Google har lenge signalisert at de ønsker at hele nettet skal over på HTTPS, og har også gjort en rekke tiltak for å fremskynde prosessen. Blant annet har de bidratt med protokollen SPDY som kan hjelpe til med å øke hastigheten på nettsteder som bruker HTTPS. (Les om SPDY i Wikipedia)
Google har også varslet at på ett eller annet tidspunkt vil de markere alle nettsteder som ikke bruker HTTPS som usikre. Dette er temmelig kontroversielt ettersom det vil påføre mange mindre nettsteder enda en kostnad.
Men Google gir seg ikke, og det siste nå er at fra slutten av januar 2017 vil det bli endringer i Chrome. Fra da vil alle nettsteder som tar håndterer passord og kredittkort og ikke har HTTPS bli markert som usikre. (Les hva Google sier selv)
Dette er er for eksempel veldig viktig for alle nettbutikker! En nettbutikk som markeres som usikker vil risikere å miste mye omsetning.
Husk gratis HTTPS fra WP Hosting
Vi tilbyr alle våre kunder gratis HTTPS fra Let’s Encrypt (Mer på Let’s Encrypt sine sider). Dersom du har behov for dette og fortsatt ikke har fått dette aktivert, så ta kontakt.
Denne løsningen er nå gjennomtestet og har vært i drift i over 6 måneder. Vi bruker den også selv og har ikke opplevd problemer med den en eneste gang.
Ved jevne mellomrom oppdages særdeles alvorlige sikkerhetshull som kan utnyttes av datakriminelle.
Siste skudd på stammen kalles «Diry Cow», og gjør det mulig for en angriper å utføre handlinger på målmaskinen som han egentlig ikke har tillatelse til (Wikipedia: privilege escalation). Hva en angriper kan finne på å gjøre om han får full tilgang har jeg skrevet om i dette blogginnlegget tidligere.
Du kan lese mer om dette sikkerhetshullet i disse artiklene:
Kort oppsummert så leverer vi nå gratis SSL sertifikater fra Let’s Encrypt til alle våre kunder. Vi oppretter sertifikatet som brukes til krypteringen, og sørger for at det fornyes. Vi klargjør også hjemmesiden til å bruke https i stedet for ukryptert http.
Om Digi.no i Wikipedia:
«digi.no er en norsk nettavis med fokus på informasjons- og kommunikasjonsteknologi. Den opprinnelige målgruppen var IT-bransjen, samt profesjonelle IT-brukere. digi.no var en av de første nettavisene da den ble lansert 26. august 1996»
Let’s Encrypt er en gratis tjeneste for SSL som støttes av blant andre Facebook, Hewlet Packard og Mozilla. Deres mål er at absolutt all trafikk på internett skal være kryptert (bruke https).
Se deres hjemmeside eller les på Wikipedia.
Kryptering av internett-trafikk er i vinden. Nettbutikker har lenge brukt HTTPS for å beskytte sine kunder mot tyvlytting, men overvåking og den generelle sikkerhetstrusselen har gjort at fler og fler flytter over til HTTPS selv om de ikke håndterer sensitive data.
Store aktører som Google og Mozilla presser også på for at hele internett skal flytte over til kryptert trafikk. Blant annet kan man miste rangering i søkemotorene og sidene bli merket som usikre om man ikke krypterer.
Men for et mindre nettsted har det lenge vært svært dyrt å skaffe seg et sertifikat. Minimum 1000,- per år har vært vanlig kostnad for et sertifikat. I tillegg har SSL gjort caching av sider vanskeligere fordi cache-programvare slik som Varnish ikke kan inspisere krypterte sider, og derfor ikke avgjøre om de kan caches.
Begge disse to problemene har vi nå løst for våre kunder.
SSL terminering i brannmur
Den første brikken fikk vi på plass i fjor høst da vi fikk installert en web firewall foran våre cache-servere. Denne bruker vi til både å filtrere trafikk basert på regler i en brannmur, og til å terminere SSL. Med dette på plass kan Varnish fungere som normalt.
