Nytt fra WP Hosting

Den 25. mai må alle bedrifter innenfor EU og EØS følge EUs direktiv under navnet General Data Protection Regulation (GDPR). Vi får stadige spørsmål både om WordPress og WooCommerce i forbindelse med dette, og hvorvidt WP Hosting følger GDPR.

Begreper i GDPR

I GDPR defineres to begreper:

  1. Behandlingsansvarlig, som er deg som kunde
  2. Databehandller, som er WP Hosting som ivaretar deres data

WordPress, WooCommerce og GDPR

Når det gjelder WordPress og WooCommerce, så er dette datasystemer som i seg selv hverken strider mot eller følger GDPR. Det er hvordan du bruker disse systemene som avgjør om du oppfyller GDPR. Hver enkelt bedrift må gå gjennom sin behandling av personopplysninger og gjøre en vurdering.

WooCommerce har laget en egen veiledning om hvordan du kan bruke WooCommerce uten å bryte GDPR.

WP Hosting og GDPR

Vi har jobbet over lengre tid med å sikre at WP Hosting følger GDPR og  den norske personopplysningsloven, og mener nå at vi oppfyller alle kravene som stilles. I arbeidet med GDPR har vi kvalitetssikret og justert følgende områder:

  • Drift- og databehandleravtaler mellom oss og kundene
  • Våre rutiner med tilhørende dokumentasjon
  • Våre datasystemer med tilhørende dokumentasjon

Ettersom vi over lang tid har levert IT tjenester til krevende kunder med høye krav til datasikkerhet, så var det ikke mye vi måtte endre. Arbeidet lå mest i å sette seg inn i alt som kreves av GDPR og se dette opp mot vårt arbeid med WordPress og WooCommerce.

Vi har nå kommet så langt at vi mener vi oppfyller de krav som stilles.

Det er verdt å ta en titt på vår oppdaterte driftsavtale som har fått inn alle formuleringer som kreves.

Se: Oppdatert driftsavtale som oppfyller GDPR og WordPress hosting.

Du kan virkelig gå i dybden av GDPR på EU sin egen GDPR-portal.
Enklere er det å forholde seg til Datatilsynets veileder om GDPR.

vi tetter wordpress sikkerhetshull
Vi tetter hull!

Vi følger hele tiden med på publisering av sikkerhetshull, og patcher alle kunder som har de rammede utvidelsene og malene.

Dessverre blir sikkerhet bare mer og mer viktig, og WordPress er et ettertraktet angrepsmål på grunn av sin enorme utbredelse.

Men styrken til WordPress er at det er et stort miljø, og mange som hjelper hverandre. Hullene bli varslet og tettet svært fort, men det gjelder å følge med og holde WordPress oppdatert.

Dokumentere tetting av sikkerhetshull

Nå skal vi også begynne å dokumentere og publisere arbeidet vi gjør her på hjemmesiden. Dette gjør vi av 3 grunner:

  1. Dersom noen vet om et sikkerhetshull vi ikke har fått med oss kan de varsle oss om det: support@wp-hosting.no
  2. Også de som ikke er kunder hos oss kan følge med på vår publisering, og patche sine egne sites.
  3. Våre kunder skal kunne se hvilken nyttig jobb vi gjør for dem hver eneste dag.

I snitt patcher vi en håndfull sikkerhetshull hver uke. I løpet av år blir dette mange hundre. Og dette er en av hovedgrunnene til at vi tør å levere alle våre kunder en hacker-garanti.

Ønsker du å følge med på vårt arbeid med å tette WordPress sikkerhetshull kan du enten se på denne siden https://www.wp-hosting.no/blog/wordpress-sikkerhetshull/ eller abonnere via RSS her: https://www.wp-hosting.no/blog/wordpress-sikkerhetshull/feed

WordPress Web Firewall

I tillegg til å patche alle kundene våre har vi også vår egen firewall med regler som daglig oppdateres fra et sentralt lager. Disse reglene inneholder ikke bare regler spesifikt for WordPress, men også regler for generelle angrep som gjøres mot alle nettsteder uavhengig av om de er WordPress, Drupal, EpiServer eller hva det måtte være.

Ingen plattform er fri for sikkerhetshull dessverre. Men gjennom å aktivt patche hele tiden, er man langt sikrere enn om man kjører på en ikke oppdatert programvare over tid.

Vi gjør nå reboot av alle våre maskiner i forbindelse med tetting av sikkerhetshullene Meltdown og Spectre.

