PCI DSS 3.2 og TLS 1.0

Vi ser i disse dage, at mange kunder bliver kontaktet af deres betalingsudbyder (PSP) omkring nye PCI-krav i forhold til TLS 1.0.

Desværre er mange af disse udbydere ekstremt dårlige til præcist at forklare deres kunder, hvad det nye krav er, og hvad det kræver af dem.

Det hele bunder i, at TLS 1.0-protokollen ikke længere må bruges, hvis man skal være PCI-certificeret. Det er dog vigtigt at bemærke, at det er et krav, der stilles til betalingsudbyderen og IKKE til webshopejeren.

Som webshopejer skal du blot sørge for, at dine callback endpoints understøtter TLS 1.2, og det gør vi selvfølgelig her hos UnoEuro.

Med andre ord, hvis ikke du selv er PCI-certificeret (det er du formentlig ikke), så skal du intet foretage dig udover at sige til din betalingsudbyder, at de skal stoppe med at forvirre dig.

Ny feature: UnoEuro Website Scanner

Malware og sikkerhedsproblemer i kunders CMS er en stor del af vores hverdag. Vi ser et stigende problem med forældede CMS og sårbar kode.

Til at beskytte vores kunder, har vi allerede en WAF (Web Application Firewall) foran vores webservere, der blokerer omkring 2-3 millioner requests/angreb om dagen.

Desværre beskytter dette kun imod klassiske HTTP-angreb og sårbarheder, og desværre betyder det også at kunder stadig bliver hacket dagligt.

For at give dette område endnu mere fokus, introducerer vi nu UnoEuro Website Scanner. Læs videre “Ny feature: UnoEuro Website Scanner”

Ny feature: Let’s Encrypt på ASP-webhoteller

Man skulle simpelthen ikke tro det var så besværligt at lave Let’s Encrypt på IIS/Windows, men det er det åbenbart.

Vi har brugt en del tid på at finde den rigtige løsning for vores kunder, og os – så det hele fungerer lige så smertefrit og automatisk som på vores PHP-webhoteller.

Vi er derfor glade for, at have opfundet den dybe tallerken og nu kunne tilbyde Let’s Encrypt på vores ASP-webhoteller, med automatisk fornyelse osv.

Læs videre “Ny feature: Let’s Encrypt på ASP-webhoteller”

Ny Feature: Let’s Encrypt SSL-certifikater

Vi har længe tilbudt HTTPS beskyttelse af vores webhoteller. HTTPS beskyttelse kræver et SSL-certifikat, der indtil for nyligt krævede at man gik og ud købte ét.

Let’s Encrypt er et gratis Domain Validated (DV) SSL-Certifikat som alle kan bruge. Formålet med Let’s Encrypt er at udbrede HTTPS beskyttelse, og Let’s Encrypt understøttes af alle gængse browsere.

Vi er glade for nu at kunne tilbyde Let’s Encrypt på vores PHP webhoteller.

Hvis du har dit eget SSL-certifikat, kan du stadig også vælge at bruge dette, samt du stadig kan købe et SSL-certifikat igennem os.

Du kan gøre brug af Let’s Encrypt SSL-Certifikater når du har aktiveret HTTPS Beskyttelse under Administration i vores Kontrolpanel.

Vi arbejder på at tilbyde Let’s Encrypt på ASP webhotellerne, men desværre er Windows-klienten ikke så langt fremme som Linux-klienten.

awesome

Ny feature: SSH-adgang til PHP-webhoteller

Vi elsker Composer, det er en mindre revolution inden for PHP.

For at bruge Composer, git og andre smarte systemer kræver det at man kan afvikle shell-kommandoer på ens webhotel. Det har indtil nu ikke været muligt, da det kræver man kan forbinde til ens webhotel med SSH.

Da vi selv udvikler meget i PHP har vi tit sympatiseret med kunder der gerne vil bruge Composer og derfor er vi ekstremt glade for nu at kunne tilbyde SSH-adgang til alle PHP-webhoteller.

Læs videre “Ny feature: SSH-adgang til PHP-webhoteller”

“Hjælp! Min WordPress er blevet hacked!”

Det er ikke nogen hemmelighed at vi hoster ekstremt mange WordPress-installationer, og det er heller ikke nogen hemmelighed at der findes ekstremt mange WordPress-plugins -og temaer. Desværre er der stor forskel på kvaliteten af disse plugins og temaer. Ofte er de årsag til store sikkerhedsproblemer, som bl.a. opstår når man ikke opdaterer dem, eller når udvikleren af et plugin/tema stopper med at vedligeholde det og dermed stopper med at rette sikkerhedsfejl. Læs videre ““Hjælp! Min WordPress er blevet hacked!””

Udfasning af formmail

Du vidste det måske ikke, men vi har faktisk i mange år tilbudt en formmail.

