Säkerställ WordPress med SSL

Säker WordPress med SSLAtt använda ett SSL-certifikat på sin webbplats, dvs. att ge besökare möjlighet att surfa via https:// istället för http://, är som bekant en väldigt bra sak. Med SSL är trafiken mellan en webbplats och dess besökare krypterad. Utan SSL skickas all data (t ex användaruppgifter) i klartext mellan webbplatsen och besökarna.

SSL är även något som, inom vissa ramar, ska ge bättre placeringar i sökmotorer såsom Google här framöver. Det är ingen kritisk faktor för SEO, som vi har berättat tidigare, men det är alltjämt en liten fördel.

Den enda nackdelen med SSL är att det kan vara lite svårt att få till. Det vill vi råda bot på, genom att visa hur man säkerställer en WordPress-sida med SSL. Så häng med och säkra upp din WordPress-sida nu!

Förutsättning: Ett SSL-certifikat

Börja med att ordna ett SSL-certifikat. Vi har en utmärkt guide till hur man gör det med webbhotell hos oss: FS Data manualer, Säkerställ en webbplats med SSL. Ett aktivt och fungerande SSL-certifikat är en förutsättning för att gå vidare med denna guide.

Konfigurera WordPress för SSL

Om du besöker din WordPress-baserade hemsida, på din https-adress, när SSL-certifikatet har installerats så kommer du bli rätt så förvånad. Hemsidan har nämligen helt tappat sina stilmallar (CSS) och varningar visas om ”osäkert innehåll”. Det är inget att bli orolig över.

Din WordPress-sida byter inte automatiskt till https när SSL-certifikatet är installerat. WordPress är konfigurerat för en (http) adress sedan tidigare, så dina besökare märker inte om/när SSL-certifikatet är installerat.

Det finns två huvudsakliga sätt att arbeta med SSL i WordPress:

Alternativ 1: säkerställ enbart inloggning/administrationspanel

Det här är det enklaste sättet. Fördelarna här är att användaruppgifterna hanteras via SSL (man loggar in säkert) och att man inte måste ändra sökvägar till filer/bilder. Detta kräver även mindre serverresurser (vilket kan ge en snabbare hemsida). Om man inte måste säkerställa hela webbplatsen med SSL så är detta sätt att föredra.

För att enbart säkerställa inloggning/administrationspanel, lägg in följande rad i wp-config.php:

define('FORCE_SSL_ADMIN', true);

Spara wp-config.php och ladda om hemsidan. Logga sedan in i /wp-admin så ser du att anslutningen är säker.

Alternativ 2: Säkerställ hela WordPress

Fördelen med detta sätt är givetvis att hela webbplatsen säkerställs med SSL. Oavsett om man är inloggad eller inte så surfar man via en krypterad anslutning. Nackdelarna är att det kräver mer serverresurser och att man måste ändra (rätt så många) sökvägar till filer/bilder.

Dessutom kan man t ex inte enkelt använda WordPress med ett CDN.

1. Rätta sökvägar till filer/bilder

Börja med att installera och aktivera WordPress-tillägget SSL Insecure Content Fixer. Detta tillägg skriver automatiskt om http till https för ett stort antal systemfiler i WordPress. Om ditt WordPress-tema är rätt utvecklat så kommer t ex stilmallarna att fungera under https med detta tillägg.

Därefter behöver sökvägarna till bilderna rättas. Det gör man enklast med ett tillägg som vi har tipsat om tidigare: Ett enkelt sätt att byta sökvägar i WordPress. Installera och aktivera tillägget samt byt sökväg från http://mindomän.se till https://mindomän.se (som exempel). Uppdatera sökvägarna för allt förutom GUIDs.

Om du har sökvägar hårdkodade t ex i ditt tema så behöver du även uppdatera dessa från http till https.

2. Skriv om allt från http:// till https://

Till sist är det dags att skriva om http till https i adressfältet på hela WordPress-webbplatsen. Om man kör vanliga WordPress (inte Multisite, med nätverksfunktionen) så är det bara att gå in i /wp-admin under ”Inställningar” > ”Allmänt” och ändra WordPressadress (URL) samt Webbplatsadress (URL) från http till https.

