Skillnad mellan versioner av "Hackad hemsida"

(Wordpress)
Rad 13: Rad 13:
 
# Köp engångsuppgradering av oss för 396 kr + moms.
 
# Köp engångsuppgradering av oss för 396 kr + moms.
 
# Köp underhållsavtal för Wordpress, vi utför varje månad förebyggande uppgraderingar, företag 200 kr / månad + moms, privatperson 50 % rabatt. Ingen bindningstid.
 
# Köp underhållsavtal för Wordpress, vi utför varje månad förebyggande uppgraderingar, företag 200 kr / månad + moms, privatperson 50 % rabatt. Ingen bindningstid.
# Tag egen backup på dina filer och databas, vi är inte din backup.
+
# Tag egen backup på dina filer och databas, vi är inte din backup. Man kan manuellt aktivera månatlig backup i vår kontrollpanel.
 
# '''Installera minst 1 av säkerhetsprogram liknande dessa, absolut nödvändigt, speciellt INNAN du blir hackad:'''  
 
# '''Installera minst 1 av säkerhetsprogram liknande dessa, absolut nödvändigt, speciellt INNAN du blir hackad:'''  
 
  '''https://wordpress.org/plugins/wordfence/'''
 
  '''https://wordpress.org/plugins/wordfence/'''
 
  https://wordpress.org/plugins/sucuri-scanner/
 
  https://wordpress.org/plugins/sucuri-scanner/
  
  Testa din hemsida så att den är minst PHP7.0 kompatibel (2017), gamla plugins skall uppdateras eller avinstalleras:
+
  Testa din hemsida så att den är minst PHP7.3 kompatibel (2019), gamla plugins skall uppdateras eller avinstalleras:
 
  https://wordpress.org/plugins/php-compatibility-checker/
 
  https://wordpress.org/plugins/php-compatibility-checker/
  
Rad 65: Rad 65:
 
# Ställ in under Inställningar och Diskussion, tex att: "Användare måste vara registrerade och inloggade för att kunna kommentera".  
 
# Ställ in under Inställningar och Diskussion, tex att: "Användare måste vara registrerade och inloggade för att kunna kommentera".  
 
# Stäng av kommentarer på samtliga sidor och inlägg, klicka "Snabbredigera".
 
# Stäng av kommentarer på samtliga sidor och inlägg, klicka "Snabbredigera".
# Installera tillägg för att blockera, tex: https://wordpress.org/plugins/wp-spamshield/
+
# Installera tillägg för att blockera, tex Akismet eller liknade.
  
 
'''Formulär:'''
 
'''Formulär:'''
 
# Skicka aldrig ut kopia till avsändaren, det missbrukas av spammers, avsändaren blir deras mottagare.
 
# Skicka aldrig ut kopia till avsändaren, det missbrukas av spammers, avsändaren blir deras mottagare.
# Använd CAPTCHA eller WP-Spamshields formulär.
+
# Använd CAPTCHA om möjligt.
 
# Ställ in SMTP manuellt för ditt e-postkonto om möjligt.
 
# Ställ in SMTP manuellt för ditt e-postkonto om möjligt.
  

Versionen från 9 september 2019 kl. 11.00

Hackad hemsida ?

Tyvärr vilar aldrig hackers, dom letar dygnet runt efter kända och okända hot på nätet. Börjar en hemsida skicka ut massa spam så drabbas i regel alla kunder på samma server pga RBL (Realtime Block Lists), dvs andra mottagare ser oss som spamserver. Även vi blockerar andra sändare på samma sätt.
Vi blockerar hackade sidor så fort vi ser felet. Kunden är sedan själv ansvarig för att städa upp.

För framtiden

  1. Din hackade hemsida förstör för alla andra på samma server/IP-adress, ignorera inte din egen sida.
  2. Gå med i mejllista för säkerhetsnotifieringar till Wordpress/Joomla/Drupal och dina tillägg.
  3. Kontrollera din hemsida minst 1 gång per månad att allt är uppdaterat och säkert.
  4. Köp engångsuppgradering av oss för 396 kr + moms.
  5. Köp underhållsavtal för Wordpress, vi utför varje månad förebyggande uppgraderingar, företag 200 kr / månad + moms, privatperson 50 % rabatt. Ingen bindningstid.
  6. Tag egen backup på dina filer och databas, vi är inte din backup. Man kan manuellt aktivera månatlig backup i vår kontrollpanel.
  7. Installera minst 1 av säkerhetsprogram liknande dessa, absolut nödvändigt, speciellt INNAN du blir hackad:
https://wordpress.org/plugins/wordfence/
https://wordpress.org/plugins/sucuri-scanner/
Testa din hemsida så att den är minst PHP7.3 kompatibel (2019), gamla plugins skall uppdateras eller avinstalleras:
https://wordpress.org/plugins/php-compatibility-checker/
Installera SMTP plugin så att din hemsida skickar korrekt såsom Easy WP SMTP: https://sv.wordpress.org/plugins/easy-wp-smtp/

Wordpress

Vanligaste felen och hur man åtgärdar just nu listas upp här:

Wordpress måste uppgraderas till minst 4.9.9 eller 5.01, läs mer här:

https://thehackernews.com/2019/02/wordpress-remote-code-execution.html

Temat Avada [1] skall uppgraderas omgående till minst 5.1.6 pga XSS och CSRF säkerhetsluckor.

