Nytt fra WP Hosting

Vi har i natt lansert vår nyutviklede brannmur. Den er bygget opp for maksimal oppetid gjennom å være et high-availability (Wikipedia) cluster.

Det hele fungerer gjennom at all trafikken fordeles mellom mange maskiner, og dersom en går ned, så tar de andre over trafikken.

AWS teknologi vi har brukt

Vi har brukt 3 viktige tjenester for å oppnå dette:

– High Availability lastbalansering sørger for at alle trafikken sendes videre (https://aws.amazon.com/elasticloadbalancing/)

– Brannmur-noder som tar imot all trafikken er implementer med mod_sec og ubuntu (https://aws.amazon.com/ec2/)

– High Availabilty fil-tjeneste hvor nodene deler konfigurasjon og SSL sertifikater (https://aws.amazon.com/efs/)

Brannmuren er tilpasset WordPress

Brannmuren er bygget med standard Linux-verktøy som iptables og mod_sec. Regelsettet er spesielt tilpasset WordPress og oppdateres kontinuerlig. I tillegg laster vi ned lister over ondsinnede ip-adresser som sperres ute totalt.

Ettersom WordPress konstant er under angrep fra både automatiserte og målrettede angrep, er en velfungerende brannmur kritisk for å sikre nettstedene.

WordPress bare vokser og vokser. Ifølge en undersøkelse av W3 Techs brukes nå WordPress av hele 30% av alle verdens nettsteder. Dette er en økning på 5% på to og et halvt år.

Dersom man ser bort fra nettsteder som har statisk HTML, så har WordPress en markedsandel på hele 60%.

Referanse: https://w3techs.com/ og https://w3techs.com/technologies/overview/content_management/all

W3Tech scanner de 10 millioner største nettstedene i verdens basert på Alexa, og i WordPress sin markedsandel regnes både nettsteder som ligger på wordpress.com og nettsteder som bruker egen hosting slik som WP Hosting.

WordPress et trygt valg

Og mens WordPress vokser, så krymper de aller fleste konkurrentene. Joomla og Drupal har en liten vekst, men ingen av dem ser ut til å kunne utfordre WordPress. De har hhv 6.3 og 4.4 prosent markedsandel.

WordPress er per nå det aller tryggeste valget man kan gjøre når man skal velge et CMS for sin nye hjemmeside. Vi klarer ikke se en eneste konkurrent som kan utfordre WordPress i et 5-års-perspektiv.

Den 25. mai må alle bedrifter innenfor EU og EØS følge EUs direktiv under navnet General Data Protection Regulation (GDPR). Vi får stadige spørsmål både om WordPress og WooCommerce i forbindelse med dette, og hvorvidt WP Hosting følger GDPR.

Begreper i GDPR

I GDPR defineres to begreper:

1. Behandlingsansvarlig, som er deg som kunde
2. Databehandller, som er WP Hosting som ivaretar deres data

WordPress, WooCommerce og GDPR

Når det gjelder WordPress og WooCommerce, så er dette datasystemer som i seg selv hverken strider mot eller følger GDPR. Det er hvordan du bruker disse systemene som avgjør om du oppfyller GDPR. Hver enkelt bedrift må gå gjennom sin behandling av personopplysninger og gjøre en vurdering.

WooCommerce har laget en egen veiledning om hvordan du kan bruke WooCommerce uten å bryte GDPR.

WP Hosting og GDPR

Vi har jobbet over lengre tid med å sikre at WP Hosting følger GDPR og  den norske personopplysningsloven, og mener nå at vi oppfyller alle kravene som stilles. I arbeidet med GDPR har vi kvalitetssikret og justert følgende områder:

• Drift- og databehandleravtaler mellom oss og kundene
• Våre rutiner med tilhørende dokumentasjon
• Våre datasystemer med tilhørende dokumentasjon

Ettersom vi over lang tid har levert IT tjenester til krevende kunder med høye krav til datasikkerhet, så var det ikke mye vi måtte endre. Arbeidet lå mest i å sette seg inn i alt som kreves av GDPR og se dette opp mot vårt arbeid med WordPress og WooCommerce.

Vi har nå kommet så langt at vi mener vi oppfyller de krav som stilles.

Det er verdt å ta en titt på vår oppdaterte driftsavtale som har fått inn alle formuleringer som kreves.

Se: Oppdatert driftsavtale som oppfyller GDPR og WordPress hosting.

Du kan virkelig gå i dybden av GDPR på EU sin egen GDPR-portal.
Enklere er det å forholde seg til Datatilsynets veileder om GDPR.

Vi følger hele tiden med på publisering av sikkerhetshull, og patcher alle kunder som har de rammede utvidelsene og malene.

Dessverre blir sikkerhet bare mer og mer viktig, og WordPress er et ettertraktet angrepsmål på grunn av sin enorme utbredelse.

Men styrken til WordPress er at det er et stort miljø, og mange som hjelper hverandre. Hullene bli varslet og tettet svært fort, men det gjelder å følge med og holde WordPress oppdatert.