Gratis sertfikater fra Let’s Encrypt
Så hva med kostnaded til SSL sertifikater? Jo, vi har lenge fulgt med på Let’s Encrypt. Dette er et initiativ som har jobbet for å lage gratis sertifikater til alle som ønsker. Når Let’s Encrypt nå omsider kom ut av Beta den 12. april i år, så bestemte vi oss for å satse skikkelig på dette.
Let’s Encrypt lar deg opprette SSL sertifikater gratis med en svært kort varighet. Sertfikatene må fornyes hver 90. dag mot normale sertifikater som varer i minst 12 måneder. Sertifikatene inneholder heller ikke organisasjonens navn. Men sertfikatene sørger for det aller vikigste: All trafikk blir kryptert.
Nå har vi utviklet en løsning hvor vi enkelt kan opprette og fornye SSL sertifikater for alle våre kunder fra Let’s Encrypt. Ettersom all fornying er automatisk må vi bare gjøre en liten jobb ved opprettelsen av sertifikatet. Vi sørger også for at ditt WordPress nettsted er klart for å ta imot kryptert trafikk.
Det er med stor glede vi nå kan tilby gratis HTTPS til alle kunder!
Er det fortsatt noen vits i å kjøpe et ‘dyrt’ sertifikat eller å fornye det du allerede har kjøpt?
Ja, med et slikt sertifikat får du mer enn bare kryptering; sertifikatutstederen vil også da garantere for at du er den du sier du er og dette vil vises som en del av sertifikatet. Hvis dette er viktig for deg så er et tradisjonelt sertifikat bedre.
Flere sider som måler markedsandeler for e-handelsløsninger viser nå at WooCommerce har passert Magento som verdens mest brukte e-handelsesløsning.
Et godt eksempel er denne siden: http://trends.builtwith.com/shop som måler markedsandeler for e-handelsløsinnger innenfor 4 ulike segmenter avhengig av hvor mye trafikk de har.
Her kan vi se at WooCommerce vokser innen alle segmenter og viser at blant de million største nettstedene er det WooCommerce som har aller størst markedandel med hele 19% av alle nettbutikker på internett.
Det er også veldig interessant at WooCommerce brukes som nettbutikk av 8% av de 10.000 største nettbutikkene i verden og er på delt 4. plass. WooCommerce er med andre ord klar til bruk i større og større sammenhenger.
Også andre melder at WooCommerce nå er verdens mest brukte e-handelsløsning. Slik som WPLab på denne siden: https://www.wplab.com/. Her er tallene mye jevnere enn i den første undersøkelsen.
Det mest sikre er med andre ord at ingen kan vite eksakt markedsandel, men trenden er klar: WooCommerce vokser innen alle segmenter. Og alle undersøkelser viser at WooCommerce nå er størst ihvertfall i antall installasjoner.
Vi har tidligere skrevet en artikkel om noen av våre erfaringer med WooCommerce. Les gjerne mer om WooCommerce som nettbutikk her. Det meste på denne siden er fortsatt relevant, men vi har selvsagt også lært nye ting i løpet av det siste året. Og WooCommerce har kommet i ny versjon.
Vi liker flere ting med den nye versjonen, og særlig at de har fokusert på ytelse. Ytelse er en utfordring for alle nettbutikk-løsninger ettersom det er vanskelig å få fullt utbytte av caching når man er avhengig av å skreddersy deler av sidene slik som handlekurv.
En annen stor forbedring er at de har endret flyten i handlekurven. Dette bør bidre til å øke konverteringene i nettbutikker som bruker WooCommerce.
Vi har nå forbedret vårt forsvar mot angrep med å sette opp en dedikert Web Firewall foran våre tjenester. Tidligere hadde vi lignende tiltak på hver enkelt server, men nå samler vi alt på ett enkelt punkt hvor vi tvinger all trafikken gjennom. Slik lager vi bedre WordPress sikkerhet for våre kunder.
