Hvordan beskytter du din WordPress-blog?

Posted on 26. September, 2011 by Lars
WordPress er verdens mest populære CMS i brug på internettet [1], og personligt har jeg også en lille række af sites der kører WordPress. Tilbage i 2007-2008 blev en hel del sårbarheder opdaget, vendt, drejet og lappet, og siden da, har grundsystemet været rimeligt. Men med populariteten følger også et enormt antal af moduler, som ikke alle er sikkerhedstestede lige godt. Som en del af mit job, følger jeg dagligt med i hvad der opdages af sårbarheder, og hvad der bygges af exploits til at udnytte sårbarhederne med. Den sidste måned, er der kommet 60 exploits til moduler i WordPress. Det er 2 om dagen, og det er et enormt højt tal.

Så udover at følge med i, hvilke moduler der opdages sårbarheder i, har jeg følt det nødvendigt, at finde muligheder for at sikre mine sites, uden selv at skulle holde øje med opdateringer i tide og utide. Jeg har kravlet bjerget af plugins til WordPress igennem, i forsøg på at komme rundt i de fleste aspekter af sikkerhed.

Her er hvad jeg har fundet anvendeligt, og pt. benytter:

  • Secure WordPress [2]: En all-round-forhøjning af sikkerheden på sitet. Det blokerer underlige forespørgsler, fjerner informationer om versionsnumre og detaljerede fejlbeskeder, der typisk gør det nemmere for hackere at finde informationer om hvilke exploits der er brugbare.
  • Mute Screamer [3]: En implementation af PHP-IDS, et Intrusion Detection System til PHP-applikationer. Mute Screamer inspicerer de forespørgsler brugerne, og angriberne, sender til WordPress. Det er nemt at skrue på forskellige tærskelværdier, for f.eks. hvor meget der skal til for at sende en angriber til en fejlside, eller direkte på en blacklist. Det er også til at få tilsendt emails ved forsøg på angreb.
  • Akismet [4]: Et meget kendt modul, der tjekker alle kommentarer for spam. Det er ikke direkte beskyttende mod hacking, men det er effektivt til at forhindre at der ender en masse spam på dit site. Hvis en angriber ser et site fyldt med spam i kommentarerne, virker det oplagt at sitet måske er mindre vedligeholdt, og dermed mere sårbart overfor alvorligere angreb.
  • Update Notifier [5]: Tjekker dagligt alle dine installerede moduler (og eventuelt temaer) for opdateringer, og sender dig en email, hvis der er opdateringer du endnu ikke har installeret. Det er en nem måde at vedligeholde WordPress på, uden selv aktivt at skulle holde øje hele tiden.
  • WordPress Database Backup [6]: dækker det backup-mæssige aspekt af sikkerheden. De flade filer i WordPress laver jeg backup af via FTP. Men databasen synes jeg det var lidt mere bøvlet at få jævnlig backup af. Da det typisk er databasen der ryger, ved et SQL Injection angreb, er det vigtigt at tage backup af denne. WordPress Database Backup kan indstilles til f.eks. at sende en databasebackup afsted pr email, hver uge.

Herudover bruger jeg en række andre plugins til bl.a. kontaktform, Search Engine Optimization, automatiske Google-oversættelser, caching og XML-sitemaps. Men de har væsenligt mindre med sikkerhed at gøre.

Hvad gør du for at beskytte din WordPress?

Har du andre gode WordPress-moduler, eller har du gode tips til at sikre WordPress-serveren andre steder? – F.eks. et IDS/IPS til databasen eller lignende.

 

 

Posted in Security, Server generelt | 4 Comments

Anbefaling af antivirus til Mac OSX

Posted on 28. June, 2011 by Lars

Jeg fik et spørgsmål vedrørende anbefaling af antivirus til Mac OSX, og her er mit uddybende svar.

>> -----Original Message-----
>> From: Preben
>> Sent: 28. juni 2011 13:16
>> To: Bjørn
>> Subject: sikkerhed.
>>
>> Hej Bjørn jeg har en MacBookPro købt april 2011, og vil gerne sikres
>> bedst muligt mod virus. hvis det kræver betaling,skal det foregå
>> gennem PBS
>> eller giro. hvad vil du anbefale ? venlig hilsen Preben.
>
> Hej Lars,
>
> Har fået nedenstående forespørgsel. Kan du hjælpe med en
> "standard-anbefaling" af antivirus til Mac? Som du kan se skal det
> helst være af den gratis slags.
>
> Bedste hilsner
> Bjørn

Hej Bjørn

Jeg plejer at sige at folk endnu ikke behøver antivirusprogrammer til Mac.

Version2 foreslår ClamXav, Symantec eller intet, Apple selv har et par stykker listet. Hvis det endelig skal være, vil jeg vælge ClamXav, fordi det udover at være gratis, også er frit for reklamer m.v.
Selv som ivrig Mac-bruger, og hyppig gæst på de skumleste afkroge af nettet, er det ikke lykkedes mig at blive inficeret med noget endnu.

