“Hjælp! Min WordPress er blevet hacked!”

Det er ikke nogen hemmelighed at vi hoster ekstremt mange WordPress-installationer, og det er heller ikke nogen hemmelighed at der findes ekstremt mange WordPress-plugins -og temaer. Desværre er der stor forskel på kvaliteten af disse plugins og temaer. Ofte er de årsag til store sikkerhedsproblemer, som bl.a. opstår når man ikke opdaterer dem, eller når udvikleren af et plugin/tema stopper med at vedligeholde det og dermed stopper med at rette sikkerhedsfejl. Læs videre ““Hjælp! Min WordPress er blevet hacked!””

Opsætning af W3 Total Cache

Cache er en vigtig del af en hurtig hjemmeside og kan gøre en kæmpe forskel. Til WordPress anbefaler vi W3 Total Cache plugin’et. W3 Total Cache er et ekstremt godt plugin, men lider desværre af at det har en masse indstillinger, så det kan være lidt svært at opsætte.

Her er hvordan vi anbefaler man opsætter W3 Total Cache.

General Settings (Menupunkt i siden)

  • Aktiver General Settings > Page Cache
  • Aktiver General Settings > Minify
  • Aktiver General Settings > Database cache
  • Aktiver General Settings > Object cache
  • Aktiver General Settings > Browser cache

Page Cache (Menupunkt i siden)

  • Aktiver Page Cache > Cache front page
  • Aktiver Page Cache > Cache feeds: site, categories, tags, comments
  • Aktiver Page Cache > Cache SSL (https) requests
  • Aktiver Page Cache > Cache URIs with query string variables
  • Aktiver Page Cache > Cache 404 (not found) pages
  • Lifetime of cache objects: 31557600 (1 år) – Gerne mere

Browser Cache (Menupunkt i siden)

  • Expires header lifetime (CSS, JS, HTML & Other): 31557600 (1 år) – Gerne mere

Minify (Menupunkt i siden)

  • Aktiver Minify > JS minify settings
    Hvis det giver problemer kan du blot deaktivere JS Minify igen
  • Aktiver Minify > CSS minify settings

 Database Cache (Menupunkt i siden)

  • Lifetime of cache objects: 31557600 (1 år) – Gerne mere

 Object Cache (Menupunkt i siden)

  • Lifetime of cache objects: 31557600 (1 år) – Gerne mere

Som standard er W3 Total Cache opsat til ikke at aktivere cache for brugere der er logget ind, så hvis du vil teste din cache skal du enten logge ud af WordPress eller aktivere cache for brugere der er logget ind.

Opdater WordPress automatisk

WordPress er enormt populær iblandt vores kunder. Vi ser dog desværre en tendens til at glemme at opdatere WordPress, samt tilhørende plugins og temaer. Det kan have alvorlige konsekvenser for sikkerheden på ens webhotel og kan føre til at ens blog bliver hacked.

Vi vil derfor gerne slå et slag for WordPress plugin’et: Automatic Updater

Som navnet hentyder til, så sørger dette plugin automatisk for at opdatere selve WordPress, samt plugins og temaer når der kommer nye versioner. Du kan vælge om det kun er selve WordPress du vil automatisk opdatere, eller om plugins og temaer også skal opdateres.

Installer plugin’et, via din WordPress administration, og så får du automatisk en mail når din blog er blevet opdateret.

WordPress sikkerhed mod brute-force angreb

Hos UnoEuro har vi en lang række filtre og sikkerhedsforanstaltninger, der beskytter vore kunders hjemmesider imod angreb.

Vi ser pt. en del angreb mod WordPress, og i den forbindelse har vi selv lavet en række justeringer til vores filtre, for at aflede så meget af angrebet som vi kan.

Angrebet er et brute-force angreb mod wp-login.php – dvs. der er en række maskiner på internettet der står og forsøger at logge ind i forskellige WordPress installationer, med en række forud-definerede loginoplysninger. Disse systemer bliver ved indtil de rammer plet, giver op, eller bliver blokeret.

