Håll hackarna ute ur Joomla

I loppet av den sista veckan har vi skrivet blogginlägg gällande säkerheten i CMS-system. Nu har turen kommit till Joomla som precis som WordPress används flitigt vid administrationen av hemsidor.

Joomlas popularitet är en av orskerna till att det blir ett mål för hackare precis som alla andra populära CMS-system.

Det är viktigt att du håller din Joomla installation uppdaterad så att du undgår obehagliga besök från hackare. Uppdateringarna ger oftast även en del nya funktioner till din Joomla hemsida. Exempelvis blir din administrationsplanel väsentligt mycket bättre i de senaste versionerna av Joomla och du får möjligheten till att styra innehållet på din sida på ett mer effektivt sätt.

Att uppdatera Joomla ger alltså flera fördelar, man får tillgång till fler och bättre funktioner och samtidigt så gör man sin sida mer säker.

Notera att en hackad Joomla installation kan påverka andra användare hos Surftown och i vid enstaka tillfällen kan vi vara tvugna att begränsa tillgängen till sidan, med hänsyn till våra andra användare.

Så uppdaterar du Joomla
Om din Joomla version är nyare än 1.6 så är det ganska lätt att uppdatera din Joomla version till den senaste. En av mina duktiga kolleger har skapat en guide till hur du uppdaterar en gammal version av Joomla till en ny.

Använder du dig av en version som är äldre än 1.6 så är uppdateringsprocessen lite annorlunda. Den innehåller några fler steg än för nyare versioner men det är ännu mer viktigt att uppdatera en äldre version av Joomla då den innehåller en del säkerhetshål. Vår guide till hur du uppdaterar din gamla version av Joomla hittar du här:
https://surftown.se/support/hur-migrerar-jag-en-joomla-15-installation-till-joomla-25

Om du vill gå ännu längre med säkerheten i din Joomla installation så kan vi rekommendera dig att läsa Joomlas officiella säkerhetsdokumentation:
https://docs.joomla.org/Security

Så kan du själv förbättra säkerheten för din WordPress-installation

CMS-systemet WordPress  är Världens mest populära verktyg för att bygga webbsidor  – Utav de 1 million mest populära webbsidorna på Internet så drivs över 17% av WordPress, på grund av dets flexibilitet och användarvänlighet.

Nackdelen med WordPress är att det desvärre ett vanligt mål för hackers. När ett säkerhetshål upptäcks, så säljs det ofta vidare till andra hackers, för tusentals kronor eftersom det kan användas på otaliga webbsidor. WordPress popularitet gör med andra ord att det är väldigt utsatt, men man kan som tur är själv göra mycket för att göra sin webbsida eller blogg mot angrepp.

Tidigare så har man sett storskaliga angrepp mot flera tusentals WordPress-sidor, som blivit infekterade med skadlig kod. Detta har resulterat i förstörda sidor och virusinfektioner på besökarnas datorer. Vi vill därför upprepa vårt budskap ifrån tidigare blogginlägg – att det är viktigt att hålla sin WordPress-installation uppdaterad. WordPress utvecklare uppdaterar själva kärnan i WordPress relativt ofta, och de täcker därmed till de flesta säkerhetshål, vilket underlättar kampen mot hackers. Utöver uppdateringarna så finns det även en del andra verktyg, som kan medverka till att göra en sida mer säker.

Så gör du WordPress säkrare
Ett snabbt och effektivt sätt att göra sin sida säkrare är tillägget ’Better WP Security’, som är gratis och kan  installeras genom WordPress administrationspanel. Tillägget samlar en radda olika funktioner som var för sig kan användas till att förbättra säkerheten på din WordPress-sida. Till exempel så hjälper det till med att dölja att din sida drivs av WordPress. Detta är en fördel i sig, eftersom det gör det svårare för hackers att hitta sidan.

Tillägget hjälper också till med att att blockera en del vanliga säkerhetshål i själva installationen, och som potentiellt kan missbrukas för att förstöra eller ta kontroll över sidan.