Formmailen har været en nem måde at sende mail igennem HTML, uden at gøre brug af PHP eller ASP/ASP.NET.

Desværre er tiden løbet fra en central formmail. Pga. misbrug og vedligeholdelse, ser vi os derfor nødsaget til at lukke ned for denne. Som alternativ kan der gøres brug af mail funktionen direkte i PHP, eller i ASP/ASP.NET

Det er selvfølgelig også stadig muligt at finde en hosted formmail-service et andet sted.

Vi beklager evt. gener det medfører de få kunder der stadig måtte bruge vores formmail.

PHP 5.6 opdatering (påmindelse)

Vi arbejder på højtryk på vores PHP 5.6 opgradering og vil derfor allerede nu gerne varsle vores kunder at vi i løbet af efteråret (oktober/november) forventer at opgradere samtlige PHP webhoteller til PHP 5.6 (fra PHP 5.3).

Den præcise dato følger.

Hov, PHP 5.6 Hvorfor ikke PHP 5.4 eller PHP 5.5?

Der er ingen grund til at opgradere til PHP 5.4, dernæst PHP 5.5 og så efterfølgende til PHP 5.6.

Det har altid været vores mål at tilbyde alle kunder nyeste version af PHP, ligesom vi tilbyder nyeste version af fx MySQL og ASP.NET. Det er vi glade for endelig at kunne komme tilbage til.

Kan jeg stadig bruge PHP 5.3?

Nej, efter opgraderingen vil det ikke være muligt at bruge PHP 5.3, PHP 5.4 eller PHP 5.5 på vores webhoteller. Kun PHP 5.6.

Men jeg ved ikke hvad jeg skal gøre?

Sørg for at opdatere dit CMS, eller kontakt din webmaster omkring det. Det samme gælder, hvis der imod forventning skulle opstå problemer som følge af opgraderingen.

Hvad går i stykker?

Som udgangspunkt er der ikke de store bagudkompatibitetsproblemer.

Kunder der bruger CMS systemer og plugins til disse, bør sørge for at disse er fuldt opdateret – så burde der ikke opstå problemer.

Se følgende links omkring opgradering fra PHP 5.3 til PHP 5.6:

default_charset

Vi har observeret der kan være nogle problemer med tegnsæt. Vores servere er sat til ISO-8859-1 pga. bagud-kompatibilitet. Ønsker du at køre UTF-8 (eller oplever problemer med tegnsæt) kan det være nødvendigt at sætte default_charset til UTF-8 med en .htaccess fil og linjen:

php_value default_charset "utf-8"

Du også tvinge tegnsættet til ISO-8859-1, skulle serveren senere blive ændret til UTF-8 (muligt):

php_value default_charset "ISO-8859-1"

Du kan lave disse ændringer allerede inden opgraderingen til PHP 5.6.

Hvad med safe_mode?

safe_mode er ikke længere eksisterende i PHP 5.6.
Ja, du læste rigtigt, de tider er bag os :)

Hvad så med sikkerheden?

Vi har altid sat stor ære i vores sikkerhed. Vi har brugt enormt meget tid på at sørge for vores servere er sikret selv om safe_mode forsvinder.

Hvad med open_basedir?

open_basedir er stadig aktiveret på vores servere. Det er muligt vi med tiden vil fjerne dette.

Kører i stadig Apache?

Ja, vi kan godt lide Apache :)

Vi kører dog ikke mod_php5 mere, men det bør ikke have nogen betydning.

Hvad med .htaccess?

.htaccess filer virker som de altid har gjort, det samme gør php_value og php_flag funktionerne.

Hvad med register_globals og magic_quotes_gpc?

register_globals og magic_quotes er fjernet i PHP 5.4 og frem, så hvis du har ‘aktiveret’ disse igennem en .htaccess fil, vil de ingen virkning have mere.

Kører i med cache?

Nej, vi har ingen server-cache på vores servere, og har aldrig haft det. Vi mener cache er noget kunder selv skal implementere i deres CMS/kode.

Hvad med den indbyggede opcode cache i PHP 5.6?

Opcode cache er ikke aktiveret. Det er noget vi på sigt vil undersøge om vi kan tilbyde, det er dog ikke specielt webhotel-venligt. Såfremt vi aktiverer det, vil der komme nærmere herom.

Heartbleed

heartbleedTil info

www.unoeuro.com (website, kontrolpanel, osv.) har ikke været berørt af Heartbleed. Nogle gange er det åbenbart smart ikke at opdatere til nyeste version :)

Vi anbefaler dog alle kunder at overveje at ændre deres adgangskoder alligevel, såfremt disse er blevet brugt andre steder på nettet, hvor Heartbleed kan være et problem. Better safe than sorry.

Alle servere er blevet opdateret til en version af OpenSSL som ikke er berørt af Heartbleed.

Carry on.