Hva er en Web Firewall?
WordPress sikkerhet med brannmur
Kort fortalt: En web firewall er en brannmur som beskytter en web-server.
Vi følger kontinuerlig med på publiserte sikkerhetshull og kjente angrepsmetoder mot WordPress. I vår web firewall kan vi så følge med på og sperre mot kjente angrep, samt oppdage mistenkelig trafikk vi vil følge mere med på. Vi har skreddersydd regelsettet på vår WAF slik at det er tilpasset WordPress og vi jobber jevnt og trutt med å holde den oppdatert mot nye angrep.
Hva betyr dette for deg som kunde?
Nye kunder – alle nye kunder blir automatisk satt opp med trafikk gjennom vår brannmur
Gamle kunder med DNS hos WP Hosting – Vi vil gradvis endre DNS for dere slik at trafikken går gjennom brannmuren
Gamle kunder med DNS (domene) hos en annen leverandør – Dere må nå endre DNS for å få bedre WordPress sikkerhet. De innstillingene dere har nå vil fungere fortsatt en tid, men vil til slutt ikke fungere. Dersom du vil kan du allerede nå endre DNS slik som under, eller du kan vente til du mottar en epost fra oss.
Ta gjerne kontakt med oss dersom du har spørsmål omkring WordPress sikkerhet. Vi jobber med dette hver dag og har god oversikt over styrker og svakehet med plattformen.
Nyhet: Alle kunder får nå spam-beskyttelse i sine kommentarfelt av Akismet inkludert i sitt abonnement.
Alle WordPress nettsteder som opprettes fra og med i dag vil automatisk være beskyttet av vår lisenskode, mens alle tidligere kunder må selv aktivere Akismet og legge inn lisenskoden.
Vi bruker flere teknikker for å gjøre WordPress raskt på våre servere, men den aller viktigste er at vi bruker Varnish til cache (mellomlager).
Hvordan fungerer Varnish som WordPress cache?
Varnish er en perfekt WordPress Cache
Når noen besøker siden din første gang vil cache (mellomlager) ta vare på den ferdige siden og lagre den til neste gang den skal vises. Siden lagres så i minnet på Varnish-serveren, og når minnet er fullt dyttes eldre sider til fil.
Ved første sidevisning er det veldig mye som skal gjøres. Mange spørringer til databasen skal sette sammen menyer og hente innhold til sidespalter mm. Derfor vil det gå uhyre mye raskere å hente en side fra en cache (mellomlager).
Når en side skal lages fra bunnen med WordPress tar det fort 1-2 sekunder, mens å hente ut en ferdig side fra Varnish tar hundredeler. Altså 100 ganger raskere.
Hvorfor går det langsommere når jeg er innlogget i WordPress?
Når du er innlogget i WordPress, brukes ikke cache, og hjemmesiden din vil gå langsommere enn for de som besøker siden.
Hvordan du kan teste hvordan hjemmesiden er for dine besøkende?
Dersom du har to nettlesere på din maskin, kan du logge inn i WordPress-admin med den ene, men ikke med den andre. Deretter blar du rundt på hjemmesiden din med begge nettleserne. Du vil da se at sidene er mye raskere i nettleseren hvor du ikke er logget inn.
Hvordan tømmer jeg min WordPress cache?
Klikk WP Varnish for å tømme Cache manuelt.
Normalt skal alle sidene slettes fra din WordPress cache når du oppdaterer en side. Det er likevel enkelte endringer som ikke automatisk slettes (endring av malen o.l.). Når du trenger å slette cache manuelt, logger du inn og klikker «Innstillinger» -> «WP Varnish». På denne siden finner du knappen «Purge all blog cache». Da blir hele din WordPress cache tømt.
Hva med WordPress-utvidelser som Supercache og W3Cache?