Better WP Security fokuserar primärt på själva WordPress-installationen, men det är även viktigt att understryka att det även är viktigt att uppdatera teman och plugins, som ofta har sårbarheter i sig. Speciellt äldre versioner av teman har ofta säkerhetshål i sig, och det är bara en fråga om tid innan hackers utnyttjar sig av dem. Som användare av WordPress så är det därför av yttersta vikt att man regelbundet underhåller sin WordPress-installation.

Generellt sett så är nyckeln, till att hålla hackers på avstånd att hålla koll på sin sida, och med WordPress i sig. På det sättet så kan man reagera proaktivt reagera nyupptäckta säkerhetshål och därmed förhindra oväntade besök ifrån hackers. Detta gäller för alla webbsidor – även de som inte drivs med WordPress.

Om du vill veta mer om hur man kan säkra sin sida så har WordPress utvecklare själva skrivit en artikel i ämnet:
https://codex.wordpress.org/Hardening_WordPress

Vad har du gjort för att säkra din WordPress-installation?

Därför ska du uppdatera din hemsida

En undersökning från 2012 visar att 63 % av webbplatsägarna inte vet hur det gick till när deras webbplats blev hackad – 20 % anger säkerhetshål eller bristen på uppdatering av programvara som orsak. Och saken blir inte bättre av det faktum att antalet infekterade webbplatser ökade med 46 % från 2011 till 2012 enligt danska DKCERT, som pekar på säkerhetshål i innehållshanteringssystem (CMS) som en viktig orsak.

Anledningen till att webbplatser blir hackade beror ofta på att de är uppbyggda med CMS-system som inte hålls uppdaterade när allt är igång. Hackare söker nämligen ständigt efter nya säkerhetshål i de populära CMS-systemen. Samtidigt kommer det regelbundna uppdateringar som både tillför nya funktioner och täpper till säkerhetshål. På det här sättet förs ett kontinuerligt krig mellan hackare och utvecklare, där det hela tiden gäller att ligga steget före.

Det kan bäst jämföras med ditt antivirusprogram på datorn. De flesta människor vet att man hela tiden måste hålla sitt antivirusprogram uppdaterat för att säkra datorn mot skadlig programvara och hackare. Detsamma gäller för det CMS-system som din hemsida är baserad på.

Därför är det viktigt att du regelbundet uppdaterar ditt CMS-system, oavsett om du använder Joomla, WordPress eller något annat system. Genom att löpande uppdatera ditt CMS-system minimerar du risken för att din webbplats blir hackad.
Den goda nyheten är att du ofta kan göra detta automatiskt via administrationen i ditt CMS-system.

SÅ MINIMERAR DU RISKEN FÖR ATT DIN HEMSIDA BLIR HACKAD

Du kan lyckligtvis göra mycket för att minimera risken för att din webbplats blir hackad. Nedan följer tre bra åtgärder:

1. Kom ihåg att hålla hemsidan uppdaterad
Många hackare utnyttjar kända säkerhetshål i ditt CMS-system eftersom de är mycket vanliga. Det gäller särskilt de stora systemen WordPress och Joomla. Därför är det bästa vapnet mot hackare att se till att ditt CMS-system är uppdaterat till den senaste versionen.

2. Ändra ditt lösenord regelbundet
Vissa hackare lägger inte tid på att leta efter säkerhetshål på webbplatser. De försöker istället att gissa ditt lösenord från ett antal listor över de vanligaste lösenorden. Därför rekommenderar vi att du ändrar ditt lösenord regelbundet. Ditt lösenord bör helst vara kryptiskt, så att hackarna inte kan gissa det så lätt. Ett bra lösenord består av minst åtta tecken med en blandning av siffror och stora och små bokstäver. För att göra ditt lösenord extra säkert kan du också lägga till specialtecken, men det är inte alla system som tillåter det.

3. Se till att dina filrättigheter är korrekt satta
För de mer avancerade användarna kan det också vara bra att se till att filernas rättigheter på webbhotellet är korrekt satta. Det är till exempel ofta en dålig idé att låta alla skriva i filerna, eftersom det ofta kan få negativa konsekvenser. En bra riktlinje är att rättigheterna till en mapp inte bör överstiga 755 och att rättigheterna till en fil inte bör överstiga 644. Om du är osäker på hur filrättigheter fungerar rekommenderar vi att du bibehåller standardvärdena.