Om man däremot kör WordPress i ett nätverk så behöver man lägga in följande rader i .htaccess:

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Spara .htaccess-filen och ladda om hemsidan. Nu kommer hela WordPress att vara säkerställd via SSL. Dessutom skrivs tidigare adresser om rätt, så att du t ex inte tappar värdefulla positioner i sökmotorer. Denna omskrivning fungerar även med nätverksfunktionen (med subdomäner) i WordPress.

3. Kontrollera din webbplats med SSL

Om du säkerställer hela din webbplats med SSL, kontrollera då att alla sidor fungerar ordentligt efteråt. Om du ser att låset i adressfältet är trasigt på en sida så behöver du ta reda på vad det är som orsakar detta. Med webbläsaren Firefox kan man t ex göra det via ”Verktyg” > ”Webbutvecklare” > ”Webbkonsolen”.

Här är ett exempel:

http://www.onlinegroup.com/varumarken/

Den främsta orsaken till att SSL-sidor inte fungerar är att man bäddar in externa element (script/bilder) via http. För att en sida ska vara helt säker måste alla element levereras via https. Detta är vanligt om man använder WordPress-tillägg för social delning (via Twitter/Facebook) som gör externa anrop. För tips på ett tillägg som inte gör externa anrop, läs vårt tidigare inlägg ”Sluta spåra dina besökare (åt andra)”.

Avslutningsvis, ett par kommentarer:

– Det finns ett antal olika WordPress-tillägg som möjliggör SSL. Vi har testat flera av dem, bl a WordPress HTTPS (SSL), Force SSL och Verve SSL. Även om de fungerar i varierande utsträckning (med/utan WordPress nätverksfunktion) så är det bättre att aktivera SSL i WordPress utan tillägg.

– Det går även att säkra enbart inloggningen i WordPress (med flaggan FORCE_SSL_LOGIN, istället för FORCE_SSL_ADMIN, enligt det första alternativet ovan). Vi rekommenderar dock att man säkerställer både inloggning och administrationspanel.

Svårare än så här är det inte att få en säker WordPress-sida. Om du har några frågor kring detta, eller har tips på andra sätt att arbeta med SSL i WordPress, så får du gärna lämna en kommentar här nedan.

Liknande inlägg:

Säkerhetshål i Bash (Shellshock)

Igår uppmärksammades ett allvarligt säkerhetshål i programvaran Bash, som finns med i princip alla Unix- och Linux-baserade operativsystem (inklusive Mac OS X). Säkerhetshålet, som har fått namnet Shellshock, innebär att man pga felaktig variabelhantering kan exekvera kommandon som man egentligen saknar rättigheter till.

Bash är förvisso en kommandotolk för Unix- och Linuxsystem, men Bash kan även användas t ex för att köra kommandon via Apache (världens mest använda webbserver). Säkerhetshålet kan därmed utnyttjas via automatiserade program på webben, som sprider sig själva, vilket gör det extremt farligt.

När våra tekniker blev varse om detta säkerhetshål igår inleddes omedelbart arbetet med att uppdatera och säkerställa alla Linuxservrar som vi hanterar. Arbetet fortgick oavbrutet och färdigställdes sent igår kväll/natt.

Alla Linuxservrar som vi hanterar, för t ex våra webbhotellskunder och serverkunder med drifttjänst, är nu säkerställda och skyddade från Shellshock.

FS Data Shellshock patch

Många av våra kunder med egna servrar hos oss, som de själva hanterar, har även säkrat sina servrar igår. Om någon inte har gjort det än så vill vi uppmana er till att göra det omedelbart. Alla större Linuxdistributioner har fått uppdateringar som åtgärdar detta säkerhetshål.

Är ni osäkra på om er server är säker? Testa den med följande kommando via terminal/SSH:

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

Om servern är sårbar kommer svaret att vara:

vulnerable
this is a test

Om servern är säker kommer svaret att vara:

bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test

Lämna gärna en kommentar nedan om ni har några frågor kring detta.

Liknande inlägg:

Surfa anonymt med Tor

Tor logotypPersonlig integritet är en viktig fråga för oss på FS Data. Vi har tidigare berättat bl a hur man kan säga nej till att bli spårad i de flesta webbläsare och hur man skickar säker e-post (som inte kan avlyssnas).

Nu ska vi visa hur man surfar anonymt på Internet med Tor.

