Kommentarer till Webb-konsult-se http://webb-konsult.se Hjälper er att synas på nätet! Sat, 04 Feb 2012 22:06:50 +0000 hourly 1 http://wordpress.org/?v=3.3.1 Kommentarer till 6 enkla tips för att säkra upp din wp-installation av Cristian Herrera http://webb-konsult.se/2011/11/25/sakra-upp-din-wp-installation/#comment-71 Cristian Herrera Sat, 04 Feb 2012 22:06:50 +0000 http://webb-konsult.se/?p=65#comment-71 Hej Plux, Tack för er kommentar. 1. Tack för tipset på plug-in, dock verkar det vara ett bra komplement, om det gör det som utlovas. Men som jag sa, att bara eliminera "admin" tar bot upp till 80% av attackerna... När man tittar på loggor i olika system ser man ofta "root", "admin", "administrator" + alla vanliga namn "jim", "adam", etc så när man buter admin inlogg bör man göra ett icke vanligt namn, räcker ofta med att lägga till ett par tecken på sitt namn, "!x1Mickee" t.ex 2. Deny, allow direktiven stämmer mycket riktigt att de hjälper en del, hänvisar till din andra kommentar. Rewritereglerna ser ut att spärra av /wp-includes för externa klienter, en vettig tanke. Dock kan jag inte verifiera att det fungerar just nu. Lördag kväll efter ett par goda öl och en heldags havsöringsfiske. Lovar att titta mer på det sen. 3. Stämmer som ni säger, dock är denna guide på en grund nivå. och de flesta attacker lanseras av personer som inte riktigt vet vad de gör, använder script som de hittat. Desto mindre din attakerare vet om di och ditt system desto bättre, och ett enkelt sätt att slippa de enklaste attackerna är att inte använda standard värden. 4. Tack för tipset. 5. Tack och en upp till dig, servrarna är även de viktiga att uppdatera, något som många webbhotell missar att göra. risken med att uppdatera (för stora webbhotell) är att gammal mjukvara (script) kan sluta fungera, särskilt då många system därute är övergivna och är baserade på gammal kod och standards, webben bör egentligen rensas på gammal kod. 6. Nej, det finns inga magiska lösningar, men jag vet att en attack kan komma på många nivåer, men man rensar bort det värsta bara igenom att inte avslöja för mycket. När det gäller säkerhet är det många bäckar små som gäller och systemet är inte säkrare än den svagaste länken, ofta den mänskliga med kassa lösenord. Ang de generella riktlinjerna, vilka är de vanligaste lösenorden? (förutom "sommar") Gamla telefonnummer, hundens namn, barnets namn, kombination av dessa... sen, ofta samma lösenord på flera tjänster, det är inte ovanligt att man fiskar lösenordet på en osäker tjänst och sprar personens övriga konton. Bra grundregel, mata aldrig in ert lösenord där det inte skall vara, inte ens på "vi söker igenom ditt (msn) nätverk på kontakter" grejjer. Tänk å att du ger bort din säkerhet och att med stor sannolikhet har du samma lösenord på flera, viktigare ställen. det är rätt enkelt att spåra en person idag. /C Hej Plux, Tack för er kommentar.

1.
Tack för tipset på plug-in, dock verkar det vara ett bra komplement, om det gör det som utlovas.
Men som jag sa, att bara eliminera ”admin” tar bot upp till 80% av attackerna…
När man tittar på loggor i olika system ser man ofta ”root”, ”admin”, ”administrator” + alla vanliga namn ”jim”, ”adam”, etc så när man buter admin inlogg bör man göra ett icke vanligt namn, räcker ofta med att lägga till ett par tecken på sitt namn, ”!x1Mickee” t.ex

2.
Deny, allow direktiven stämmer mycket riktigt att de hjälper en del, hänvisar till din andra kommentar.
Rewritereglerna ser ut att spärra av /wp-includes för externa klienter, en vettig tanke. Dock kan jag inte verifiera att det fungerar just nu. Lördag kväll efter ett par goda öl och en heldags havsöringsfiske. Lovar att titta mer på det sen.