Hvis jeg derimod skal anbefale gode sikkerhedstips og -programmer til Mac, kan jeg anbefale applikationsfirewallen Little Snitch. Den sørger for at kun programmer du vælger, får lov at skabe netværkstrafik. Udover at kunne beskytte mod ondsindet software, giver den også brugeren et godt billede af hvad der egentlig kører under overfladen, som forsøger at få netadgang.

Af tips kan jeg anbefale at slå den indbyggede firewall til, samt at slå diskkrytering til, således at fortrolig data ikke ryger i forkerte hænder, hvis maskinen bliver stjålet. Til sidst kan jeg anbefale at bruge det indbyggede TimeMachine-værktøj til backup.

Det bedste tip er nu at holde programmerne opdateret. Installer opdateringerne når OSX kommer og siger de findes, og sørg for at opdatere Java, Flash og Adobe Reader, så snart de fortæller at der er tilgængelige opdateringer.

Så har vi vist også været rundt om de fleste aspekter af sikkerhed, uden at gøre et stort nummer ud af antivirus.

Posted in Open Source, Security | 4 Comments

Meld det til politiet, hvis du bliver udsat for hacking

Posted on 9. January, 2011 by Lars

Her er min korrespondance med Diana, der havde fået hacket sin email-konto og Facebook-konto.

Hvis du har en god mistanke om hvem der har hacket dig, kan du måske undgå at give arbejde til politiet, ved selv at tale med personen om det.

hej lars,
Min facebookkonto og mailkonto er blevet hacket af en eller anden person. Og jeg tror godt jeg ved hvem det er. (Er næsten sikker på ..) Nu kan jeg hveken komme ind på min facebook eller mail. Håber virkelig meget på du kan hjælpe mig? Eller kan man ikke melde det til politiet? Kan de hjælpe mig med det?

Med venlig hilsen Diana

Hej Diana

Jeg kan ikke give dig din mail- og Facebook-konto tilbage.
Hvis personen der har overtaget dine konti ikke er super IT-kyndig, har vedkommende efterladt en del sikre spor (IP-adresser), og du har dermed en god sag hos politiet.

Du kan starte med at konfrontere personen du mistænker, hvis du føler dig tilstrækkelig sikker. Fortælle vedkommende at det er ulovligt, og kan straffes med fængsel i op til 4 år, samt at du går til politiet hvis vedkommende ikke giver dig adgangen tilbage, sammen med en stor undskyldning.

Og ellers er det bare at ringe til den lokale politistation..

I fremtiden skal du huske at bruge forskellige adgangskoder til forskellige steder.
Det er i orden ikke at have en ny kode til hvert enkelt sted, men du bør have et par “niveauer” af koder.
F.eks. en kode til tilfældige forums og småsites på nettet, en bedre kode til netbank og NemID, og en endnu bedre kode til din email, da den kan misbruges til alt for meget, hvis den overlades til de forkerte.

Til slut vil jeg lige høre dig, om jeg må bruge dit spørgsmål på min blog? – Eventuelt fjerne dit navn, og vente en måned eller to med at publisere det?

Giv gerne lyd fra dig, hvis sagen udvikler sig, eller du har brug for yderligere hjælp :-)

MVH Lars Sommer, lasg@lasg.dk

hej Lars,

tusind tak for dit hjælp… jeg havde nemlig hørt at politiet vil ikke hjælpe hvis ens email eller facebook konto bliver hacket af nogen… men jeg prøver at melde ham alligevel… håber de vil hjælpe mig med at få dem tilbage igen… jah du må meget gerne bruge mit spørgsmål på din blog.

Med venlig hilsen diana

Posted in Uncategorized | 1 Comment

Julehilsen fra Lars

Posted on 23. December, 2010 by Lars

“So, this is Christmas. And what have you done?” spørger John Lennon i radioen i disse dage.
Året er ved at være omme, og hvad har du gjort siden sidste jul?
Hvad har du oplevet, og hvad har du opnået i 2010?

For mit vedkommende gik hele januar til og med juni med specialeskrivning.
Jeg lavede “lang afgang” på Aalborg Universitet, hvilket vil sige at både 9. og 10. semester gik med samme specialeprojekt.
Det er ialt 10 måneder, og det er lang tid på samme projekt. Stod jeg med valget i dag, var det nok blevet splittet op til to projekter.
Men ikke desto mindre gik det helt udemærket, og d.14. juni stod jeg som civilingeniør med speciale i netværk og IT-sikkerhed.
- Og som arbejdsløs, og bonustitel.

Det betød tvangsindlæggelse i dagpengeland, og det var et interessant bekendskab.
Mod slutningen af august var jeg på vej mod noget jobsøgningskursus, og blev reddet af en Facebookbesked; “Kender du en udvikler med flair for sikkerhed, der vil en tur til Malta?”

Jeg er ikke den store programmør, men med fokus på systemdesign og -arkitektur og en masse sikkerhed, var jeg frisk på jobbet med det samme.
Det blev arrangeret som en projektansættelse på 4 måneder, og det har været 4 strålende og spændende måneder i varmen på Malta.