Tor (The Onion Router) är ett nätverk med noder (datorer) utspridda över hela världen. Trafiken som går via Tor är både krypterad och nästlad i flera lager (som en lök, apropå dess namn). Varje lager kan enbart läsas/skrivas av en nod, så noderna kan inte spåra var trafiken har sin källa/mål. Kommunikation via Tor-nätverket sker via särskilda klienter (såsom webbläsare).

Nu kanske det här låter väldigt avancerat och svårt, men faktum är att det är riktigt enkelt att använda Tor. Allt som krävs är att man laddar ner och installerar Tor från dess hemsida: Ladda ner Tor.

Surfa anonymt med Tor

Filen man laddar ner är en webbläsare, baserad på Firefox, som är särskilt konfigurerad för Tor-nätverket. När man använder denna webbläsare så surfar man helt anonymt samt att säker trafik (https) premieras. Webbläsaren inkluderar inte stöd för t ex Flash, då detta kan användas för att spåra användare.

Det är värt att notera att man, för att behålla sin anonymitet, inte bör logga in på t ex Google eller Facebook med Tor. Dessa webbplatser spårar sina användare runt om på nätet med sk. cookies (som sparas på din dator).

Varför ska man egentligen använda Tor?

  • Allt du gör på nätet spåras och sparas. Om du inte vill att din upplevelse på nätet ska påverkas av utomstående (t ex annonsörer) så är Tor ett måste.
  • I vissa länder, inklusive Sverige, censureras delar av Internet av olika orsaker. Med Tor får man fullständig åtkomst till hela nätet.
  • Många människorättsaktivister använder Tor för att kunna rapportera om orättvisor i världen. Faktum är att svenska SIDA har sponsrat Tor.
  • Journalister och visselblåsare använder Tor för känslig information. Edward Snowden, som avslöjade USA:s globala avlyssning med PRISM, gjorde det via Tor.
  • Avancerade datoranvändare kan använda Tor för att t ex testa sina egna nätverk, kolla upp sina branschkollegor och använda sökmotorer utan att spåras.

Tor har en stor nytta och många bra användningsområden. Det enda som egentligen är till dess nackdel, det är det faktum att det finns ett begränsat antal Tor-noder runt om i världen. När man surfar med Tor så går det i regel långsammare än när man surfar som vanligt.

Har du testat Tor? Vad tycker du om det? Lämna gärna en kommentar här nedan!

Liknande inlägg:

Tekniska nyheter, gott och blandat

FS Data förbättras hela tidenDet händer en massa bra saker på tekniksidan hos oss mest hela tiden. Även om vi gärna ingående redovisar så mycket som möjligt här i vår blogg så är det inte alltid vi kan det. För att komma ikapp med de förbättringar som skett hos oss på sistone så kommer här en liten sammanfattning.

Gott och blandat om tekniska nyheter helt enkelt.

- Fortsatt arbete med nätverket (snart ny nätverkslösning)

Vi har som bekant haft återkommande nätverksstörningar, orsakade dels av ett regelverk i vår brandväggslösning och dels av extremt stora (och återkommande) DDoS-attacker. Även om våra tekniker snabbt har motverkat störningarna så har de varit högst kännbara och beklagliga.

Våra tekniker har arbetat aktivt för stabilisera vårt nätverk och vår brandväggslösning. Vi har genomfört ett flertal uppgraderingar, både av mjuk- och hårdvara, och sett klara förbättringar där.

Innan störningarna uppstod så hade våra tekniker arbetat i över ett halvår med en helt ny nätverkslösning. Denna lösning innebär bl a att vi kraftigt ökar vår nätverkskapacitet, att vi får ett ännu bättre DDoS-skydd samt att vi kan få in fler leverantörer med ännu bättre redundans (vi har redan redundans med separata förbindelser in till oss).

Den nya nätverkslösningen har högsta möjliga prioritet och de sista förberedande testerna för denna lösning har skett här i veckan. Om allt går som planerat så kommer den nya nätverkslösningen vara på plats inom 1-2 veckor. När den nya nätverkslösningen är klar så ska dessa återkommande nätverksstörningar vara ett minne blott.

- Förbättrad spam- och e-posthantering

Vi har de senaste veckorna även upplevt en del störningar i vår e-postmiljö. Det har berott på en kraftig ökning av skräppost/spam, med uppåt 200 e-postmeddelanden/sekund varav ca 85 % var spam. Detta har både till större mängder spam än vanligt hos våra kunder samt längre leveranstider för e-postmeddelanden.

