Til info
www.unoeuro.com (website, kontrolpanel, osv.) har ikke været berørt af Heartbleed. Nogle gange er det åbenbart smart ikke at opdatere til nyeste version :)
Vi anbefaler dog alle kunder at overveje at ændre deres adgangskoder alligevel, såfremt disse er blevet brugt andre steder på nettet, hvor Heartbleed kan være et problem. Better safe than sorry.
Alle servere er blevet opdateret til en version af OpenSSL som ikke er berørt af Heartbleed.
Opdatering: Vi tilbyder nu DNSSEC.
Vi er begyndt at se en del problemer med DNSSEC og .dk domæner.
Til dem der ikke ved hvad DNSSEC er, så er det en måde at signere ens DNS Zone, så man sikrer sig at den navneserver som svarer for domænet, rent faktisk er den rigtige.
Det gøres ved at signere zonen på navneserveren med en nøgle og herefter give denne nøgle til f.eks. DK-Hostmaster. Når disse to så passer er alt som det skal være.
DNSSEC er meget udbredt på .se TLD’et, men er forholdsvis nyt på .dk – det er også forholdsvis nyt at verdens DNS resolvere (f.eks. Googles Public DNS) rent faktisk validerer på DNSSEC. Senest er TDC begyndt at gøre det.
Problemer begynder at opstå når man så redelegerer domænet til andre navneservere.
Så passer nøglen hos DK-Hostmaster ikke længere med nøglen hos den nye udbyder og så svarer domænet ikke korrekt hvis ens besøgende bruger en DNS Resolver som tjekker på DNSSEC.
På .se domæner løses dette ved at udbyderen (f.eks. os) fjerner DNSSEC fra domænet når man overtager domænet. Det er desværre ikke en funktion DK-Hostmaster giver os mulighed for, her skal domæneejeren manuelt ind i DK-Hostmasters selvbetjening og deaktivere DNSSEC på sit domæne.
Verisign har et værktøj du kan teste med her: http://dnssec-debugger.verisignlabs.com/.
Hvis der står “No DS records found for example.dk in the dk zone” så er der ingen DNSSEC på dit domæne.
For .dk domæner gøres dette via DK-Hostmasters selvbetjening. For de fleste andre TLD’er kan vi gøre det for dig. Vi drømmer om den dag .dk virker på samme måde.
Det kunne vi godt, men vi har valgt ikke at gøre det på nuværende tidspunkt. Vi mener DNSSEC giver anledning til en masse problemer hvis man ikke er sat ordentlig ind i det som domæneejer. Samtidig betyder DNSSEC en unødvendig komplicering af vores navneserverinfrastruktur. Vi vil dog formentlig understøtte det på et tidspunkt, når vi mener det gør mere gavn end skade. Selv om vi understøttede DNSSEC, skal en domæneejer stadig ind på DK-Hostmasters hjemmeside og ændre nøgleansvarlig ved en evt. redelegering, så der er stadig rig mulighed for at det giver problemer. Vi mener ikke det er det værd.
Hos UnoEuro har vi en lang række filtre og sikkerhedsforanstaltninger, der beskytter vore kunders hjemmesider imod angreb.
Vi ser pt. en del angreb mod WordPress, og i den forbindelse har vi selv lavet en række justeringer til vores filtre, for at aflede så meget af angrebet som vi kan.
Angrebet er et brute-force angreb mod wp-login.php – dvs. der er en række maskiner på internettet der står og forsøger at logge ind i forskellige WordPress installationer, med en række forud-definerede loginoplysninger. Disse systemer bliver ved indtil de rammer plet, giver op, eller bliver blokeret.
Vi anbefaler derfor kunder, der bruger WordPress, at installere plugins der beskytter imod brute-force angreb. Nævneværdige plugins er Limit Login Attempts (Anbefales), Wordfence og WP-Better-Security. De to sidstnævnte kan meget mere end at løse brute-force problemet, hvilket selvfølgelig ikke altid er en fordel :)
Det har åbenbart vist sig svært for nogle online-tjenester, og endda konkurrenter (!), at holde deres kunders adgangskoder hemmelige.
Vi anbefaler alle kunder at bruge unikke adgangkoder til deres webhoteller og konti, altså koder du ikke bruger andre steder end hos os, så du ikke risikerer dine data fordi linkedIn, last.fm, Blizzard, Apple, Amazon eller Yahoo er uheldige at lave begynderfejl.
Vores seneste tiltag i forhold til at optimere vores sikkerhed, er muligheden for at tilføje et 2-faktor login på sin UnoEuro konto. Hvis du slår den til, så betyder det, at selv om nogen skulle kende både dit Konto nr. og din adgangskode, så vil de stadig ikke kunne tilgå din UnoEuro konto, uden de også har adgang til din unikke Authenticator.