Vi anbefaler derfor kunder, der bruger WordPress, at installere plugins der beskytter imod brute-force angreb. Nævneværdige plugins er Limit Login Attempts (Anbefales), Wordfence og WP-Better-Security. De to sidstnævnte kan meget mere end at løse brute-force problemet, hvilket selvfølgelig ikke altid er en fordel :)

WordPress sikkerhedshul (1 flash gallery)

Vi ser for tiden mange WordPress blogs blive angrebet og defaced vha. en gammel version af “1 Flash Gallery” plugin’et

Vi vil igen på det stærkeste anbefale ALLE kunder at sikre sig de bruger nyeste version af både WordPress, plugins og temaer.

Du kan læse mere om exploiten her:

http://spareclockcycles.org/2011/09/06/flash-gallery-arbitrary-file-upload/

http://wordpress.org/support/topic/1-flash-gallery-executable-file-upload-attack

WordPress sikkerhedshul (TimThumb)

Vi ser for tiden mange WordPress blogs blive angrebet og defaced vha. det såkaldte TimThumb exploit.

Exploiten udnytter en fejl i en thumbnail resizer, som medfølger rigtig mange WordPress Temaer.

For at hjælpe vore kunder har vi i dag opsat et filter imod dette angreb, så vore kunder er sikret.

Vi vil dog på det stærkeste anbefale ALLE kunder at sikre sig de bruger nyeste version af både WordPress, plugins og temaer – og kontroller ens TimThumb fil er 100% opdateret og sikret, samt fjerne evt. skadelige filer der måtte ligge på webhotellet som resultat af en ikke-opdateret TimThumb.

Du kan læse mere om TimThumb exploiten her:

http://wewatchyourwebsite.com/wordpress/2011/08/timthumb-wordpress-plugin-leads-to-hacked-websites/

http://markmaunder.com/2011/08/01/zero-day-vulnerability-in-many-wordpress-themes/

http://www.woothemes.com/2011/08/timthumb-security-flaw-patch/

http://wpcandy.com/reports/timthumb-security-vulnerability-discovered

WordPress 3.0 og Drupal i 1-Click

Vi har i dag opdateret WordPress til 3.0 i vores 1-Click installer.

Med vores 1-click installer kan du hurtigt og nemt opsætte et CMS system, blog system eller forum. Det er ikke nødvendigt at kende til SQL, FTP eller andet. Du indtaster blot nogle basale oplysninger og klikker ‘Installer’, og 1 minut efter er du klar til at at gå igang.

Vi har for et stykke tid siden også tilføjet Joomla og Drupal til vores 1-Click installer.

Få endnu mere fart på WordPress

WordPress er hurtigt blevet det absolut mest udbredte blogsystem hos UnoEuro, og i også verden.

Med vores 1-Click install har det aldrig været nemmere at få WordPress installeret og komme igang med at blogge, helt smertefrit. Hos os er du ej plaget af problemer med safe_mode, som du kan risikere hos nogle andre udbydere.

WordPress er kendt for hastighed og brugervenlighed out-of-the-box. WordPress kan også bruges til meget mere end en blogs, mange vælger også at bruge det som CMS system til deres hjemmeside. Dette kan betyde at ens WordPress installation hurtig kan blive tung og ressourcekrævende. Det samme gælder for nogle bloggere som ser en stor stigning i antal besøg.

En af vore kunder, Claus Heinrich, har skrevet en virkelig god guide til hvordan man får mere fart på WordPress, og gør den bæredygtig over for mange besøg. Læs Sæt fart på din WordPress blog med Caching, GZIP, Minify & CDN og især Opsætning af W3 Total Cache til WordPress som alle kan drage stor nytte af.

Et CDN er et netværk af servere der hurtigt og effektivt kan levere statiske filer (billeder, video og javascript filer). Fordelen ved at outsource disse filer til et CDN, er at det fjerner belastningen på webserveren og uddelegere visningen af filerne til CDN netværket. Det vil normalt også resultere i hurtigere visningen af filerne. Hvis du har en WordPress installation med mange billeder, er den en rigtig god ide at kigge på et CDN, som kan fås til meget billige penge.

Det er også vigtigt at stille et kritisk øje til de forskellige ekstra plugins man vælger at installere. Vi ser ofte at nogle plugins kan være rigtig dårligt sat sammen, og dermed skabe store problemer hvis ens blog har mange besøg.

Med W3 Total Cache vil din WordPress installation blive væsentlig hurtigere, og have et væsentlig mindre ressourceforbrug. Til glæde for både dig, dine besøgende og os :)