Även här har våra tekniker arbetat väldigt aktivt. Vi har dels utvecklat egna moduler för effektivare filtrering av spam och dels upptäckt (och åtgärdat) fel i e-posthanteringen för Exchange 2013 (vilket har rapporterats till Microsoft).

Efter de senaste åtgärderna i Exchange 2013, som skedde förra helgen, så har vi inte haft några mer problem med varken spam eller leveranstiderna för våra e-posttjänster. Vi fortsätter dock att övervaka detta noggrant.

- Utökat hemsideskydd med ModSecurity

Sedan några månader tillbaka kör vi ett säkerhetstillägg som heter ModSecurity på våra Linuxbaserade webbservrar (för webbhotellskunder och serverkunder med drifttjänst). Detta tillägg upptäcker och stoppar vanligen förekommande angrepp och vi har sett en klar minskning av antalet hackade hemsidor med ModSecurity.

ModSecuritys skydd baseras på olika regelverk/filter och vi kör både de öppna/allmänt tillgängliga reglerna samt det kommersiella regelverket. Det förstnämnda är rätt enkelt, men det andra har krävt en hel del anpassningar för att fungera med alla våra kunders hemsidor (ingen hemsida är den andra lik).

Vi har därför väldigt försiktigt infört och utökat detta skydd på våra webbservrar de senaste månaderna. Nu har vi fullt skydd med ModSecurity på nästan alla servrar och vi räknar med att vara helt klara till sommaren.

- Ubuntu 14.04, CentOS 6.5 & FreeBSD 10.0

Vi erbjuder nu stöd för de senaste versionerna av Linux-distributionerna Ubuntu (14.04) och CentOS (6.5) i våra VPS-tjänster. Dessutom har vi även introducerat FreeBSD som ett alternativ till Linux och Windows. FreeBSD är ett riktigt UNIX-operativ som är känt för god prestanda, säkerhet och stabilitet.

- PHP-uppgraderingar i veckan

Precis som vanligt så hade vi ett planerat servicefönster den första tisdagen denna månad. Där uppgraderades bl a PHP till de senaste versionerna, för ökad säkerhet och prestanda. Nu erbjuder vi PHP 5.5.13 och 5.4.29 (samt PHP 5.3.27 och 5.2.17 sedan tidigare) till alla våra webbhotellskunder.

- Välj egen version av Ruby

All programvara är inte lika bakåtkompatibelt som PHP. En programvara som vi har stöd för och som, på servernivå, inte är lika enkel att uppgradera är programmeringsspråket Ruby. Även om vi fortlöpande säkerställer Ruby så skulle många av våra kunders Ruby-applikationer/hemsidor sluta fungera om vi uppgraderade hur som helst.

Det är dock fullt möjligt att köra valfri version av Ruby hos oss med Ruby Version Manager (RVM). Läs gärna vår nya manual om hur detta fungerar: Välj version av Ruby med RVM

Det var några höjdpunkter från tekniksidan hos oss. Om du har frågor eller funderingar här, lämna då gärna en kommentar nedan.

Liknande inlägg:

Heartbleed, senaste SSL-buggen

Heartbleed SSL-buggDet har nyligen uppdagats en ny och allvarlig bugg i programvaran OpenSSL, som används för säkra anslutningar mellan klient och server (via SSL/TLS). Buggen, med Security Advisory CVE-2014-0160, har fått namnet Heartbleed eftersom den berör minneshanteringen i heartbeat-funktionen för TLS.

Kunder med webbhotell eller dedikerad server med drifttjänst hos oss är inte påverkade av denna bugg.

Vi vill starkt rekommendera kunder med VPS, dedikerad server eller colocation-server att uppgradera sina Linux-servrar. Det räcker gott och väl att uppdatera sin server som vanligt (uppdatera källor, uppgradera programvaror och starta om servern).

På denna sida kan man kontrollera om en hemsida är påverkad av Heartbleed: http://filippo.io/Heartbleed/

Mer information om Heartbleed finns här: http://heartbleed.com/

Liknande inlägg:

Säkerhetshål i Linux: GnuTLS (SSL)

De senaste veckorna har ett allvarligt säkerhetshål i Apples operativsystem (iOS och Mac OS X) diskuterats flitigt ute på nätet. Säkerhetshålet berör säker/krypterad kommunikation och uppdateringar, som åtgärdar säkerhetshålet, är tillgängliga för Apple-användare (läs: uppdatera era mobiler/datorer om ni inte redan gjort det).