3.
Stämmer som ni säger, dock är denna guide på en grund nivå. och de flesta attacker lanseras av personer som inte riktigt vet vad de gör, använder script som de hittat.
Desto mindre din attakerare vet om di och ditt system desto bättre, och ett enkelt sätt att slippa de enklaste attackerna är att inte använda standard värden.

4.
Tack för tipset.

5.
Tack och en upp till dig, servrarna är även de viktiga att uppdatera, något som många webbhotell missar att göra.
risken med att uppdatera (för stora webbhotell) är att gammal mjukvara (script) kan sluta fungera, särskilt då många system därute är övergivna och är baserade på gammal kod och standards, webben bör egentligen rensas på gammal kod.

6.
Nej, det finns inga magiska lösningar, men jag vet att en attack kan komma på många nivåer, men man rensar bort det värsta bara igenom att inte avslöja för mycket.
När det gäller säkerhet är det många bäckar små som gäller och systemet är inte säkrare än den svagaste länken, ofta den mänskliga med kassa lösenord.

Ang de generella riktlinjerna, vilka är de vanligaste lösenorden? (förutom ”sommar”)
Gamla telefonnummer, hundens namn, barnets namn, kombination av dessa…
sen, ofta samma lösenord på flera tjänster, det är inte ovanligt att man fiskar lösenordet på en osäker tjänst och sprar personens övriga konton.

Bra grundregel, mata aldrig in ert lösenord där det inte skall vara, inte ens på ”vi söker igenom ditt (msn) nätverk på kontakter” grejjer. Tänk å att du ger bort din säkerhet och att med stor sannolikhet har du samma lösenord på flera, viktigare ställen. det är rätt enkelt att spåra en person idag.

/C

]]> Kommentarer till 6 enkla tips för att säkra upp din wp-installation av Plux http://webb-konsult.se/2011/11/25/sakra-upp-din-wp-installation/#comment-70 Plux Sat, 04 Feb 2012 20:54:39 +0000 http://webb-konsult.se/?p=65#comment-70 Eftersom mina .htaccess exempel gick sönder ovan så skickar jag med dom här: https://gist.github.com/1740092 Eftersom mina .htaccess exempel gick sönder ovan så skickar jag med dom här: https://gist.github.com/1740092

]]> Kommentarer till 6 enkla tips för att säkra upp din wp-installation av Plux http://webb-konsult.se/2011/11/25/sakra-upp-din-wp-installation/#comment-69 Plux Sat, 04 Feb 2012 20:52:01 +0000 http://webb-konsult.se/?p=65#comment-69 1. Använd gärna oxo http://wordpress.org/extend/plugins/login-lockdown/ 2. Kan man inte flytta ut den ur webrooten så kan man oxo lösa det med en rewriteregel som alltid nekar tillgång till filen: Ex. i .htaccess-filen <code> order allow,deny deny from all </code> Om man inte använder sig av xmlrpc.php så bör man även neka tillgång till den filen, eftersom många exploits är mot just den filen: <code> order allow,deny deny from all </code> En annan bra grej att ha sin .htaccess är: <code> # Block the include-only files. RewriteEngine On RewriteBase / RewriteRule ^wp-admin/includes/ - [F,L] RewriteRule !^wp-includes/ - [S=3] RewriteRule ^wp-includes/[^/]+\.php$ - [F,L] RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L] RewriteRule ^wp-includes/theme-compat/ - [F,L] </code> Detta förhindrar att filer som är tänka att bara inkluderas av andra phpfiler kan köras i webbläsaren. 3. Är delvis sant, kan man sql-injecta så kan man enkelt ta reda på vad tabellerna heter i alla fall. Här bör man titta på helt andra strategier eftersom det inte är någon som helst garanti att det ger något skydd, men det skadar inte att göra det. 4. En bra plugin för detta: http://wordpress.org/extend/plugins/lockdown-wp-admin/ 5. Utmärkt tips! kör du egen server eller VPS, glöm inte heller att uppdatera din servermjukvara... 6. Är inte en magisk lösning som automatiskt ger ett skydd, det finns många sätt att ta reda på vad man kör för mjukvara i alla fall. Man måste jobba med säkerheten ur alla synpunkter. Ett annat bra tips för att skydda sin website mot väldigt många typer av attacker är att använda cloudflare.com ... Man lägger på det framför sin website, och det är ingenting man installerar på sin webbserver eller i sin kod. Det är väldigt enkelt att jobba med och ger ett väldigt bra skydd, även om man inte har kunskapen om att jobba med webbplatssäkerhet. 1. Använd gärna oxo http://wordpress.org/extend/plugins/login-lockdown/
2. Kan man inte flytta ut den ur webrooten så kan man oxo lösa det med en rewriteregel som alltid nekar tillgång till filen:
Ex. i .htaccess-filen

