Etter at noen installasjoner av WordPress 2.8.4 (du har oppgradert?) ble utsatt for en del angrep av bl.a. typen Denial-Of-Service har behovet for å ha kontroll med sin WordPress installasjon økt. Det er selvsagt alltid viktig å benytte seg av riktige fil og mappe rettigheter på serveren din, men dette er noe jeg vet av erfaring kan være vanskelig å sette seg inn i. Siden du er eier av ditt eget domene med WordPress installert, så går jeg utifra at du har lest gjennom WordPress sin guide til sikre fil rettigheter - hvis ikke så bør du gjøre det nå!

Nå skal det sies at selv om du både har lest igjennom dette og holder tungen beint i riktig munn – så er det ikke så lett å få dette riktig til.

En annen ting du alltid gjør er jo selvsagt å «lese» igjennom koden til temaer og innstikk du laster ned fra andre steder enn WordPress.org – for du vet aldri hva du kan ha lastet ned… Du trenger ikke å kunne PHP/mySQL eller HTML for å «lese» igjennom koden i det du laster ned. Hvis du vet hva du skal se etter, er det for så vidt enkelt å finne ting som ikke skal være der. Her er en liten oversikt over hva du kan se etter;

<iframe

<iframe brukes gjerne til å sette innhold inn i bloggen din fra andre nettsteder. Brukes gjerne i temaer.

eval(

eval( brukes gjerne i innstikk og temaer for å skjule bl.a. javascripts og php/html kode

String.fromCharCode

String.fromCharCode brukes ofte til å skjule javascript

base64_decode

base64_decode brukes ofte til å skjule ondsinnet kode, gjerne URLer (nett adresser)

Disse eksemplene er ikke utfyllende, det vil si at det finnes mange andre måter å skjule ondsinnet kode i noe så uskyldig som et tema til din WordPress blogg. Det dumme er at alle disse eksemplene kan også brukes på en «pen» måte, det vil si de kan være en nødvendig del av koden som trengs for å drive et tema eller et innstikk på bloggen din, så det er viktig å se dette i sammenheng med resten av koden. Noe som ofte skille «snill» kode og «ondsinnet» kode er kommentarer i koden. En programmerer med rent mel i sekken kommenterer som oftest i koden sin. Det vil si at han eller hun skriver små forklarende kommentarer i og rundt koden. Et eksempel på kode med kommentar;

base64_decode('R0lGODlhAQABAIAAAH//AP///ywAAAAAAQABAAACAUQAOw==')); // very simple 1px GIF file base64-encoded as string

Det å lese igjennom kode er selvsagt ikke noe som er gøy å gjøre men av og til er det noe du virkelig bør vurdere å gjøre. For de av dere som følger en del (litt mer en normalt…) med i WordPress miljøet er nok kjent med Donncha O Caoimh – mannen bak mange innstikk og ikke minst drivkraften bak WordPress MU. Donncha har bl.a utviklet innstikket WordPress Exploit Scanner. WordPress Exploit Scanner er et innstikk som leser igjennom alle mapper og filer i din WordPress installasjon for å finne ut om noen har plantet ondsinnet kode i noen av disse. Dette er noe som selvsagt letter jobben din voldsomt med å holde bloggen din sikker, men den erstatter ikke det å lese gjennom koden med (u)jevne mellomrom, være sikker på hvor du laster ned temaer og innstikk fra – og sist men ikke minst at du ofte tar backup av bloggen din.

WordPress Exploit Scanner finner bl.a. de metoder som er nevnt over, men har ingen mulighet for skille «snill» fra «ondsinnet» kode, dette er noe du selv må vurdere i hvert enkelt tilfelle. Men framdeles gjelder tommelfinger regelen at «snill» kode som oftest er kommentert av programmereren. En annen måte å verifisere at koden som er i din(e) tema og innstikk er legitime, er å spørre utvikleren selv. Du kan også benytte deg av det norske WordPress forumet som du finner på http://norsk.bloggs.be – der vil det som oftest være noen som kan svare deg eller peke deg i riktig retning for videre «etterforskning».

Når du har ditt eget domene med WordPress eller annen form for programvare på, er det viktig at du har kontroll på hva du laster inn på serverplassen din, du som domene eier står selv ansvarlig for at ikke din side inneholder kode som enten kan være en plage eller skadelig for dine besøkende og/eller serveren du er leier plass på. En av de viktigste vedlikeholds rutinene du må følge er å holde all kode oppdatert til siste utgave. Som WordPress bruker er dette enkelt for deg. Både selve «hovedkoden» (WordPress) og alle innstikk og temaer lar seg raskt og enkelt oppgradere fra WordPress sitt kontrollpanel.

Hvis du føler at du ikke har kunnskap nok til å vedlikeholde og drifte en WordPress installasjon, bør du gjerne vurdere noen av de gratis blogg alternativene som finnes der ute. Alternativt kan du ta kontakt med et firma som kan hjelpe deg med både vedlikehold og sikkerhets kontroller av bloggen/serverplassen din. Mye av «hemmeligheten» med å finne «ondsinnet» kode er erfaring – det å vite hvor man skal lete og hva man skal lete etter.

Husk alltid de tre B’er når det gjelder alt som gjelder data; Backup, Backup og Backup…

De siste dagene har det vært mange triste historier om bloggere som er blitt hacket. Dette gjelder veldig mange som bruker utdaterte versjoner av den populære plattformen WordPress.

Som eier og administrator av eget domene med påfølgende programvare og systemer har du som blogger et ansvar. Det ansvaret er å holde bloggen din oppdatert med siste utgave av systemet.

Det finnes ingen programmer som er helt uten feil og mangler og jo mer kompleks systemene blir jo vanskeligere er det å finne disse feilene og manglene. WordPress er et av verdens mest brukte systemer innen blogging. Det gir både fordeler og ulemper. Ulempene er at de blir et yndet mål for de som ikke alltid har like gode hensikter med sine gjerninger, noe som igjen gir det resultat at WordPress blogger blir hacket.

Stort sett må det være sånn at en eller flere blir hacket før en mangel eller feil oppdages med et hvilket som helst system – så også med WordPress. Fordelen med WordPress og OpenSource applikasjoner er jo at det er mange utviklere som jobber med systemet. Dette fører til at (sikkerhets)feil og mangler blir veldig for rettet og sendt ut til brukerne.

Fra versjon 2.7 av WordPress vil det på toppen av din bloggs administrasjons del være en gul linje med beskjed om å oppgradere – å ignorere denne er ingen god ide. Når det gjelder WordPress etter utgave 2.7 er oppgraderingen veldig enkel. Trykk på «oppgrader automatisk» knappen og vent noen minutter – og så er det gjort. Du må selvsagt ta en backup av databasen din eller iallefall av alle postene dine.

Tiden du bruker på å oppgradere din WordPress installasjon er vesentlig kortere enn den tiden du bruker på å rydde opp i samme installasjonen etter at den er utsatt for uhumskheter som hackere eller såkalte ormer.

En av grunnene til at mange vegrer seg for å oppgradere er frykten for at innstikk de bruker skal slutte å virke. Det vil selvsagt alltid være en mulighet for at et eller flere av innstikkene du bruker slutter å virke, men spørsmålet du da bør stille deg er om dette eller de innstikket/innstikkene er verdt å ta unødige sjanser for. Når resultatet kan bli en hacket og ødelagt blogg som du må bruke mange timer på å rydde opp i igjen kontra den muligheten at et par innstikk sluttet å virke? Det er jo tross alt innholdet i bloggen din (postene og bildene) som er det viktige, at du i en periode er nødt å kjøre bloggen din med litt mindre funksjonalitet burde ikke hindre deg i å oppgradere!

Så alle WordPress bloggere – oppgrader bloggen din NÅ!

Hvis du vil følge med på Twitter om hva andre sier om #WordPress og #WP så kan du klikke på en av de hashtaggene.

Apple har i kveld sluppet en oppdatering til iPhone. Denne oppdateringen gjør kun en ting, den fjerner en sikkerhetsfeil ved SMS. Denne feilen er ikke unik for Apple iPhone. Google har også oppdatert Android. Du finner oppdateringen gjennom iTunes og kun iTunes. Den blir ikke tilgjengelig via Apples sider.

Oppdateringen anbefales for alle brukere av iPhone.

Er vi for morbide eller er vi for paranoide? Jeg vil du skal sette deg ned og tenke over din digitale verden. Bruk to minutter på dette, og les videre…

Har du brukt to minutter på å tenke over din digitale verden nå? Du ble vel litt usikker på hva jeg mente? Med din digitale verden tenkte jeg på alle dine (daglige) digitale gjøremål. Du har minst en epost konto, Facebook, Twitter, online bank, blogg(er), IdentiCa, Skype, Flickr, Skatteetaten, NAV, Norsk Tipping – bare for å nevne noen. Hva skjer den dagen du brått faller fra? Hva gjør dine etterlatte med alle de online/digitale profilene dine? De har alle et passord og/eller en pin kode. Du har gjerne kryptert harddisken din? Og for å være 100% sikker så er minnepinnen og S3 disken din også kryptert. Og de er ikke kryptert med hva som helst. gjerne en 128bits AES kryptering. Noe som ikke er enkelt å knekke…

Du har din egen nøkkel for å låse opp dette, det er samme nøkkelen som låser opp passordlisten din – men gir du den nøkkelen til andre? Gir du den til din samboer? Til din ektefelle? Til din advokat? Uansett hvem du gir nøkkelen til så blir dine data mindre sikre.

Eller dropper du kryptering av dine data? Lar du din ektefelle eller samboer få PIN koden på bankkortet, passordet til alle online profilene dine og alle epostkontoene dine? Satser du på online tjenester som sender alle dine opplysninger til en gitt epostadresse hvis du ikke stopper den en gang i uken? Da er det jo enda flere som har tilgang til alle dine data…

Er du en av de som tenker «det blir ikke mitt problem…»? Eller er du ikke så nøye på det? Du har gjerne bare 1 passord på alle tjenester, som står på en post-it lapp klistret på maskinen din?

Uansett hva du velger å gjøre med alle dine passord og bruker identiteter, så bør du bruke litt tid til å tenke på hva som skjer når ting først går gale. Det er ikke alltid du får tid til å planlegge slike ting i forkant. Noen ganger vil det rett og slett bare skje… Bruk gjerne noen timer på å skrive ned alle data på et stykke papir, lås dem inn i en bankboks og avtal med banken om at ved framvising av erklæring fra offentlig myndighet kan dine pårørende hente ut det som ligger i bankboksen. Eller gi de viktigste passord og bruker identiteter til et familiemedlem eller nær venn som du kan stole 110% på.

Hva du enn velger å gjøre, er det viktig å tenke over hva som skjer når du plutselig er borte og prøve så godt som mulig å tilrettelegge for dine etterkommere. Samfunnet og livet er ikke som før, da familien brukte en og samme bank i generasjoner og det var stort sett banken som trengte å vite hvem du var. Nå er mesteparten av livene våre på en eller annen måte digitalisert. Bare forestill deg to uker uten datamaskin, mobiltelefon og internett. De samme to ukene legger du vekk alle elektroniske betalingsmiddler du har… Nei, det er ikke lett. Uten alle våre (nødvendige?) elektroniske hjelpemiddler blir vi ganske lammet…

Nå synes du muligens denne posten ble for morbid og lurer gjerne på hvorfor jeg laget den. Temaet er kommet opp noen ganger i årenes løp men jeg har aldri tenkt noe videre over det. Men de siste ukene har det vært mye skriverrier om ulykker og dødsfall. Først falt en AirFrance maskin ned med tragiske konsekvenser, deretter falt en annen Airbus maskin ned – med like tragiske konsekvenser. Sommeren er også høysesong for både trafikk ulykker og andre ulykker, ofte med tragisk utfall. Jeg som alle andre setter meg ikke inn i bilen og tenker dette blir min siste kjøretur eller setter meg på flyet for å reise på ferie og tenker at dette blir siste flyturen… Ingen er så morbid. Derimot tror jeg det er viktig at vi reflekterer på det denne posten omhandler. Alle dine passord og bruker identiteter er noe som kan bety mye for dine etterlatte. Tenk bare på hvor fælt det må være for dine etterlatte å se at Facebook kontoen din stadig er aktiv – et halvt år etter du er vekke…

Har du gjort deg opp noen mening om dette? Har du noen greie løsninger på hvordan en slik problemstilling kan løses? Del gjerne noen ord med oss andre i kommentarfeltet!