DÄRFÖR BLIR WEBBPLATSER HACKADE

Det är svårt att säga exakt varför en webbplats blir hackad. En sak är dock säker – i de flesta fall sker det utan att det på något sätt är personligt riktat mot webbplatsägaren.

I det vanligaste fallet är målet att göra webbhotell tillgängliga för angrepp mot exempelvis utvalda företag. I dessa fall sprids infekterade koder på många olika webbplatser runt om i världen. När hackare har smittat tillräckligt många webbplatser använder de många infekterade sidor för att skapa en mängd frågor mot ett utvalt företags webbplats. Målet är att få företagets servrar att ge vika för belastningstrycket och göra den drabbade webbplatsen otillgänglig. Det kallas DoS-angrepp (Denial of Service).

En enklare typ av hackning är när hackare tvingar till sig obehörig åtkomst till sidor och ändrar innehållet på en webbplats. Målet är att antingen kommunicera ett budskap eller att använda webbplatsen för att visa att den kan hackas. Man kan jämföra det med graffiti eller ”tags” på andras eller allmän egendom utan tillstånd. Det kallas ofta för ”defacement” eller ”defacing”.

Vad gör du för att hålla din webbplats säker?

Vi städar upp och fasar ut en rad funktioner

”The Times They Are a-Changin'” sjöng Bob Dylan redan 1964 och detsamma säger vi just nu på Surftown. Vi fortsätter arbetet med att förbättra våra produkter och för närvarande arbetar vi på en större uppgradering och optimering av våra backend och system. I samband med detta kommer några funktioner fasas ut och tas bort. Några av dessa ersätts dock med något nytt och bättre.

NOTERA: Det är tal om funktioner som idag finns i din kontrollpanel (My Surftonw). Det handlar alltså uteslutande om att den funktionalitet inte längre kommer att vara tillgänglig via kontrollpanelen.

Alla funktioner nedan kommer att fasas ut under våren. Vi kommer att berätta mer när vi närmar oss.

Det finns olika anledningar till att funktionerna fasas ut. Några av funktionerna tas bort eftersom de utgör en onödig säkerhetsrisk, samtidigt som det finns bättre alternativ. Andra funktioner, som MIME type och ODBC, fasas ut eftersom våra webbserverprogram inte längre har stöd för dem eller för att de är föråldrade och har ersatts av nyare funktioner.

Nedan följer en fullständig lista över de funktioner som kommer att tas bort:

white_1px

CGI-dir

CGI-dir fasas ut i den bemärkelse att vi tar bort möjligheten att aktivera CGI via kontrollpanelen. Vi kommer inte att stänga för dom som redan har aktiverat CGI och om du har kunskapen till det så kan teoretiskt sätt CGI fortfarande aktiveras genom en .htaccess fil.

white_1px

MIME-typer

Möjligheten för att lägga till egna MIME-typer via kontrollpanelen försvinner. Man kommer naturligtvis att kunna fortsätta använda egna MIME-types via .htaccess och web.config.

white_1px

SSI

När vi talar om SSI så är det funktionaliteten med SHTML som kommer att fasas ut, då det idag finns mer modärna alternativ i PHP och ASP.net.

white_1px

PostgreSQL

Möjligheten för att skapa nya PgSQL-databaser kommer att försvinna. Existerande databaser kommer inte att påverkas.

white_1px

Maildomän-alias

Vi vill understryka att det inte är tal om vanligt e-post-alias. Du kommer fortfarande kunna upprätta en e-postadress som ett alias till en annan e-postadress. Det är däremot tal om en mindre använd och separat e-postservice som finns i förbindelse med upprättelse av domänalias.

white_1px

SiteStudio och SiteBuilder ersätts av ett nytt och bättre hemsideprogram

Har du skapat din hemsida med hjälp av SiteStudio eller SiteBuilder, så kommer det inte att påverka din redan publicerade hemsida. Användare som har aktiverat och använder SiteBuilder kommer fortsatt att kunna redigera deras hemsidor. SiteStudio kommer att tas bort helt för alla användare och man kommer inte att kunna uppdatera sin hemsida genom SiteStudio.