Med vår løsning for WordPress cache skal du ikke bruke andre cache-løsninger. Varnish er uhyre mye raskere ettersom alle sider lagres i minne eller som filer. Det er ikke noe behov for å eksekvere PHP, og alt gjøres på en egen server. Vi har gjort målinger som viser at Varnish er opptil 100 ganger raskere enn å hente sider uten mellomlager, og 10-20 ganger raskere enn supercache.
Hva om min WordPress ikke er rask selv med cache?
Dersom du har utvidelser som oppretter en sesjon (session) til din besøkende så vil ikke cache brukes. Alle sidevisninger vil da hentes fra backend og gå langsommere enn om de hentes fra cache. Dette er akkurat det samme som skjer når du er innlogget: Du har en sesjon som forteller WordPress at du er innlogget, og da hentes ingen av sidene fra cache. Eksempler på slike utvidelser er medlems-innlogging, trafikksporing i WordPress og handlekurver.
WordPress er utrolig populært blant brukerne. Lett å lære og mange muligheter. Men i kjølvannet av stor utbredelse følger også et stort onde: kriminelle hackere elsker mange mål, og derfor er WordPress en populær plattform å angripe.
WordPress i seg selv er ikke mere usikkert enn andre publiseringsløsninger, men den store mengden utvidelser og temaer, gjør at det er mange hull kriminelle kan utnytte.
Vi tar WordPress sikkerhet på stort alvor, og ønsker med denne artikkelen å dele litt av våre erfaringer med deg.
Det rammer ikke meg. Åjoda.
Det er lett å tenke at fordi man har en liten sjappe langt i nord, så er man ikke et mål. Dette er dessverre ikke tilfelle. Så godt som alle angrep vi ser mot våre servere er roboter som utfører automatiserte angrep. Først fastslår roboten hvilken publiseringsløsning du bruker, og deretter begynner målrettede angrep mot kjente sikkerhetshull og login.
Så om Google kan finne deg, så kan også hackernes roboter det.
Om din Wordress er hacket kan du få store problemer
Hva er det de gjør når de hacker WordPress?
Som regel vil det ikke være synlig for den besøkende eller administrator at en side er hacket. Det aller meste av ulovlig hacking dreier seg om penger, og i mindre grad om politikk.
De vanligste målene for å hacke et WordPress nettsted er:
Sende spam fra din webserver
Stjele brukernavn og passord til administratorer og kunder/medlemmer som er registrert
Infisere besøkende med virus som igjen kan benyttes til å ta kontroll over deres PCer
Spre piratprogramvare fra en server hvor de ikke kan spores
Bruke din webserver som en del av botnet for DDOS angrep mot andre
Bruke din hjemmeside til lenkefarm for å øke seo rangering for et annet nettsted
Stjele dine innkommende lenker for å øke egen rangering i søkemotorer
Hærverk på din hjemmeside ved å skrive uønsket innhold eller ødelegge funksjonalitet
Med WordPress hacket kan du få alvorlige problemer
Noen tenker at ettersom man ikke ser at man er hacket, så er det heller ikke så farlig, men slik er det absolutt ikke. Dersom du blir hacket kan det få veldig alvorlige konsekvenser for din bedrift.
Eksempler på hva du kan oppleve:
Nettstedet ditt stenges ned av din hosting leverandør
Ditt nettsted kan bli fjernet fra Google eller din rangering blir lavere
Nettstedet ditt sperres av antivirus programvare slik at du ikke får besøk
Legitim epost fra deg merkes som spam ettersom domenet ditt anses som søppel
Funksjonalitet på hjemmesiden din kan slutte å virke
Du mister tillit hos dine kunder
Hver og en av disse problemene vil koste deg penger i form av tapte inntekter.
OBS: Vær klar over at den kan rapportere feil. For eksempel sier den om vår side, at vi har en gammel apache versjon og mangler web firewall. Begge deler er feil. Men den oppdager de fleste kjente WordPress hacks.
Hva kan du gjøre selv om WordPress er hacket?
