Oppdatering om WordPress sikkerhet

Sist oppdatert:

Det har vært to store hendelser innenfor sikkerhet på internett de siste ukene. En som gjelder sikkerhet for kryptert kommunikasjon, og en som gjelder WordPress sikkerhet spesielt.

I går kveld ble det avslørt at det har vært et meget alvorlig sikkerhetshull i SSL som gir hackere tilgang til alt som ligger i minnet på serveren de angriper. De kan da lese ut brukernavn/passord, sikkerhetssertifikater og annet.

Vi benytter Red Hat Enterprise Linux og Amazon Linux på våre servere, og var rammet av denne feilen. Vi fikk oppdatert våre servere mindre enn 24 timer etter at feilen ble kjent. Spesielt var vår epost-server mulig å gjøre innbrudd i før vi fikk oppdatert programvaren.

Alle våre kunder som også benytter SSL ble oppdatert samtidig. Dette gjelder blant annet Telenor (http://www.telenor.com) og Tripletex (http://www.tripletex.no).

Dere kan lese mere om dette sikkerhetshullet i denne artikkelen i Dagens Næringsliv.

WordPress sikkerhet ved pingback

Den andre saken berørt sikkerhet for WordPress mere direkte: Pingback. Dette er egentlig ikke et sikkerhetshull i WordPress, men en feature hvor man får varsel fra en annen blogg når noen lenker til et innlegg i bloggen din.

Denne funksjonen har blitt misbrukt til å rette DDOS angrep mot utvalgte nettsteder ved å bruke intetanende WordPress-bloggere.

Vi oppfordere alle som ikke har behov for å bruke pingback til å ikke bruke dette.

Alle som oppretter et WordPress nettsted hos oss har denne funksjonen skrudd av som standard ved oppstart.