Det vil kunne oppleves nedetid på inntil 5 minutter. Databasene deres ligger på andre servere, så data vil ikke gå tapt.

Disse to sikkerhetshullene er svært alvorlige og rammer alle som bruker en prosessor fra Intel.

Les mer informasjon om sikkerhetshullet her:
https://meltdownattack.com/
https://www.digi.no/
http://www.zdnet.com/
http://money.cnn.com/

Uheldigvis er maskinvaren vår infrastruktur kjører på påvirket av disse sikkerhetshullene, men blir tettet nå i dag.

Det er viktig å vite at dette rammer også vanlige datamaskiner, så vi råder alle til å oppdatere Windows og OSX.

 

per-andre-wilhelmsen
Nyansatt: Per Andre

Nå er det lenge siden noe har blitt skrevet på bloggen vår.

Årsaken er ikke at ingenting har skjedd, men heller at blogging nok ikke er det som ligger oss nærmest på hjertet. Det er lettere å skrive en linje korrekt kode, enn en velformulert setning på norsk!

Per Andre er ansatt

Men mye har altså skjedd siden januar. Vi har lenge søkt etter et skarpt hode som kan skli rett inn på laget, og styrke oss. Etter flere år leting fant vi endelig mannen vi har jaktet på i Per Andre Wilhelmsen.

Han kommer fra Kristiansund, men er bosatt på Flisa i Hedmark. Han har senior kompetanse innen drift med en veldig bred bakgrunn. Han kan WordPress og Linux og alt annet som vi elsker å drive med.

Per Andre startet hos oss 1. august, og vi kan trygt slå fast at han allerede har styrket oss vesentlig.

kontorer-pa-hamar
Andre etasje, Torggata 32 på Hamar

Kontor på Hamar

Ettersom han bor på Flisa og Pål Martin (jeg!) bor på Hamar så har vi nå også etablert et kontor sentralt i Hamar sentrum. I tillegg til kontorene våre i Oslo.

Hamar er i kraftig vekst og har et veldig stort IT-miljø med både etablerte bedrifter som Evry og Norsk Tipping, og spreke ungdommer som i Hamar Game Collective.

Med så mange teknologer rundt oss, tenker vi at Hamar vil være en god base for WP Hosting.

 

Hentet fra Google sin side

Google har lenge signalisert at de ønsker at hele nettet skal over på HTTPS, og har også gjort en rekke tiltak for å fremskynde prosessen. Blant annet har de bidratt med protokollen SPDY som kan hjelpe til med å øke hastigheten på nettsteder som bruker HTTPS. (Les om SPDY i Wikipedia)

Google har også varslet at på ett eller annet tidspunkt vil de markere alle nettsteder som ikke bruker HTTPS som usikre. Dette er temmelig kontroversielt ettersom det vil påføre mange mindre nettsteder enda en kostnad.

Men Google gir seg ikke, og det siste nå er at fra slutten av januar 2017 vil det bli endringer i Chrome. Fra da vil alle nettsteder som tar håndterer passord og kredittkort og ikke har HTTPS bli markert som usikre. (Les hva Google sier selv)

Dette er er for eksempel veldig viktig for alle nettbutikker! En nettbutikk som markeres som usikker vil risikere å miste mye omsetning.

Husk gratis HTTPS fra WP Hosting

Vi tilbyr alle våre kunder gratis HTTPS fra Let’s Encrypt (Mer på Let’s Encrypt sine sider). Dersom du har behov for dette og fortsatt ikke har fått dette aktivert, så ta kontakt.

Denne løsningen er nå gjennomtestet og har vært i drift i over 6 måneder. Vi bruker den også selv og har ikke opplevd problemer med den en eneste gang.

dirty-cowVed jevne mellomrom oppdages særdeles alvorlige sikkerhetshull som kan utnyttes av datakriminelle.

Siste skudd på stammen kalles «Diry Cow», og gjør det mulig for en angriper å utføre handlinger på målmaskinen som han egentlig ikke har tillatelse til (Wikipedia: privilege escalation). Hva en angriper kan finne på å gjøre om han får full tilgang har jeg skrevet om i dette blogginnlegget tidligere.

Du kan lese mer om dette sikkerhetshullet i disse artiklene:

DigiNi år gammel Linux-sårbarhet kan være under angrep – Særlig webhoteller er i faresonen.
ZDNet: The Dirty Cow Linux bug: A silly name for a serious problem.