Hackerne bruker roboter for å finne mål de kan angripe
Det første hackerne gjør når de har brutt seg inn i et WordPress nettsted er å legge inn mange nye hull rundt omkring på hjemmesiden din. Derfor er det ikke nok å tette det opprinnelige hullet, men hele siden må renses.
Dersom du skal rydde opp selv, og ikke kan programmering i PHP og MySQL, så er i realiteten den eneste muligheten du har, å bygge opp hjemmesiden din på nytt fra bunnen.
Hva kan WP Hosting gjøre om WordPress er hacket?
Vi flytter ukentlig nye sider til vår plattform og gjør alltid en sjekk på om hjemmesidene er hacket. Og ikke sjelden er de det. Ofte kommer også kunder til oss nettopp fordi sidene deres er hacket og de klarer ikke få dem renset.
Vi har renset mange nettsteder og har utviklet både scripts og rutiner for raskt å rydde opp i en infisert WordPress instans.
Vår prosedyre for å rense et infisert WordPress nettsted
Vi har en prosedyre vi kjører i loop til hjemmesiden er renset og alle hull er tettet:
Med egne verktøy scanner vi filsystem og database etter kjente hull
Deretter gjør vi manuelle søk etter mistenkelig kode.
Nettstedet settes til overvåking med spesiell logging.
Dersom vi oppdager nye angrep tetter vi hullene første søk ikke fant.
Nettstedet settes til ny overvåking
Ettersom vi er avhengige av full tilgang til dypere lag av serveren kan vi bare gjøre denne jobben på vår egen plattform. En slik jobb koster normalt mellom 3.000 og 10.000 eks.mva. avhengig av hvor alvorlig WordPress-instansen er infisert.
Send oss gjerne en epost om du har spørsmål omkring WordPress sikkerhet!
I dag oppdaterte vi alle nettsteder til aller nyeste versjon av WordPress. I utgangspunktet gjør vi dette kun for kunder med Enterprise-abonnement, men på grunn av et stort etterslep, så ble vi nå nødt for å gjøre dette for alle nettsteder på en gang. Det er viktig for alles sikkerhet at alle er flinke til å oppdatere WordPress.
Vi har fått noen få tilbakemeldinger på hjemmesider som sluttet å fungere, så det er viktig at dere ser på sidene deres og gjør en manuell kontroll. Ta kontakt dersom det er problemer.
Gikk noe galt? Ikke vær redd, for vi har full WordPress backup.
I fortsettelsen vil alle som ikke er på Enterprise-abonnement selv måtte oppdatere WordPress slik som før.
Prosedyre for å oppdatere WordPress
Vår anbefaling er som vanlig at du oppdaterer WordPress på følgende måte:
Gjør det tidlig på en hverdag, så vi kan hjelpe deg med en restore dersom hjemmesiden din slutter å virke som den skal.
Slett alle plugins og maler som du ikke bruker.
Oppdater alle plugins som trenger oppdatering.
Oppdater WordPress.
Gjør en manuell kontroll av hjemmesiden og sjekk at alt fungerer som det skal.
Det vanligste problemet etter en oppdatering er at widgets ikke lenger vises i sidespalter, fotter o.l. Dette retter du enkelt selv ved å gå til «Utseende» -> «Widgeter», og legger de inn igjen der de skal være.
Oppdateringen ser ut til å ha gått veldig bra, og nå er endelig alle på en sikkert og moderne WordPress.
Ved jevne mellomrom oppdages særdeles alvorlige sikkerhetshull som kan utnyttes av datakriminelle.
Digi.no har skrevet om vår løsning for https til WordPress.
Kryptering av internett-trafikk er i vinden. Nettbutikker har lenge brukt HTTPS for å beskytte sine kunder mot tyvlytting, men overvåking og den generelle sikkerhetstrusselen har gjort at fler og fler flytter over til HTTPS selv om de ikke håndterer sensitive data. 
Nyhet: Alle kunder får nå spam-beskyttelse i sine kommentarfelt av Akismet inkludert i sitt abonnement.