Wordpress version 4.7.0 och 4.7.1 är osäkra och man riskerar bli hackad, uppgradera per omgående till 4.7.5 minst.
Läs mer här: https://wordpress.org/news/2017/01/wordpress-4-7-2-security-release/


Wordpress och dess tillägg är ofta hackade. Om det händer så följ våra rekommendationer:

  1. Stäng av sidan via kontrollpanel och/eller installera: https://wordpress.org/plugins/lj-maintenance-mode/
  2. Avinstallera samtliga tillägg och teman du inte använder.
  3. Kontrollera error och access loggfiler i /log mappen via FTP för att få tips om vad som hänt och vad som missbrukas.
  4. Leta igenom samtliga mappar och filer i /web eller /wwwroot, man kan se på datum vilka filer som sticker ut och är misstänkta. Flytta dem till /tmp eller /private för mer kontroll och om du är osäker.
  5. Kontrollera filträttigheter enligt suexec : http://codex.wordpress.org/Changing_File_Permissions#Shared_Hosting_with_suexec
  6. Uppgradera Wordpress, samtliga teman och tillägg till senaste version.
  7. Alternativt ominstallera wordpress (genom FTP: för över alla filer igen) för att vara säker på att ingen fil är ändrad.
  8. Kör scan via https://wordpress.org/plugins/wordfence/ , detta tillägg kan hitta filer som är gamla eller inte hör till Wordpress.
  9. Byt alla lösenord i kontrollpanelen för MySQL och FTP samt alla Wordpress användare, se även direkt i databasen via PHPmyadmin.
  10. Ställ in SMTP manuellt ifall du behöver skicka ut lösenordsåterställning eller formulär tex via: https://sv.wordpress.org/plugins/easy-wp-smtp/

Använd: "Send all WordPress emails via SMTP", Servernamnet (se välkomstbrev) eller localhost, port 587/465 och TLS, autentisera dig med ditt e-postkonto och lösenord (skapa det i kontrollpanelen först eller ett speciellt för wordpress), och testskicka.

Kända dåliga tillägg:

  1. Revslider (Revolution Slider): installera detta tillägg: https://wordpress.org/plugins/patch-for-revolution-slider/
  2. Gravityforms (security fix was applied in the version 1.8.20)
  3. WP-super-cache (version 1.4.4 minst krävs)
  4. NextGEN (version 2.1.79 minst krävs)
https://blog.sucuri.net/2017/02/sql-injection-vulnerability-nextgen-gallery-wordpress.html
https://blog.sucuri.net/2015/02/malware-cleanup-to-arbitrary-file-upload-in-gravity-forms.html
https://blog.sucuri.net/2015/04/security-advisory-persistent-xss-in-wp-super-cache.html
https://blog.sucuri.net/2014/12/revslider-vulnerability-leads-to-massive-wordpress-soaksoak-compromise.html
https://blog.sucuri.net/2014/12/analyzing-the-wordpress-soaksoak-favicon-backdoor.html
https://blog.sucuri.net/2015/02/zero-day-in-the-fancybox-for-wordpress-plugin.html

Kommentarer missbrukas:

  1. Ställ in under Inställningar och Diskussion, tex att: "Användare måste vara registrerade och inloggade för att kunna kommentera".
  2. Stäng av kommentarer på samtliga sidor och inlägg, klicka "Snabbredigera".
  3. Installera tillägg för att blockera, tex Akismet eller liknade.

Formulär:

  1. Skicka aldrig ut kopia till avsändaren, det missbrukas av spammers, avsändaren blir deras mottagare.
  2. Använd CAPTCHA om möjligt.
  3. Ställ in SMTP manuellt för ditt e-postkonto om möjligt.

Windows

  1. Microsoft utvecklar inte ASP längre. Planera ombyggnad till ASP.NET eller PHP.
  2. Editorer av olika slag är kända problem, tex FCKeditor, avaktivera om möjligt.
  3. Stäng av webusers skrivrättigheter med "nyckellåset" i kontrollpanel, nackdel är då att tex Wordpress inte heller får uppgraderas, så man får toggla denna vid uppdatering.