Denne feilen har eksistert i Linux-kjernen i hele 9 år, men ble publisert først i forrige uke.

Vi tettet alle våre systemer innen 24 timer etter at feilen ble rapportert og en løsning lagt ut.

digi-logoDigi.no har skrevet om vår løsning for https til WordPress.

Les om WP Hosting i Digi.no her.

Kort oppsummert så leverer vi nå gratis SSL sertifikater fra Let’s Encrypt til alle våre kunder. Vi oppretter sertifikatet som brukes til krypteringen, og sørger for at det fornyes. Vi klargjør også hjemmesiden til å bruke https i stedet for ukryptert http.

Om Digi.no i Wikipedia:
«digi.no er en norsk nettavis med fokus på informasjons- og kommunikasjonsteknologi. Den opprinnelige målgruppen var IT-bransjen, samt profesjonelle IT-brukere. digi.no var en av de første nettavisene da den ble lansert 26. august 1996»

Let’s Encrypt er en gratis tjeneste for SSL som støttes av blant andre Facebook, Hewlet Packard og Mozilla. Deres mål er at absolutt all trafikk på internett skal være kryptert (bruke https).
Se deres hjemmeside eller les på Wikipedia.

 

 

letsencrypt-logo-horizontalKryptering av internett-trafikk er i vinden. Nettbutikker har lenge brukt HTTPS for å beskytte sine kunder mot tyvlytting, men overvåking og den generelle sikkerhetstrusselen har gjort at fler og fler flytter over til HTTPS selv om de ikke håndterer sensitive data.

Store aktører som Google og Mozilla presser også på for at hele internett skal flytte over til kryptert trafikk. Blant annet kan man miste rangering i søkemotorene og sidene bli merket som usikre om man ikke krypterer.

Men for et mindre nettsted har det lenge vært svært dyrt å skaffe seg et sertifikat. Minimum 1000,- per år har vært vanlig kostnad for et sertifikat. I tillegg har SSL gjort caching av sider vanskeligere fordi cache-programvare slik som Varnish ikke kan inspisere krypterte sider, og derfor ikke avgjøre om de kan caches.

Begge disse to problemene har vi nå løst for våre kunder.

SSL terminering i brannmur

Den første brikken fikk vi på plass i fjor høst da vi fikk installert en web firewall foran våre cache-servere. Denne bruker vi til både å filtrere trafikk basert på regler i en brannmur, og til å terminere SSL. Med dette på plass kan Varnish fungere som normalt.

Gratis sertfikater fra Let’s Encrypt

Så hva med kostnaded til SSL sertifikater? Jo, vi har lenge fulgt med på Let’s Encrypt. Dette er et initiativ som har jobbet for å lage  gratis sertifikater til alle som ønsker. Når Let’s Encrypt nå omsider kom ut av Beta den 12. april i år, så bestemte vi oss for å satse skikkelig på dette.

Let’s Encrypt lar deg opprette SSL sertifikater gratis med en svært kort varighet. Sertfikatene må fornyes hver 90. dag mot normale sertifikater som varer i minst 12 måneder. Sertifikatene inneholder heller ikke organisasjonens navn. Men sertfikatene sørger for det aller vikigste: All trafikk blir kryptert.

Nå har vi utviklet en løsning hvor vi enkelt kan opprette og fornye SSL sertifikater for alle våre kunder fra Let’s Encrypt. Ettersom all fornying er automatisk må vi bare gjøre en liten jobb ved opprettelsen av sertifikatet. Vi sørger også for at ditt WordPress nettsted er klart for å ta imot kryptert trafikk.

For mere info om Let’s Enrypt: https://letsencrypt.org/

Det er med stor glede vi nå kan tilby gratis HTTPS til alle kunder!

Er det fortsatt noen vits i å kjøpe et ‘dyrt’ sertifikat eller å fornye det du allerede har kjøpt?
Ja, med et slikt sertifikat får du mer enn bare kryptering; sertifikatutstederen vil
også da garantere for at du er den du sier du er og dette vil vises som en del av sertifikatet. Hvis dette er viktig for deg så er et tradisjonelt sertifikat bedre.

WooCommerce er verdens mest brukte e-handelsløsning
WooCommerce Dolphin

Flere sider som måler markedsandeler for e-handelsløsninger viser nå at WooCommerce har passert Magento som verdens mest brukte e-handelsesløsning.