Husk, at du hos UnoEuro har mulighed for at benytte FTPS (SSL krypteret FTP). Herved sikrer du at dit webhotel-kodeord ikke kan blive opsnappet.
Endvidere er det en god idé ofte at scanne din computer for vira og andet malware. Især hvis du har gemt dine loginoplysninger i dit FTP program, da det er en populær måde for hackere at opsnappe adgangskoder på (FTP programmer krypterer normalt aldrig koden i deres database).
Det kan ikke gentages ofte nok, at du skal sørge for at holde dit CMS system opdateret – det betyder at du skal sørge for at holde CMS, plugins, temaer og alt derudover opdateret til den nyeste version. Vær samtidig altid kritisk over for hvilke plugins og temaer du vælger at bruge i dit CMS.
Alle adgangskoder hos UnoEuro opbevares i krypteret form, så selv om nogen skulle få adgang til vores interne database, vil de ikke automatisk have adgang til vores servere eller vore kunders adgangskoder.
Hvis du er bange for, at din konto er blevet kompromitteret, kan du hurtigt og nemt se om det rent faktisk er tilfældet. Vi har nemlig tilføjet en login-historik i dit kontrolpanel, som viser alle IP-adresser der har været logget ind på din UnoEuro konto.
Disse tiltag er blot endnu et par skridt i vores stræben efter, at gøre alt hvad vi kan, for at sikre vore kunders oplysninger, adgangskoder og produkter.
Alle funktionerne kan findes under “Stamdata” i vores kontrolpanel.
Vi ser for tiden mange WordPress blogs blive angrebet og defaced vha. en gammel version af “1 Flash Gallery” plugin’et
Vi vil igen på det stærkeste anbefale ALLE kunder at sikre sig de bruger nyeste version af både WordPress, plugins og temaer.
Du kan læse mere om exploiten her:
http://spareclockcycles.org/2011/09/06/flash-gallery-arbitrary-file-upload/
http://wordpress.org/support/topic/1-flash-gallery-executable-file-upload-attack
Vi har fået feedback fra en del kunder, om at de ikke ønsker at have deres adgangskoder stående i mails de modtager fra UnoEuro.
Grunden til adgangskoder står i mails fra os, er at mange kunder ofte glemmer deres adgangskoder, og derfor er det rart at have koden liggende i sit mailprogram, eller have mulighed for at printe den ud og arkivere den. Det er endvidere problematisk hvis man skulle ændre adgangskoden hvis man havde glemt den, da ændring af adgangskode ofte resulterer i, at hjemmesiden stopper med at virke (fordi database-adgangskoden er ændret).
Hos UnoEuro lytter vi naturligvis altid til feedback. Vi har derfor implementeret en valgfri mulighed for at hæve sikkerheden på din UnoEuro konto og dermed fravælge at adgangskoder bliver vist i mails du modtager fra os. Bemærk hvis dette vælges, har du altså ingen måde at finde din adgangskode på igen.
Funktionen kan sættes samtidig med du ændre adgangskoden til din UnoEuro konto. Det gøres i vores Kontrolpanel, under menupunktet Stamdata.
Vi gemmer naturligvis alle adgangskoder i krypteret form (med nøgle), og når muligt så gemmes adgangskoder envejs-krypteret som et hash, som f.eks. er tilfældet for adgangskoden til kontrolpanelet.
Vi ser for tiden mange WordPress blogs blive angrebet og defaced vha. det såkaldte TimThumb exploit.
Exploiten udnytter en fejl i en thumbnail resizer, som medfølger rigtig mange WordPress Temaer.
For at hjælpe vore kunder har vi i dag opsat et filter imod dette angreb, så vore kunder er sikret.
Vi vil dog på det stærkeste anbefale ALLE kunder at sikre sig de bruger nyeste version af både WordPress, plugins og temaer – og kontroller ens TimThumb fil er 100% opdateret og sikret, samt fjerne evt. skadelige filer der måtte ligge på webhotellet som resultat af en ikke-opdateret TimThumb.
Du kan læse mere om TimThumb exploiten her:
http://wewatchyourwebsite.com/wordpress/2011/08/timthumb-wordpress-plugin-leads-to-hacked-websites/
http://markmaunder.com/2011/08/01/zero-day-vulnerability-in-many-wordpress-themes/
http://www.woothemes.com/2011/08/timthumb-security-flaw-patch/
http://wpcandy.com/reports/timthumb-security-vulnerability-discovered
