Säkerhetshål hotar många webbar byggda med WordPress

Dn.se publicerar idag en artikel där de har granskat svenska webbar byggda med WordPress och hittat över 10.000st som har allvarliga säkerhetshål. Vad betyder då detta för alla som använder WordPress.

Detta är egentligen ingenting nytt, precis som DN skriver är det gratis att installera och börja använda wordpress men att uppdatera och säkerhetskontrollera är något du som WordPress användare behöver göra själv.

Vad är det då som kan hända om man har ett säkerhetshål.

Det vanligast är att någon hackar din webb och den blir förstörd men det många inte vet är att din webb kan se helst ok ut men ändå vara smittad av virus.

– Förmodligen är en stor del av sajterna redan komprometterade och används för att utföra till exempel överbelastningsattacker, säger Leif Nixon, säkerhetskoordinator på Nationellt superdatorcentrum vid Linköpings universitet. (från dn.se http://www.dn.se/nyheter/sverige/tusentals-bloggar-och-hemsidor-har-sakerhetshal/ )

Vad kan du göra?

Gå in i din adminpanel, ser du ”gula notislappar” finns det delar av din webb som behöver uppdateras. Det som kan behöva uppdateras är

WordPressverktyget – aktuell version är 5.0
Temat – beror på leverantör men de flesta bra temaleverantörer uppdaterar sin tema så de alltid fungerar med senaste wordpress version
Tillägg – behöver oftast alltid uppdateras när en ny version av wordpress kommer.

Beroende på vilket version av wordpress du har och beroende på vilket tema eller tillägg du har går uppdateringen till på olika sätt.

Det som är viktigt att komma ihåg är att alla delar oftast behöver uppdateras samtidigt. Varje gång wordpress uppdateras och kommer ut i en ny version finns ny förbättrad programkod. Detta betyder tyvärr att om du bara uppdaterar wordpress kan tema och tillägg som är anpassade för en äldre version av wordpress sluta att fungera. Har du otur kan hela din webb gå sönder.

Vi rekommenderar endast att du uppdaterar själv om du antingen

har en mycket enkel WordPress utan avancerade tillägg eller
har kunskap om hur WordPress fungerar med databaser och har login till webbhotell och ftp.

Generellt är det mycket mer vanskligt att uppdatera från en äldre version innan 4.0 – till WordPress 5.0 än det är från WordPress 4.0 – till 5.0 . Version 5.0 har även genomgått en större förändring framförallt när det gäller admin gränssnittet. Läs mer om WordPress version 5.0

Innan varje uppdatering gör vi alltid följande

Säkerhetskontroll – dvs att den nuvarande webbplatsen inte har virus eller liknande
Backup – Flera olika typer av backup, på hela sajten, på mappar och på databasen samt alla css-filer
Kontrollerar uppdateringsmöjligheten på tema och tillägg – dvs att de kan uppdateras och användas med den version av wordpress vi ska uppdatera
Klonar webbplatsen för att snabbt kunna återställa den om något går sönder

Behöver du hjälp med att uppdatera din wordpress hjälper vi dig gärna! Använd vårt kontaktformulär och hör av dig så återkommer vi. Du kan också läsa mer på denna webb om hur man gör backup med mera.

Lycka till

Benny är här! WordPress version 4.0

Ny version av WordPress ute nu – 4.0 kallad ”Benny”.

Förbättrade funktioner i huvudsak:
1 Ny presentation i Media biblioteket
2 Lättar att lägga in inbäddat innehåll exempelvis video, spellistor
3 Förbättringar i texteditorn
4 Bättre gränssnitt för att söka och installera plugin

Uppdatera inte förrän du är säker på att alla befintliga plugin och teman funkar i denna version av WordPress.

Vissa webbhotel har som service att uppdatera WordPress med automatik mellan mindre versioner (samt när säkerhetsuppdateringar kommer). Större versionsuppdateringar sker dock inte automatiskt.

Detta är en version som du behöver uppgradera manuellt.

Obs: WordPress kräver numer att man har minst php 5.3, kolla med ditt webbhotell vad du har inställt för php version.

1 Ny presentation i Media biblioteket

Utforska dina uppladdningar i ett mer visuellt gränssnitt. Du kan förhandsgranska, vis och redigera enklare.