Et godt eksempel er denne siden: http://trends.builtwith.com/shop som måler markedsandeler for e-handelsløsinnger innenfor 4 ulike segmenter avhengig av hvor mye trafikk de har.

Her kan vi se at WooCommerce vokser innen alle segmenter og viser at blant de million største nettstedene er det WooCommerce som har aller størst markedandel med hele 19% av alle nettbutikker på internett.

Det er også veldig interessant at WooCommerce brukes som nettbutikk av 8% av de 10.000 største nettbutikkene i verden og er på delt 4. plass. WooCommerce er med andre ord klar til bruk i større og større sammenhenger.

Også andre melder at WooCommerce nå er verdens mest brukte e-handelsløsning. Slik som WPLab på denne siden: https://www.wplab.com/. Her er tallene mye jevnere enn i den første undersøkelsen.

Det mest sikre er med andre ord at ingen kan vite eksakt markedsandel, men trenden er klar: WooCommerce vokser innen alle segmenter. Og alle undersøkelser viser at WooCommerce nå er størst ihvertfall i antall installasjoner.

Nytt produkt: Kom igang med en enkel nettbutikk til fast lavpris! Kun 17.900,-

Våre erfaringer med WooCommerce som nettbutikk

Vi har tidligere skrevet en artikkel om noen av våre erfaringer med WooCommerce. Les gjerne mer om WooCommerce som nettbutikk her. Det meste på denne siden er fortsatt relevant, men vi har selvsagt også lært nye ting i løpet av det siste året. Og WooCommerce har kommet i ny versjon.

Vi liker flere ting med den nye versjonen, og særlig at de har fokusert på ytelse. Ytelse er en utfordring for alle nettbutikk-løsninger ettersom det er vanskelig å få fullt utbytte av caching når man er avhengig av å skreddersy deler av sidene slik som handlekurv.

En annen stor forbedring er at de har endret flyten i handlekurven. Dette bør bidre til å øke konverteringene i nettbutikker som bruker WooCommerce.

WooCommerce modner! Og det liker vi veldig godt.

 

Vi har nå forbedret vårt forsvar mot angrep med å sette opp en dedikert Web Firewall foran våre tjenester. Tidligere hadde vi lignende tiltak på hver enkelt server, men nå samler vi alt på ett enkelt punkt hvor vi tvinger all trafikken gjennom. Slik lager vi bedre WordPress sikkerhet for våre kunder.

Hva er en Web Firewall?

WordPress sikkerhet med web firewall
WordPress sikkerhet med brannmur

Kort fortalt: En web firewall er en brannmur som beskytter en web-server.

Se gjerne definisjon hos OWASP eller Wikipedia.

Hvordan gir den bedre WordPress sikkerhet?

Vi følger kontinuerlig med på publiserte sikkerhetshull og kjente angrepsmetoder mot WordPress. I vår web firewall kan vi så følge med på og sperre mot kjente angrep, samt oppdage mistenkelig trafikk vi vil følge mere med på. Vi har skreddersydd regelsettet på vår WAF slik at det er tilpasset WordPress og vi jobber jevnt og trutt med å holde den oppdatert mot nye angrep.

Hva betyr dette for deg som kunde?

Nye kunder – alle nye kunder blir automatisk satt opp med trafikk gjennom vår brannmur

Gamle kunder med DNS hos WP Hosting – Vi vil gradvis endre DNS for dere slik at trafikken går gjennom brannmuren

Gamle kunder med DNS (domene) hos en annen leverandør – Dere må nå endre DNS for å få bedre WordPress sikkerhet. De innstillingene dere har nå vil fungere fortsatt en tid, men vil til slutt ikke fungere. Dersom du vil kan du allerede nå endre DNS slik som under, eller du kan vente til du mottar en epost fra oss.

Ny DNS informasjon

For nettsteder med ukrypter trafikk (HTTP):

[dittdomene] | a-record | 52.19.222.136
www.[dittdomene] | c-name | waf.wp-hosting.no

For nettsteder med kryptert trafikk (HTTPS):

[dittdomene] | a-record | 52.19.188.14
www.[dittdomene] | c-name | swaf.wp-hosting.no

Spørsmål om WordPress sikkerhet?

Ta gjerne kontakt med oss dersom du har spørsmål omkring WordPress sikkerhet. Vi jobber med dette hver dag og har god oversikt over styrker og svakehet med plattformen.