Udover at få arbejdet med webprogrammering og linuxservere, fik jeg fin erfaring med sikkerhedsstandarderne ISO27000 og PCI-DSS.
Det var super spændende, men de fire måneder var en fin tidsramme til det.
Jeg er for afhængig af Danmark og alle mine gode bekendte her hjemme, til at bo i udlandet i længere tid.

Arbejdet på Malta blev afbrudt af en 12 dages rejse til USA i september.
Det var en meget stor oplevelse for mig, da jeg ikke havde været i USA før.
Vi var primært i Las Vegas, men med ture til bl.a. Grand Canyon, Bryce Canyon og Hoover Dam.
Det er et fantastisk land, som jeg bestemt ikke har besøgt for sidste gang.
Jeg hjembragte da også en iPad som legetøj, hvilket denne julehilsen er skrevet på (det er undskyldningen for eventuelle tastefejl).

Sidst på året blev jeg på opfordring valgt ind i redaktionsudvalget i Prosa.
Jeg er bestemt ikke fagforeningsmenneske rent politisk, men jeg synes Prosa byder på så meget andet spændende, at jeg bestemt gerne støtter arbejdet deri.
- Ja rent politisk tog jeg mig sammen og blev almindeligt medlem i Liberal Alliance tidligere på året.
Jeg blander mig efterhånden i en del foreninger, men så længe det er spændende og så længe jeg har overskud til det bliver jeg nok ved med det.

Nu står vi alle på tærsklen til et nyt år, og hjemme hos os står vi også på en anden tærskel eller to.
Henriette er kommet flot gennem grundforløbet som mediegrafiker, og leder nu med lys og lygte efter elevplads, for ikke at ende i skolepraktikken.
Om det lykkes eller ej, må tiden vise, men hun har dog indtil marts måned til at finde een.

Jeg selv står som arbejdsløs igen, og skal ligeledes igang med søgningen.
Vi søger begge primært beskæftigelse på Sjælland – ja nærmere Storkøbenhavn, ydre Vestegn og Roskildeegnen.
Så det bliver spændende at se hvor vi havner, om vi står overfor flytning igen, eller hvordan det arter sig.
Du må endelig sige til, hvis du kender nogen, der lige mangler en ingeniør, en systemadministrator, en unix-mand eller en sikkerheds-fyr.

Vi går i hvert fald fremtiden i møde med oprejst pande og åbne arme, og glæder os til hvad der end måtte være i vente.

Men i første omgang holder vi et par stille juledage med familiehygge og alt dertil hørende.

Jeg ønsker du får nogle rgtig hyggelige juledage med alle dine nære, og ønsker især at du får et super spændende og givende 2011.

Jeg håber vor veje krydses igen i løbet af 2011 .-)

Posted in Livets gang | Leave a comment

Hvad gør man når hotmail-kontoen er hacket?

Posted on 27. January, 2010 by Lars

Jeg blev kontaktet af en bekendt via Facebook, som spurgte til lidt gode råd efter noget malware eller en spamrobot havde haft fingre i hendes mailkonto.

Hendes spørgsmål og mit svar er generelle nok til det kan hjælpe andre, og den sidste lille krølle på historien er sød.

- – - – - -

Hej lars.

Jeg har et lille problem med min hotmail… den bliver ved med at sende de her engelske spam mails til alle i min kontaktbog. anja anbefalede at jeg ændrede mit password for det virkede for dennis, men er der andet jeg kan gøre for at “rense” min mail?

mvh pernille

- – - – - -

Hejsa

Det bør være nok at ændre adgangskode ja.
Hvis du har brugt den samme kode andre steder, skal den naturligvis også ændres der.Din adgangskode er jo blevet opfanget af noget ondsindet, på en eller anden måde, så du bør overveje:

Hvis du har haft en svag kode (kun små bogstaver, under 8 tegn eller lign), har den været nem at gætte, og så skal du huske at ændre den til noget mere avanceret.

Hvis du bruger den samme adgangskode mange steder på internettet, bør du finde på et par forskellige adgangskoder, og kun bruge dem et par steder hver.
Til vigtige ting som email og netbank bør du bruge en kode du ikke bruger andre steder.

Og husk at holde dit anti-virus-program opdateret dagligt. Ellers er det super nemt at komme til at klikke på noget uheldigt og få en virus ind. (og de kan eksempelvis ligge og lure på hvad du taster på tastaturet, inkl. adgangskoder).

Og spørg bare løs hvis det lød for kryptisk, eller I har andre lignende problemer eller spørgsmål :)

VH Lars

- – - – - -

Tak skal du have…

men jeg ved faktisk ikke helt hvad og hvordan mit antivirus program virker…

jeg har mac…er det noget jeg bør tænke mere over??

- – - – - -

Jeg havde glemt du er på Mac.

Så er livet meget lettere for dig.  Der er ingen funktionelle vira af betydning til endnu. :)

Men husk de andre ting med at ændre koden andre steder også, hvis du har haft brugt den samme osv… :)

Posted in Livets gang, Open Source, Security | 12 Comments