2 Lättar att lägga in inbäddat innehåll exempelvis video, spellistor

Du kan enkelt bädda in och video från andra kanaler tex TED, Slideshare, Vimeo samt spellistor från Spotify, Youtube.

3 Förbättringar i texteditorn

Editor expanderar för att passa ditt innehåll som du skriver.

4 Bättre gränssnitt för att söka och installera plugin

Wordpress plugin katalog gör det enklare att hitta rätt plugin för dina behov, enklare sökning och en mer visuellt gränssnitt.

Se presentations video om WordPress 4.0 ”Benny”

Ta åtminstone en backup!

Det här med webb, wordpress, webbhotell – så himla mycket att hålla reda på. WordPressverktyget är gratis och bara där sparar du säkert 200.000kr mot för bara 5 år sedan men det är inte så enkelt som många tror.

Visserligen tar det knappt en dag att få upp en mindre wordpress och de flesta klarar det med hjälp av online guider, kurser eller hjälp från webbhotellet. Men om det tar mindre än en dag att få upp en webb går det ännu snabbare att bli av med den. Webbhotellet kan få problem med sina servrar, hackers kan hacka din webb, eller så kanske du bara trycker på fel knapp. Men det finns ett sätt att slippa det mesta av oron – ta backup! Om du har en fullständig backup kan du få tillbaka din webbplats vad som än händer.

Backup – det måste du ha!

De flesta webbhotell har backup men det betyder inte alltid att de hjälper dig att använda backup filen och återställa din webb. Vi rekommenderar alltid att du förutom webbhotellets backup har en egen backup av din wordpressinstallation och innehållet. Detta skapas genom att du installerar ett plugin/tillägg. De flesta av dess fungerar så att du väljer ett schema för din backup, det kan vara varje dag eller varje vecka. Sedan skapas en backupfil som lagras på den plats du har valt – kan vara dropbox, google drive eller skickas med epost.

Vissa av dess plugin kan även återinstallera webbplatsen från backupfilen till exempel

UpdraftPlus – Backup/Restore: http://wordpress.org/plugins/updraftplus/
Myrepono – backup, keep, restore: http://wordpress.org/plugins/myrepono-wordpress-backup-plugin/

Det finns också en tjänst som vi själva använder. Manage WP – suveränt om du hanterar mer än 1 webbplats, finns i både gratis och betalversion. Hanterar backup och kloning men även säkerhetskontroller och uppdateringar.

Läs mer om att göra din webbsäker – starta från punkt 2 om du har backup.

Hackad, kapad eller full med skadliga länkar?

Det vanligaste som händer är att antingen surfar du själv in till din webb och upptäcker att den ser väldigt konstig ut eller så får du ett mail från en kund eller ditt webbhotell. Det är lätt att drabbas av panik men försök att ta det lugnt. Det finns några saker du nu kan och behöver göra. det allra första är att inte radera allt, låt den hackade webben vara kvar och gå igenom punkterna nedan.

Det kan vara svårt att åtgärda hackade webbplatser!

Är ftp, webbservrar och databaser okända begrepp för dig rekommenderar vi att du tar kontakt med oss för hjälp att återställa din webbplats. Har du installerat plugin som tex Updraft+ eller myrepono finns det funktioner i dess tillägg som gör att du kan återställa. Du kan behöva viss kunskap om hur du skapar mappar på webbserver och ansluter med ftp.

1. Finns det en backup?

Har du en backup på din webbplats eller finns det en backupfil hos webbhotellet? Leta reda på din backup och/eller kontakta webbhotellet. Beroende på vilket webbhotell du har och vad de erbjuder kanske de enkelt kan återställa din webb till hur den såg ut innan den hackades. Du behöver nu kontrollera att det inte finns något skadlig kvar. Gå till https://sucuri.net/ och testa din webb. Om din webb nu är ok, glöm då inte att du nu måste säkra din webb för att den inte ska bli hackad igen. Läs mer: Säkra din webb.

