra lokaler så passade vi på att lyssna med.

Ämnet för kvällen var säkerhet, och ett av de problem som diskuterades var de brute force-angrepp som har härjat i sedan i vintras. Metoden är väldigt enkel och kan närmast liknas vid att man försöker bryta upp ett kombinationslås genom att testa en kod åt gången.

Förutom att det finns en risk för angreppet rent faktiskt lyckas, så utgör den här typen av angrepp ett problem både för webbservrar och för webbmasters eftersom de kan får en hel del alarmklockor att ringa.

De flesta webbhotell, Surftown inkluderat, har någon form av blockering för de här angreppen. Vissa undantag finns, som t.ex. VPS-servrar och liknande, och i de här tillfällena kan det vara en fördel att blockera angreppen på ett annat sätt.

Så, hur gör man?
Den absolut simplaste formen för blockering är att lägga till vanlig HTTP-autentisering för wp-admin/ och wp-login.php. Det fungerar i princip för alla, men kräver en extra uppsättning inloggningsuppgifter. Att vitlista IP-adresser fungerar utmärkt, men administrationen kan bli jobbig om man har många olika personer som behöver logga in.

Som ett alternativ, så kan man använda mod_rewrite, för att blockera alla loginförsök som inte kommer ifrån rätt plats. För att göra detta så behöver du först skapa en separat loginsida till din WordPress-installation.

Det finns flera plugins som ger möjlighet att lägga ett loginformulär på en annan sida. I det här exemplet skapar vi en loginsida, som heter minloginsida, och lägger ett loginformulär genom att helt sonika kopiera HTML-koden ifrån den vanliga loginsidan, och sedan klistra in den på minloginsida.

Efteråt så öppnar vi filen .htaccess, som ligger som en dold fil i WordPress-katalogen. Om den inte finns, så kan man skapa en tom textfil och ge den namnet .htaccess.

Överst i filen så klistrar vi in följande kodsnutt:

RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{HTTP_REFERER} !^https://mindomän.tld/minloginsida/$ [NC]
RewriteRule ^wp-login.php$ – [F,L]

För att det här skall fungera för just din sida, så skall adressen till loginsidan naturligtvis rättas. När det är gjort så skall du bara spara filen, och sedan är din sida skyddad ifrån inloggningsförsök som inte kommer ifrån din nya loginsida. Misslyckade loginförsök ifrån andra sidor kommer att resultera i ett 403-fel.

Kritisk säkerhetsuppdatering till Joomla

Joomla har nyligen släppt kritiska uppdateringar till Joomla 2.5 och 3 och vi rekommenderar alla kunder att uppgradera snarast.

Det finns även en inofficiell patch till Joomla 1.5, som också är drabbat.

Säkerhetshålet är relaterat till icke-auktoriserade filuppladdningar, vilket i klarspråk betyder att man kan ladda upp filer utan tillåtelse och utan att ha tillgång till sidans backend.

För mer information, se: https://www.joomla.org/announcements/

1 2