Dokumentere tetting av sikkerhetshull

Nå skal vi også begynne å dokumentere og publisere arbeidet vi gjør her på hjemmesiden. Dette gjør vi av 3 grunner:

1. Dersom noen vet om et sikkerhetshull vi ikke har fått med oss kan de varsle oss om det: support@wp-hosting.no
2. Også de som ikke er kunder hos oss kan følge med på vår publisering, og patche sine egne sites.
3. Våre kunder skal kunne se hvilken nyttig jobb vi gjør for dem hver eneste dag.

I snitt patcher vi en håndfull sikkerhetshull hver uke. I løpet av år blir dette mange hundre. Og dette er en av hovedgrunnene til at vi tør å levere alle våre kunder en hacker-garanti.

Ønsker du å følge med på vårt arbeid med å tette WordPress sikkerhetshull kan du enten se på denne siden https://www.wp-hosting.no/blog/wordpress-sikkerhetshull/ eller abonnere via RSS her: https://www.wp-hosting.no/blog/wordpress-sikkerhetshull/feed

WordPress Web Firewall

I tillegg til å patche alle kundene våre har vi også vår egen firewall med regler som daglig oppdateres fra et sentralt lager. Disse reglene inneholder ikke bare regler spesifikt for WordPress, men også regler for generelle angrep som gjøres mot alle nettsteder uavhengig av om de er WordPress, Drupal, EpiServer eller hva det måtte være.

Ingen plattform er fri for sikkerhetshull dessverre. Men gjennom å aktivt patche hele tiden, er man langt sikrere enn om man kjører på en ikke oppdatert programvare over tid.

Vi gjør nå reboot av alle våre maskiner i forbindelse med tetting av sikkerhetshullene Meltdown og Spectre.

Det vil kunne oppleves nedetid på inntil 5 minutter. Databasene deres ligger på andre servere, så data vil ikke gå tapt.

Disse to sikkerhetshullene er svært alvorlige og rammer alle som bruker en prosessor fra Intel.

Les mer informasjon om sikkerhetshullet her:
https://meltdownattack.com/
https://www.digi.no/
http://www.zdnet.com/
http://money.cnn.com/

Uheldigvis er maskinvaren vår infrastruktur kjører på påvirket av disse sikkerhetshullene, men blir tettet nå i dag.

Det er viktig å vite at dette rammer også vanlige datamaskiner, så vi råder alle til å oppdatere Windows og OSX.

Nå er det lenge siden noe har blitt skrevet på bloggen vår.

Årsaken er ikke at ingenting har skjedd, men heller at blogging nok ikke er det som ligger oss nærmest på hjertet. Det er lettere å skrive en linje korrekt kode, enn en velformulert setning på norsk!

Per Andre er ansatt

Men mye har altså skjedd siden januar. Vi har lenge søkt etter et skarpt hode som kan skli rett inn på laget, og styrke oss. Etter flere år leting fant vi endelig mannen vi har jaktet på i Per Andre Wilhelmsen.

Han kommer fra Kristiansund, men er bosatt på Flisa i Hedmark. Han har senior kompetanse innen drift med en veldig bred bakgrunn. Han kan WordPress og Linux og alt annet som vi elsker å drive med.

Per Andre startet hos oss 1. august, og vi kan trygt slå fast at han allerede har styrket oss vesentlig.

Kontor på Hamar

Ettersom han bor på Flisa og Pål Martin (jeg!) bor på Hamar så har vi nå også etablert et kontor sentralt i Hamar sentrum. I tillegg til kontorene våre i Oslo.

Hamar er i kraftig vekst og har et veldig stort IT-miljø med både etablerte bedrifter som Evry og Norsk Tipping, og spreke ungdommer som i Hamar Game Collective.

Med så mange teknologer rundt oss, tenker vi at Hamar vil være en god base for WP Hosting.

Google har lenge signalisert at de ønsker at hele nettet skal over på HTTPS, og har også gjort en rekke tiltak for å fremskynde prosessen. Blant annet har de bidratt med protokollen SPDY som kan hjelpe til med å øke hastigheten på nettsteder som bruker HTTPS. (Les om SPDY i Wikipedia)

Google har også varslet at på ett eller annet tidspunkt vil de markere alle nettsteder som ikke bruker HTTPS som usikre. Dette er temmelig kontroversielt ettersom det vil påføre mange mindre nettsteder enda en kostnad.

Men Google gir seg ikke, og det siste nå er at fra slutten av januar 2017 vil det bli endringer i Chrome. Fra da vil alle nettsteder som tar håndterer passord og kredittkort og ikke har HTTPS bli markert som usikre. (Les hva Google sier selv)

Dette er er for eksempel veldig viktig for alle nettbutikker! En nettbutikk som markeres som usikker vil risikere å miste mye omsetning.

Husk gratis HTTPS fra WP Hosting

Vi tilbyr alle våre kunder gratis HTTPS fra Let’s Encrypt (Mer på Let’s Encrypt sine sider). Dersom du har behov for dette og fortsatt ikke har fått dette aktivert, så ta kontakt.