order allow,deny
deny from all


Om man inte använder sig av xmlrpc.php så bör man även neka tillgång till den filen, eftersom många exploits är mot just den filen:

order allow,deny
deny from all

En annan bra grej att ha sin .htaccess är:

# Block the include-only files.
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]

Detta förhindrar att filer som är tänka att bara inkluderas av andra phpfiler kan köras i webbläsaren.

3. Är delvis sant, kan man sql-injecta så kan man enkelt ta reda på vad tabellerna heter i alla fall. Här bör man titta på helt andra strategier eftersom det inte är någon som helst garanti att det ger något skydd, men det skadar inte att göra det.

4. En bra plugin för detta: http://wordpress.org/extend/plugins/lockdown-wp-admin/

5. Utmärkt tips! kör du egen server eller VPS, glöm inte heller att uppdatera din servermjukvara…

6. Är inte en magisk lösning som automatiskt ger ett skydd, det finns många sätt att ta reda på vad man kör för mjukvara i alla fall. Man måste jobba med säkerheten ur alla synpunkter.

Ett annat bra tips för att skydda sin website mot väldigt många typer av attacker är att använda cloudflare.com … Man lägger på det framför sin website, och det är ingenting man installerar på sin webbserver eller i sin kod. Det är väldigt enkelt att jobba med och ger ett väldigt bra skydd, även om man inte har kunskapen om att jobba med webbplatssäkerhet.

]]> Kommentarer till Psykologin bakom länkar av Robert Nyberg http://webb-konsult.se/2012/01/11/psykologin-bakom-lankar/#comment-68 Robert Nyberg Sat, 21 Jan 2012 08:31:32 +0000 http://webb-konsult.se/?p=112#comment-68 Tjena, Du säger det själv väldigt bra, SEO är ett marathon och inte ett 100 meters lopp och man kan alltid ta en genväg, men det är inte att rekommendera när det gäller SEO 2012. Sociala signaler påverkar mer och mer och det är bättre att göra lite skitjobb:) Radio och tidningsannonser påverkar ditt varumärke om folk börjar söka på det. Men skapar inte länkar som jag har beskrivit ovan. Tjena,

Du säger det själv väldigt bra, SEO är ett marathon och inte ett 100 meters lopp och man kan alltid ta en genväg, men det är inte att rekommendera när det gäller SEO 2012. Sociala signaler påverkar mer och mer och det är bättre att göra lite skitjobb:) Radio och tidningsannonser påverkar ditt varumärke om folk börjar söka på det. Men skapar inte länkar som jag har beskrivit ovan.

]]> Kommentarer till Psykologin bakom länkar av chris http://webb-konsult.se/2012/01/11/psykologin-bakom-lankar/#comment-67 chris Sat, 21 Jan 2012 01:18:45 +0000 http://webb-konsult.se/?p=112#comment-67 Bra skrivet, men vilket jäkla jobb, om man skall göra som du beskriver ovan, så måste resultatet ge mycket för den tid du lägger ner... vi pratar om ett maraton.... Tänk då också på vad du själv kostar per timme, timmar som du annars lägger på produktion som du kan fakturera kund... Då undrar jag om det inte är billigare att köpa in trafik via andra klassiska medier som, tidningsannonser, radio eller jobba via affärsnätverk... Bra skrivet, men vilket jäkla jobb, om man skall göra som du beskriver ovan, så måste resultatet ge mycket för den tid du lägger ner… vi pratar om ett maraton….

Tänk då också på vad du själv kostar per timme, timmar som du annars lägger på produktion som du kan fakturera kund…

Då undrar jag om det inte är billigare att köpa in trafik via andra klassiska medier som, tidningsannonser, radio eller jobba via affärsnätverk…

]]>