2. Kan du komma in på din webb och administrera den?

Om det går – kontrollera vilka användare som finns – radera alla eventuella okända användare och ändra lösenord på alla kända användare. Har du samma lösenord på andra platser är det alltid bra att ändra dessa också. Om webbens innehåll och utseende är förändrat behöver du ersätta med en backup. Om du inte har en backup måste du antagligen bygga upp webbplatsen på nytt.

3. Om din webb fortfarande är uppe och ser ok ut men webbhotellet har varnat att det finns skadlig kod.

Du måste nu hitta det skadliga viruset eller koden. Gå till https://sitecheck.sucuri.net/ och testa din webb. Här kan du gratis testa din webb och få information om vad som är fel. Skriv ut och spara den rapport du får tex som pdf. Beroende på vad som är fel kanske du kan åtgärda det själv, få hjälp via ditt webbhotell eller kontakta oss.

(Sucuri erbjuder även abonnemang för ca 90$/år för att även kunna tabort malware. OBS det kan tyvärr vara så att sucuri inte hittar felet. Be då webbhotellet precisera var felet/skadlig kod finns. I dessa fall kan det ibland vara svårt att få bort det skadliga, ofta behöver man då radera hela webbplatsen och alla filer. Därefter installera en fräsch uppdaterad verison av wordpressverktyget. Sedan kan du ladda upp backupfilen eller lägga till tema, plugin och innehåll.

Du kan också lägga till och testa din sajt via Google Webmaster Tool Search Console.

4. Scanna din dator!

Oftast handlar det om att just hacka din webbplats och synligen göra om den, ibland kan det dock vara andra syften. Det finns också virus som ligger dolda i plugins, videos mm som har för avsikt att göra din eller besökarnas dator öpnna för intrång. Därför behöver du scanna din dator så fort du fått en attack. Använd ditt virusprogram eller en online tjänst. Housecall från TrendMicro är en bra sådan tjänst

5. Hackad med oönskade länkar?

Det finns något som heter Black Hat SEO – förenklat är det t.ex. när en hacker installerar gömda länkar som går till sin egen webbplats. Dessa dyker oftast upp genom att du eller någon googlar på ditt företag och på googles söksida syns plötsligt referenser till dessa oönskade sidor. Detta gör hackare eftersom google rankar som är länkade till från många andra webbplatser oftast kommer högre upp på söksidan. Dvs genom att de skapar gömda hackade länkar på din sida – visas den sida som de länka till högre på googles sida.

För att komma åt detta måste man hitta länkarna som finns dolda i källkoden och ta bort dem. Du behöver kunna editera koden på dina webbsidor för att ta bort dessa länkar. Använd Google sök för att hitta på vilka sidor som länkarna finns gömda. Ladda hem php sidan via ftp och editera, ta bort länkarna och ladda upp sidan igen.

6. Mer information

Förhoppningsvis räcker det ovanstående punkterna och din webb är återskapad. För mer information rekommenderar vi den officiella WordPress.org sidan (på engelska)

My site was hacked: http://codex.wordpress.org/FAQ_My_site_was_hacked

Du kan alltid kontakta oss för råd och information eller läs inlägget ”Säkra din wordpress”
Kontakta oss.

Säkra din WordPress!

Ingen vill ju hacka min webb – jag har så få besökare…

Ja det kan man ju tro – att hackers bara attackerar stora välkända, välbesökta webbplatser. Tyvärr är det inte all så. Hackare finns i alla sorter – de som är ökända och vill bli mer ökända genom att hacka välskyddade webbar. Sen de som jobbar sig uppåt och kanske vill bli kända eller de som bara vill hacka så många webbplatser som möjligt. Många av dessa använder speciella sökrobotar som letar efter säkerhetshål – på vilken webb som helst – dvs även små okända men som är lätta att hacka.

Så tyvärr går ingen säker. Ställ dig därför frågan – vad händer om min webb blir hackad – hur får jag den tillbaka?