Denne løsningen er nå gjennomtestet og har vært i drift i over 6 måneder. Vi bruker den også selv og har ikke opplevd problemer med den en eneste gang.

Ved jevne mellomrom oppdages særdeles alvorlige sikkerhetshull som kan utnyttes av datakriminelle.

Siste skudd på stammen kalles «Diry Cow», og gjør det mulig for en angriper å utføre handlinger på målmaskinen som han egentlig ikke har tillatelse til (Wikipedia: privilege escalation). Hva en angriper kan finne på å gjøre om han får full tilgang har jeg skrevet om i dette blogginnlegget tidligere.

Du kan lese mer om dette sikkerhetshullet i disse artiklene:

Digi: Ni år gammel Linux-sårbarhet kan være under angrep – Særlig webhoteller er i faresonen.
ZDNet: The Dirty Cow Linux bug: A silly name for a serious problem.

Denne feilen har eksistert i Linux-kjernen i hele 9 år, men ble publisert først i forrige uke.

Vi tettet alle våre systemer innen 24 timer etter at feilen ble rapportert og en løsning lagt ut.

Digi.no har skrevet om vår løsning for https til WordPress.

Les om WP Hosting i Digi.no her.

Kort oppsummert så leverer vi nå gratis SSL sertifikater fra Let’s Encrypt til alle våre kunder. Vi oppretter sertifikatet som brukes til krypteringen, og sørger for at det fornyes. Vi klargjør også hjemmesiden til å bruke https i stedet for ukryptert http.

Om Digi.no i Wikipedia:
«digi.no er en norsk nettavis med fokus på informasjons- og kommunikasjonsteknologi. Den opprinnelige målgruppen var IT-bransjen, samt profesjonelle IT-brukere. digi.no var en av de første nettavisene da den ble lansert 26. august 1996»

Let’s Encrypt er en gratis tjeneste for SSL som støttes av blant andre Facebook, Hewlet Packard og Mozilla. Deres mål er at absolutt all trafikk på internett skal være kryptert (bruke https).
Se deres hjemmeside eller les på Wikipedia.

Kryptering av internett-trafikk er i vinden. Nettbutikker har lenge brukt HTTPS for å beskytte sine kunder mot tyvlytting, men overvåking og den generelle sikkerhetstrusselen har gjort at fler og fler flytter over til HTTPS selv om de ikke håndterer sensitive data.

Store aktører som Google og Mozilla presser også på for at hele internett skal flytte over til kryptert trafikk. Blant annet kan man miste rangering i søkemotorene og sidene bli merket som usikre om man ikke krypterer.

Men for et mindre nettsted har det lenge vært svært dyrt å skaffe seg et sertifikat. Minimum 1000,- per år har vært vanlig kostnad for et sertifikat. I tillegg har SSL gjort caching av sider vanskeligere fordi cache-programvare slik som Varnish ikke kan inspisere krypterte sider, og derfor ikke avgjøre om de kan caches.

Begge disse to problemene har vi nå løst for våre kunder.

SSL terminering i brannmur

Den første brikken fikk vi på plass i fjor høst da vi fikk installert en web firewall foran våre cache-servere. Denne bruker vi til både å filtrere trafikk basert på regler i en brannmur, og til å terminere SSL. Med dette på plass kan Varnish fungere som normalt.

Gratis sertfikater fra Let’s Encrypt

Så hva med kostnaded til SSL sertifikater? Jo, vi har lenge fulgt med på Let’s Encrypt. Dette er et initiativ som har jobbet for å lage  gratis sertifikater til alle som ønsker. Når Let’s Encrypt nå omsider kom ut av Beta den 12. april i år, så bestemte vi oss for å satse skikkelig på dette.

Let’s Encrypt lar deg opprette SSL sertifikater gratis med en svært kort varighet. Sertfikatene må fornyes hver 90. dag mot normale sertifikater som varer i minst 12 måneder. Sertifikatene inneholder heller ikke organisasjonens navn. Men sertfikatene sørger for det aller vikigste: All trafikk blir kryptert.

Nå har vi utviklet en løsning hvor vi enkelt kan opprette og fornye SSL sertifikater for alle våre kunder fra Let’s Encrypt. Ettersom all fornying er automatisk må vi bare gjøre en liten jobb ved opprettelsen av sertifikatet. Vi sørger også for at ditt WordPress nettsted er klart for å ta imot kryptert trafikk.

For mere info om Let’s Enrypt: https://letsencrypt.org/

Det er med stor glede vi nå kan tilby gratis HTTPS til alle kunder!

Er det fortsatt noen vits i å kjøpe et ‘dyrt’ sertifikat eller å fornye det du allerede har kjøpt?
Ja, med et slikt sertifikat får du mer enn bare kryptering; sertifikatutstederen vil også da garantere for at du er den du sier du er og dette vil vises som en del av sertifikatet. Hvis dette er viktig for deg så er et tradisjonelt sertifikat bedre.