Alla användare får tillgång till ett nytt och bättre hemsideprogram där du kan skapa en vacker och modern webbplats. Det kommer vi naturligtvis berätta mer om inom kort.

white_1px

Squirrelmail och Atmail fasas äntligen ut

Det är nu en tid sedan vi lanserade vår nya webbmail. Då meddelade vi att vi skulle påbörja utfasningen av de två gamla webbmailklienterna Squirrelmail och Atmail. Nu är det dags att göra allvar av planen och de två webbmailklienterna stängs ner helt. Därefter kommer du bara ha tillgång till Surftowns nya webbmail.

Vi har valt att fasa ut SquirrleMail och AtMail p.g.a flera olika orsaker. Vi vill fokusera vår insats på en webbmail och har valt att fokusera på vår nya webbmail som tillåter oss att erbjuda ett större urval av funktioner. Det är också den webbmail som används av största delen av Surftowns användare. Det är även så att både SquirrleMail och AtMail innehåller fel som skapar onödvändig frustration hos användarna och extra arbete för oss.

Vi har tagit de synpunkter som finns i förhållande till vår nya webbmail och i förbindelse med det kan jag avslöja att det under sommaren kommer en stor uppdatering av webbmailen. Både design och funktionalitet kommer att få ett stort lyft.

Om du av en eller annan orsak inte har möjlighet att använda vår webbmail, så är det även möjligt att installera ett e-postprogram på sin dator och läsa/hämta din e-post via POP3 eller IMAP.

white_1px

.web.surftown.se-domäner

Vi har redan tagit bort möjligheten att upprätta .web.surftown.se-domäner, men det finns idag fortfarande aktiva .web.surftown.se-domäner. Dessa domäner kommer under våren att bli deaktiverade så att de inte längre är tillgängliga. Eventuellt innehåll som ligger på de existerande .web.surftown.se-domänerna kommer inte att raderas, men eftersom domänerna inte längre kommer att fungera, kommer materialet inte heller kunna nås via en webbläsare.

white_1px

FrontPage Extensions

Även här handlar det om en funktion som redan idag inte finns tillgänglig för nyregistrerade kunder. De användare som har haft FrontPage Extensions aktiverat innan dess vi stängde ner för funktionen har fortfarande kunnat använda den. När vi under våren stänger ner för FrontPage Extensions så kommer det att gälla alla användare, och funktionen kommer inte längre att vara tillgänglig i kontrollpanelen.

white_1px

OsCommerce (1-click install)

Vi har tidigare erbjudit möjligheten att installera OsCommerce via 1-click Toolbox. Idag erbjuder vi inte den möjligheten, men du kan dock installera OsCommerce manuellt och använda OsCommerce på Surftown webbhotell.

white_1px

ODBC och MyLittleAdmin

För både ODBC och MyLittleAdmin finns det nyare och bättre alternativ. Klicka på ”Läs mer” bredvid dem för att läsa mer om hur du exempelvis använder SQL Management Studio istället för MyLittleAdmin eller hur du ansluter till en MSSQL databas utan att använda ODBC.

Om du har frågor är du välkommen att kontakta Surftowns kundtjänst på https://surftown.com/support/create

Vi uppdaterar Litespeed och WordPress (1-click install)

Under förra veckan uppdaterade vi WordPress i vår 1-Click Toolbox till version 3.5.1, och under den här veckan uppdaterar vi alla Litespeed-servrar till senaste versionen av Litespeed.

Den största förändringen i den nya versionen av WordPress är att ett antal säkerhetshål i WordPress 3.5.0 täpps till. Dessutom korrigerar uppdateringen en rad mindre fel, vilket du kan läsa mer om på WordPress officiella webbsida. Uppdateringen gäller endast för nya installationer av WordPress via 1-Click Toolbox. Har du redan installerat WordPress, antingen manuellt eller via 1-Click Toolbox, så är det viktigt att du uppdaterar WordPress via WordPress administration.

Uppdateringen av Litespeed gör det möjligt att använda XcacheEngine som cache. Alla Litespeed-servrar upppdateras idag, måndag den 4 februari. Uppdateringen kommer inte att innebära någon nertid.

«< 5 6 7 8 9 >»