1. Backup – det måste du ha!

UpdraftPlus – Backup/Restore: http://wordpress.org/plugins/updraftplus/
Myrepono – backup, keep, restore: http://wordpress.org/plugins/myrepono-wordpress-backup-plugin/

2. Ett uppdaterat wordpressverktyg

Vi får ofta frågan måste man alltid uppdatera – min webbplats fungerar ju? Och visst är det så. Många webbplatser med äldre versioner av wordpress fungerar men bakomkulisserna kan det vara rena prästosten – dvs fullt av hål. Dessa ”hål” är egentligen inte hål utan svagheter i programkoden som gör att hackers kan ta sig in via just den koden och komma åt att administrera din webb. Lite slarvigt kan vi säga att ju äldre wordpress version desto fler hål eftersom äldre versioner funnits längre på nätet har hackers ofta hittat fler och fler hål. Genom att uppdatera stänger du dessa hål eftersom de i nya versioner av wordpressverktyget alltid har tagits bort. (Not. för att uppdatera behöver du göra allt i en speciell ordning läs mer här)

3. Ett uppdaterat tema.

Inte bara wordpressverktyget har säkerhetshål. Det samma gäller alla teman de är också programmerade och kan ha säkerhetshål som hackers kan använda för att komma åt din webb och administratörsrättigheterna. Därför behöver du även uppdatera ditt tema. De flesta mer välkända teman och teman du betalar för uppdateras regelbundet antingen för att wordpressverktyget har uppdaterats eller för att nya funktioner till temat läggs till. Samtidigt brukar de även täppa till eventuella säkerhetshål. Generellt gäller att varje gång wordpress uppdaterats bör du kontrollera om temat också kan uppdateras. (Not. för att uppdatera behöver du göra allt i en speciell ordning läs mer här)

4. Uppdatera Plugins/Tillägg

Och ja tyvärr – det som gäller under punkt 2 och 3 gäller även för Plugins. De kan ha säkerhetshål, de bör alltid vara uppdaterade och de behöver ofta uppdateras efter uppdatering av wordpress. Det som är lite svårt med tillägg är att de kanske inte år att uppdatera – de händer att skapare av plugins slutar att uppdatera dem och då kan du behöva hitta ett nytt plugin som ersättning. (Not. för att uppdatera behöver du göra allt i en speciell ordning läs mer här)

5. Skapa en säker inloggning

Använd inte admin som användarnamn. Detta är det användarnamn som wordpress har som förvalt vid installation dvs – ett namn alla hackers kan. Använd helst både stora och små bokstäver samt siffror. Om du redan har ”admin” som användarnamn se först till att säkra lösenordet. Använd även här stora och små bokstäver samt siffror. Du kan också skapa en ny användare med ett bättre användarnamn och lösenord. Se till att du får administrationsrättigheter på den nya användaren. Prova att logga in som den nya användare och se att allt fungerar. Sedan kan du radera användaren ”admin”

6. Installera olika säkerhetsplugins.

Då detta med hackare är ett problem alla wordpress webbar har finns det också en hel del säkerhetsplugins att använda sig av nedan 2 av flera olika. Men observera det räcker inte med att bara installera ett plugin nedan. Du behöver fortfarande säkra din webb enligt p. 1-5.

Wordfence ett komplext säkerhetsplugin http://wordpress.org/plugins/wordfence/
Bulletproof Security – säkerhet och backup http://wordpress.org/plugins/bulletproof-security/

Verktyg för att göra SEO – sökoptimering

WEB CEO är ett online verktyg för att både lära sig och sköta sin webbsites SEO – sökoptimering. Det finns en gratisversion för max 1 användare och 2 webbplatser.

Gratis – introduktion WordPress våren 2014

Välkommen på en gratis introduktion i WordPress.
Lokal: Hotspot, Farsta, Stockholm

20 februari
18 mars
23 april

Start kl 18.00 och c.a 1.5 timme.

[button color=”#336666″ link=”http://annasbyra.se/wpx/aktuella-kurser-seminarier/” text=”#ffffff” target=”_blank” ]Läs mer på AnnAs Byrå[/button]

Nu har vi lanserat uppdaterawordpress.se

Lär dig mer om Internet

IIS är stiftelsen för internetinfrastruktur ansvarar för den svenska toppdomänen och främjar utvecklingen av internet. På deras hemsida Punkt se finns en bra samling Internetguider som du kan ladda ned gratis.

Bland annat finns dessa bra guider:

Skapa en webbplats med WordPress
Skriva för webben
Skydda ditt företag mot bedragare