GnuTLS är trasigtDet är dock inte bara Apples operativsystem som drabbats av ett sådant här säkerhetshål. Ett liknande säkerhetshål har nyligen även upptäckts i Linux, eller i GnuTLS-biblioteket, som berör i princip alla Linux-distributioner (Debian, Ubuntu, Red Hat osv).

Säkerhetshålet är allvarligt då det under vissa omständigheter kan ge illasinnade möjlighet att avlyssna trafik till SSL/TLS-skyddade hemsidor (via en sk. man in the middle-attack). Det är inte bara är hemsidor som berörs, utan i princip alla tjänster med säker/krypterad kommunikation (e-post, databaser osv).

Om du kör en/flera maskiner (datorer/servrar) med Linux så vill vi uppmana till omedelbar uppdatering.

Säkerhetshålet i GnuTLS-biblioteket upptäcktes lite tidigare i veckan och våra tekniker uppdaterade alla våra Linux-baserade webbservrar (och servrar för kunder med drifttjänst) under vårt ordinarie servicefönster i tisdags. Våra webbhotellskunder (och serverkunder med drifttjänster) berörs inte av detta säkerhetshål.

Kunder som hanterar sina egna Linux-servrar hos oss bör dock omedelbart uppdatera dessa.

Denna artikel innehåller mer information: Critical crypto bug leaves Linux, hundreds of apps open to eavesdropping. Här är den officiella informationen från GnuTLS: GnuTLS, Security Advisories, GNUTLS-SA-2014-2.

Liknande inlägg:

Fler väljer svensk, säker e-post

Hälsoläget i .se 2013.SE (Stiftelsen för internetinfrastruktur) presenterar årligen en rapport om hälsoläget i .se zonen, baserat på domännamn tillhörande statliga bolag, banker, finansföretag, kommuner osv. Det är domäner som förväntas ligga i framkant vad gäller teknisk utveckling, säkerhet och funktionalitet.

I undersökningen kontrolleras olika tekniska faktorer, som om domänerna har stöd för DNSSEC, IPv6, var de befinner sig geografiskt osv. Undersökningen för 2013 (PDF) inkluderar 913 st domännamn och även om det kanske inte är en statistiskt säkerställd rapport så är det en bra indikation av utvecklingen i den svenska domänzonen.

Det som främst fångade vårt intresse i den nya rapporten, det var e-postutvecklingen.

E-post är ett av de viktigaste kommunikationsmedel som vi har idag. Det är samtidigt ett av de mest utsatta kommunikationsmedel som finns. E-post skickas/tas emot och lagras vanligtvis i klartext. Dessutom lyssnar gärna många utländska myndigheter på den e-post som hanteras utanför Sverige.

Rapporten från .SE visar att allt fler tar sin e-postsäkerhet på allvar.

  • 2012 var 42 % av e-postservrarna för dessa domännamn placerade i Sverige. I den nya rapporten, för 2013, så är 54 % av e-postservrarna placerade i Sverige.
  • En annan positiv utveckling är stödet för TLS (säker kommunikation med e-postservrar). Föregående år hade 45 % av e-postservrarna stöd för TLS. 2013 hade 54 % av e-postservrarna stöd för TLS.

Även om det finns gott om utrymme för förbättring så är detta ändå glädjande. Att byta e-postserver kan vara svårt och ta tid (om man inte använder vår flytthjälp), så det är fullt möjligt att vi kommer få se ännu fler svenska säkra e-postservrar till nästa år (till följd av det senaste årets avslöjanden om utländsk övervakning).

FS Data är ett säkert webbhotellEtt enkelt sätt att få svensk, säker e-post är att välja FS Data som e-postleverantör.

Vi erbjuder snabba, säkra och stabila e-posttjänster från våra serverhallar i Helsingborg. Våra e-postservrar har givetvis stöd för TLS och vi arbetar aktivt för säkrare e-post, bl a genom att stödja den säkra e-postklienten Mailpile.

Läs gärna mer om våra e-posttjänster här: FS Data, E-post

Liknande inlägg: