Ny feature: Let’s Encrypt på ASP-webhoteller

Man skulle simpelthen ikke tro det var så besværligt at lave Let’s Encrypt på IIS/Windows, men det er det åbenbart.

Vi har brugt en del tid på at finde den rigtige løsning for vores kunder, og os – så det hele fungerer lige så smertefrit og automatisk som på vores PHP-webhoteller.

Vi er derfor glade for, at have opfundet den dybe tallerken og nu kunne tilbyde Let’s Encrypt på vores ASP-webhoteller, med automatisk fornyelse osv.

Læs videre “Ny feature: Let’s Encrypt på ASP-webhoteller”

Ny Feature: Let’s Encrypt SSL-certifikater

Vi har længe tilbudt HTTPS beskyttelse af vores webhoteller. HTTPS beskyttelse kræver et SSL-certifikat, der indtil for nyligt krævede at man gik og ud købte ét.

Let’s Encrypt er et gratis Domain Validated (DV) SSL-Certifikat som alle kan bruge. Formålet med Let’s Encrypt er at udbrede HTTPS beskyttelse, og Let’s Encrypt understøttes af alle gængse browsere.

Vi er glade for nu at kunne tilbyde Let’s Encrypt på vores PHP webhoteller.

Hvis du har dit eget SSL-certifikat, kan du stadig også vælge at bruge dette, samt du stadig kan købe et SSL-certifikat igennem os.

Du kan gøre brug af Let’s Encrypt SSL-Certifikater når du har aktiveret HTTPS Beskyttelse under Administration i vores Kontrolpanel.

Vi arbejder på at tilbyde Let’s Encrypt på ASP webhotellerne, men desværre er Windows-klienten ikke så langt fremme som Linux-klienten.

awesome

Ny feature: SSH-adgang til PHP-webhoteller

Vi elsker Composer, det er en mindre revolution inden for PHP.

For at bruge Composer, git og andre smarte systemer kræver det at man kan afvikle shell-kommandoer på ens webhotel. Det har indtil nu ikke været muligt, da det kræver man kan forbinde til ens webhotel med SSH.

Da vi selv udvikler meget i PHP har vi tit sympatiseret med kunder der gerne vil bruge Composer og derfor er vi ekstremt glade for nu at kunne tilbyde SSH-adgang til alle PHP-webhoteller.

Læs videre “Ny feature: SSH-adgang til PHP-webhoteller”

Ny feature: One-time logins

“Kan du ikke lige sende mig et one-time login?”

Vi ser ofte kunder få hjælp af andre til at opsætte deres webhotel, finjustere deres DNS, Mail el. lign. Det er vi selvfølgelig meget glade for, det er fantastisk at se folk hjælpe hinanden.

Før har det været nødvendigt at oplyse andre personer om ens UnoEuro brugernavn og adgangskode, for at give dem midlertidig adgang til ens UnoEuro kontrolpanel. Det er selvfølgelig ikke så optimalt.

Derfor har vi lavet en ny funktion i kontrolpanelet, der gør det muligt at lave et one-time login til ens UnoEuro kontrolpanel, som man kan sende eller videregive til personen der har brug for at logge ind på ens UnoEuro konto. Dette login virker kun én gang og skal bruges inden for 24 timer, så der er ingen behov for at ændre adgangskoder hverken før eller efter.

Bemærk at man selvfølgelig skal være påpasselig med hvem man giver adgang til, ultimativt kan personen gøre stor skade hvis han/hun ønsker det.

Du finder funktionen under “Stamdata” > “Adgangskoder & Sikkerhed” i vores Kontrolpanel.highfive

“Hjælp! Min WordPress er blevet hacked!”

Det er ikke nogen hemmelighed at vi hoster ekstremt mange WordPress-installationer, og det er heller ikke nogen hemmelighed at der findes ekstremt mange WordPress-plugins -og temaer. Desværre er der stor forskel på kvaliteten af disse plugins og temaer. Ofte er de årsag til store sikkerhedsproblemer, som bl.a. opstår når man ikke opdaterer dem, eller når udvikleren af et plugin/tema stopper med at vedligeholde det og dermed stopper med at rette sikkerhedsfejl. Læs videre ““Hjælp! Min WordPress er blevet hacked!””

Udfasning af formmail

Du vidste det måske ikke, men vi har faktisk i mange år tilbudt en formmail.

Formmailen har været en nem måde at sende mail igennem HTML, uden at gøre brug af PHP eller ASP/ASP.NET.

Desværre er tiden løbet fra en central formmail. Pga. misbrug og vedligeholdelse, ser vi os derfor nødsaget til at lukke ned for denne. Som alternativ kan der gøres brug af mail funktionen direkte i PHP, eller i ASP/ASP.NET

Det er selvfølgelig også stadig muligt at finde en hosted formmail-service et andet sted.

Vi beklager evt. gener det medfører de få kunder der stadig måtte bruge vores formmail.

PHP 5.6 opdatering (påmindelse)

Vi arbejder på højtryk på vores PHP 5.6 opgradering og vil derfor allerede nu gerne varsle vores kunder at vi i løbet af efteråret (oktober/november) forventer at opgradere samtlige PHP webhoteller til PHP 5.6 (fra PHP 5.3).

Den præcise dato følger.

Hov, PHP 5.6 Hvorfor ikke PHP 5.4 eller PHP 5.5?

Der er ingen grund til at opgradere til PHP 5.4, dernæst PHP 5.5 og så efterfølgende til PHP 5.6.

Det har altid været vores mål at tilbyde alle kunder nyeste version af PHP, ligesom vi tilbyder nyeste version af fx MySQL og ASP.NET. Det er vi glade for endelig at kunne komme tilbage til.

Kan jeg stadig bruge PHP 5.3?

Nej, efter opgraderingen vil det ikke være muligt at bruge PHP 5.3, PHP 5.4 eller PHP 5.5 på vores webhoteller. Kun PHP 5.6.

Men jeg ved ikke hvad jeg skal gøre?

Sørg for at opdatere dit CMS, eller kontakt din webmaster omkring det. Det samme gælder, hvis der imod forventning skulle opstå problemer som følge af opgraderingen.

Hvad går i stykker?

Som udgangspunkt er der ikke de store bagudkompatibitetsproblemer.

Kunder der bruger CMS systemer og plugins til disse, bør sørge for at disse er fuldt opdateret – så burde der ikke opstå problemer.

Se følgende links omkring opgradering fra PHP 5.3 til PHP 5.6:

default_charset

Vi har observeret der kan være nogle problemer med tegnsæt. Vores servere er sat til ISO-8859-1 pga. bagud-kompatibilitet. Ønsker du at køre UTF-8 (eller oplever problemer med tegnsæt) kan det være nødvendigt at sætte default_charset til UTF-8 med en .htaccess fil og linjen:

php_value default_charset "utf-8"

Du også tvinge tegnsættet til ISO-8859-1, skulle serveren senere blive ændret til UTF-8 (muligt):

php_value default_charset "ISO-8859-1"

Du kan lave disse ændringer allerede inden opgraderingen til PHP 5.6.

Hvad med safe_mode?

safe_mode er ikke længere eksisterende i PHP 5.6.
Ja, du læste rigtigt, de tider er bag os :)

Hvad så med sikkerheden?

Vi har altid sat stor ære i vores sikkerhed. Vi har brugt enormt meget tid på at sørge for vores servere er sikret selv om safe_mode forsvinder.

Hvad med open_basedir?

open_basedir er stadig aktiveret på vores servere. Det er muligt vi med tiden vil fjerne dette.

Kører i stadig Apache?

Ja, vi kan godt lide Apache :)

Vi kører dog ikke mod_php5 mere, men det bør ikke have nogen betydning.

Hvad med .htaccess?

.htaccess filer virker som de altid har gjort, det samme gør php_value og php_flag funktionerne.

Hvad med register_globals og magic_quotes_gpc?

register_globals og magic_quotes er fjernet i PHP 5.4 og frem, så hvis du har ‘aktiveret’ disse igennem en .htaccess fil, vil de ingen virkning have mere.

Kører i med cache?

Nej, vi har ingen server-cache på vores servere, og har aldrig haft det. Vi mener cache er noget kunder selv skal implementere i deres CMS/kode.

Hvad med den indbyggede opcode cache i PHP 5.6?

Opcode cache er ikke aktiveret. Det er noget vi på sigt vil undersøge om vi kan tilbyde, det er dog ikke specielt webhotel-venligt. Såfremt vi aktiverer det, vil der komme nærmere herom.

Heartbleed

heartbleedTil info

www.unoeuro.com (website, kontrolpanel, osv.) har ikke været berørt af Heartbleed. Nogle gange er det åbenbart smart ikke at opdatere til nyeste version :)

Vi anbefaler dog alle kunder at overveje at ændre deres adgangskoder alligevel, såfremt disse er blevet brugt andre steder på nettet, hvor Heartbleed kan være et problem. Better safe than sorry.

Alle servere er blevet opdateret til en version af OpenSSL som ikke er berørt af Heartbleed.

Carry on.

DNSSEC

Vi er begyndt at se en del problemer med DNSSEC og .dk domæner.

Til dem der ikke ved hvad DNSSEC er, så er det en måde at signere ens DNS Zone, så man sikrer sig at den navneserver som svarer for domænet, rent faktisk er den rigtige.

Det gøres ved at signere zonen på navneserveren med en nøgle og herefter give denne nøgle til f.eks. DK-Hostmaster. Når disse to så passer er alt som det skal være.

DNSSEC er meget udbredt på .se TLD’et, men er forholdsvis nyt på .dk – det er også forholdsvis nyt at verdens DNS resolvere (f.eks. Googles Public DNS) rent faktisk validerer på DNSSEC. Senest er TDC begyndt at gøre det.

Problemer begynder at opstå når man så redelegerer domænet til andre navneservere.
Så passer nøglen hos DK-Hostmaster ikke længere med nøglen hos den nye udbyder og så svarer domænet ikke korrekt hvis ens besøgende bruger en DNS Resolver som tjekker på DNSSEC.

På .se domæner løses dette ved at udbyderen (f.eks. os) fjerner DNSSEC fra domænet når man overtager domænet. Det er desværre ikke en funktion DK-Hostmaster giver os mulighed for, her skal domæneejeren manuelt ind i DK-Hostmasters selvbetjening og deaktivere DNSSEC på sit domæne.

Hvordan kan jeg se om der er DNSSEC på mit domæne?

Verisign har et værktøj du kan teste med her: http://dnssec-debugger.verisignlabs.com/.
Hvis der står “No DS records found for example.dk in the dk zone” så er der ingen DNSSEC på dit domæne.

Hvordan fjerner jeg DNSSEC fra mit domæne?

For .dk domæner gøres dette via DK-Hostmasters selvbetjening. For de fleste andre TLD’er kan vi gøre det for dig. Vi drømmer om den dag .dk virker på samme måde.

Understøtter UnoEuro DNSSEC?

Det kunne vi godt, men vi har valgt ikke at gøre det på nuværende tidspunkt. Vi mener DNSSEC giver anledning til en masse problemer hvis man ikke er sat ordentlig ind i det som domæneejer. Samtidig betyder DNSSEC en unødvendig komplicering af vores navneserverinfrastruktur. Vi vil dog formentlig understøtte det på et tidspunkt, når vi mener det gør mere gavn end skade. Selv om vi understøttede DNSSEC, skal en domæneejer stadig ind på DK-Hostmasters hjemmeside og ændre nøgleansvarlig ved en evt. redelegering, så der er stadig rig mulighed for at det giver problemer. Vi mener ikke det er det værd.

WordPress sikkerhed mod brute-force angreb

Hos UnoEuro har vi en lang række filtre og sikkerhedsforanstaltninger, der beskytter vore kunders hjemmesider imod angreb.

Vi ser pt. en del angreb mod WordPress, og i den forbindelse har vi selv lavet en række justeringer til vores filtre, for at aflede så meget af angrebet som vi kan.

Angrebet er et brute-force angreb mod wp-login.php – dvs. der er en række maskiner på internettet der står og forsøger at logge ind i forskellige WordPress installationer, med en række forud-definerede loginoplysninger. Disse systemer bliver ved indtil de rammer plet, giver op, eller bliver blokeret.

Vi anbefaler derfor kunder, der bruger WordPress, at installere plugins der beskytter imod brute-force angreb. Nævneværdige plugins er Limit Login Attempts (Anbefales), Wordfence og WP-Better-Security. De to sidstnævnte kan meget mere end at løse brute-force problemet, hvilket selvfølgelig ikke altid er en fordel :)

Sikkerhed & Ny funktion: 2-Faktor login

Det har åbenbart vist sig svært for nogle online-tjenester, og endda konkurrenter (!), at holde deres kunders adgangskoder hemmelige.

Vi anbefaler alle kunder at bruge unikke adgangkoder til deres webhoteller og konti, altså koder du ikke bruger andre steder end hos os, så du ikke risikerer dine data fordi linkedIn, last.fm, Blizzard, Apple, Amazon eller Yahoo er uheldige at lave begynderfejl.

2-faktor login

Vores seneste tiltag i forhold til at optimere vores sikkerhed, er muligheden for at tilføje et 2-faktor login på sin UnoEuro konto. Hvis du slår den til, så betyder det, at selv om nogen skulle kende både dit Konto nr. og din adgangskode, så vil de stadig ikke kunne tilgå din UnoEuro konto, uden de også har adgang til din unikke Authenticator.

Sikker FTP log ind

Husk, at du hos UnoEuro har mulighed for at benytte FTPS (SSL krypteret FTP). Herved sikrer du at dit webhotel-kodeord ikke kan blive opsnappet.

Endvidere er det en god idé ofte at scanne din computer for vira og andet malware.  Især hvis du har gemt dine loginoplysninger i dit FTP program, da det er en populær måde for hackere at opsnappe adgangskoder på (FTP programmer krypterer normalt aldrig koden i deres database).

Opdater dit CMS system

Det kan ikke gentages ofte nok, at du skal sørge for at holde dit CMS system opdateret – det betyder at du skal sørge for at holde CMS, plugins, temaer og alt derudover opdateret til den nyeste version. Vær samtidig altid kritisk over for hvilke plugins og temaer du vælger at bruge i dit CMS.

Opbevaring af adgangskoder

Alle adgangskoder hos UnoEuro opbevares i krypteret form, så selv om nogen skulle få adgang til vores interne database, vil de ikke automatisk have adgang til vores servere eller vore kunders adgangskoder.

Login historik

Hvis du er bange for, at din konto er blevet kompromitteret, kan du hurtigt og nemt se om det rent faktisk er tilfældet. Vi har nemlig tilføjet en login-historik i dit kontrolpanel, som viser alle IP-adresser der har været logget ind på din UnoEuro konto.

Disse tiltag er blot endnu et par skridt i vores stræben efter, at gøre alt hvad vi kan, for at sikre vore kunders oplysninger, adgangskoder og produkter.

Alle funktionerne kan findes under “Stamdata” i vores kontrolpanel.

WordPress sikkerhedshul (1 flash gallery)

Vi ser for tiden mange WordPress blogs blive angrebet og defaced vha. en gammel version af “1 Flash Gallery” plugin’et

Vi vil igen på det stærkeste anbefale ALLE kunder at sikre sig de bruger nyeste version af både WordPress, plugins og temaer.

Du kan læse mere om exploiten her:

http://spareclockcycles.org/2011/09/06/flash-gallery-arbitrary-file-upload/

http://wordpress.org/support/topic/1-flash-gallery-executable-file-upload-attack

Valgfri ekstra sikkerhed i kontrolpanelet

Vi har fået feedback fra en del kunder, om at de ikke ønsker at have deres adgangskoder stående i mails de modtager fra UnoEuro.

Grunden til adgangskoder står i mails fra os, er at mange kunder ofte glemmer deres adgangskoder, og derfor er det rart at have koden liggende i sit mailprogram, eller have mulighed for at printe den ud og arkivere den. Det er endvidere problematisk hvis man skulle ændre adgangskoden hvis man havde glemt den, da ændring af adgangskode ofte resulterer i, at hjemmesiden stopper med at virke (fordi database-adgangskoden er ændret).

Hos UnoEuro lytter vi naturligvis altid til feedback. Vi har derfor implementeret en valgfri mulighed for at hæve sikkerheden på din UnoEuro konto og dermed fravælge at adgangskoder bliver vist i mails du modtager fra os. Bemærk hvis dette vælges, har du altså ingen måde at finde din adgangskode på igen.

Funktionen kan sættes samtidig med du ændre adgangskoden til din UnoEuro konto. Det gøres i vores Kontrolpanel, under menupunktet Stamdata.

Vi gemmer naturligvis alle adgangskoder i krypteret form (med nøgle), og når muligt så gemmes adgangskoder envejs-krypteret som et hash, som f.eks. er tilfældet for adgangskoden til kontrolpanelet.

WordPress sikkerhedshul (TimThumb)

Vi ser for tiden mange WordPress blogs blive angrebet og defaced vha. det såkaldte TimThumb exploit.

Exploiten udnytter en fejl i en thumbnail resizer, som medfølger rigtig mange WordPress Temaer.

For at hjælpe vore kunder har vi i dag opsat et filter imod dette angreb, så vore kunder er sikret.

Vi vil dog på det stærkeste anbefale ALLE kunder at sikre sig de bruger nyeste version af både WordPress, plugins og temaer – og kontroller ens TimThumb fil er 100% opdateret og sikret, samt fjerne evt. skadelige filer der måtte ligge på webhotellet som resultat af en ikke-opdateret TimThumb.

Du kan læse mere om TimThumb exploiten her:

http://wewatchyourwebsite.com/wordpress/2011/08/timthumb-wordpress-plugin-leads-to-hacked-websites/

http://markmaunder.com/2011/08/01/zero-day-vulnerability-in-many-wordpress-themes/

http://www.woothemes.com/2011/08/timthumb-security-flaw-patch/

http://wpcandy.com/reports/timthumb-security-vulnerability-discovered