Webbhotell och Wordpress
 

Det är normalt sett en bra idé att uppgradera Wordpress och alltid ha den senaste versionen installerad. Jag har dock inte förrän nu varit med om ett webbhotell som formulerar sig på så vis att man näst intill hotar kunderna att uppdatera. Surftown skickade nyligen ut mail till alla sina kunder som inte har senaste Wordpress-installationen på sina webbplatser - ett mail för varje installation. Där fanns bland annat denna mening:

Vad anser ni om detta? Vore särskilt intressant att höra vad representanter från övriga webbhotell tycker.

Det är kanske en sak om man sitter på en 1.0 installation av WP där risken för intrång är högre. Men att ha några versioner lägre tycker jag inte är ett problem.

Att säga att man ska radera installationen, det var lite väl hårt.

Nej, jag tyckte inte att det var passande.

Jag tycker också att det verkar väldigt konstigt. Om de upptäcker att sidan faktiskt är hackad kan man såklart skicka ut mail där man uppmanar kunderna att agera eller till och med stänga ned/blockera sidan. Men att skicka massutskick till alla som inte har senaste versionen installerad känns väldigt märkligt.

Jag skulle dock gärna vilja se hela mailet, eller i alla fall den del som handlar om det här.

Jag utgår från att de skickat detta till samtliga kunder. Ingen av mina installationer hos Surftown har hackats och det gällde olika versioner från 3.0.x till 3.5. Håller med er om att det är ett märkligt synsätt från webbhotellets sida. Innan någon webbplats har hackats och ställt till med problem bör man naturligtvis behandla den som vilken webbplats som helst oavsett vad man kör på backend.

Här kommer hela mailet (minus några länkar till information och hjälp på slutet):

Det är en helt annan sak om denna kontroll görs som en extra service till kunderna men som det ser ut nu görs det enbart för Surftowns egen skull. Snygga särskrivningar har de också lyckats få till.

WordPress står ut bland hackade sidor hos webbhotell. Ni skulle bara veta hur mycket extra arbete och problem detta orsakar, både hos webbhotellen och hos kunderna. Att Surftown agerar så här är förståeligt. Om än att de hade kunnat formulera sig lite smartare. Men i grund och botten så håller jag med dem.

Vi kör mod security som gör att det inte går att hacka wordpress så lätt och andra php applikationer så jag tycker andra borde göra samma sak och inte lägga så mycket ansvar på kunden utan ta större ansvar själv som leverantör när det finns så bra möjligheter att skydda sig.

Håller inte riktigt med dig här, Daniel.

Att hävda att WordPress blir säkrare genom att man kör en säkerhetsmodul i Apache (eller en brandvägg som stoppar kända attackmönster mot WordPress, som andra webbhotell kör) är fel. Det är som att hävda att en icke-uppdaterad Windows-dator blir säkrare bara för att den ligger bakom en brandvägg. Om (eller snarare när) modulen/brandväggen inte fungerar, då är det kört. Och det finns alltid flera vägar in i ett system.

Nej, gör om och gör rätt. WordPress är en programvara som behöver uppdateras fortlöpande (tillsammans med dess tillägg/teman osv) för att vara riktigt säker. Det åligger webbhotellen att informera/utbilda sina kunder om detta. Ett sätt att göra det på, det är att skicka ut ett meddelande såsom Surftown har gjort.

Det spelar ingen roll vad du säger, att köra mod security skadar inte, självklart ska man hålla sin programvara uppdaterad ändå. En annan sak jag misstänker är att konton på surftown inte är chrootade vilket gör att hackaren kan gå vidare, och det är därför man går ut på detta sätt. Vi kör t.ex. chrootat sedan en tid tillbaka och det går inte att gå vidare till nästa konto inom systemet.

Relevant artikel:
http://hackertarget.com/running-word...-your-plugins/

Summering: Stor del av världens mest besökta sajter kan nu exploateras med full kod injektion på grund av icke uppdaterad WP cache plugin, äldre än 18 april.

Är alltså inte bara WP core utan plugins och annat som behöver uppdateras.

Information/utbildning är en sak, att tvinga kunderna till uppdatering är en helt annan.

Det är nog vanligare med intrång via plugins än WP-core?

Förutsatt att de tillåter kommentarer, och där försvinner enligt min personliga bedömning många av de annars sårbara sajterna. Man bör absolut uppgradera sina plugins och tema regelbundet men just det här säkerhetshålet är inte så farligt som det låter.

Jag ser inget i mailet om något tvång. Att de stänger åtkomsten till en sajt om den missbrukas tycker jag är självklart och det gäller alla webbhotell och script, med eller utan föregående informationsmail.

Jag har arbetat med abuse på webbhotell i runt sex år och kan inte komma på något fall där jag sett att en webbplats hackats via wp-core. Absolut vanligast är intrång via plugins och tema (speciellt då de som haft gamla TimThumb-script). Lyckade bruteforceattacker mot Wordpress är också vanligt för tillfället.

Kan inte se att Surftown tvingar sina kunder till uppdatering. De uppmanar _väldigt starkt_ till en uppdatering.

Och ja, enligt min erfarenhet så är det vanligare med intrång via tillägg än WP-core.

Nej, det är rent bokstavligen inget tvång men däremot, precis som du säger, en väldigt skarp varning. Den praktiska skillnaden är hårfin i det här fallet. Att ge kunderna denna specifika information är definitivt något fler webbhotell borde ta efter (just där är Surftown först ut vilket är lite imponerande med tanke på att de alltid legat steget efter tidigare) men förhoppningsvis formulerar sig övriga lite smartare.

Mja. Det är rätt många svenska webbhotell som uppmanar sina kunder att hålla sig uppdaterade. Några exempel:

https://fsdata.se/blogg/uppdatera-er...r-bli-hackade/
http://blogg.binero.se/2013/02/vikti...for-wordpress/
http://blogg.loopia.se/2013/04/25/vi...ache-omgaende/

Att skicka ut denna information via e-post är inte lika vanligt, om än att det händer. Jag har erfarenhet av det, i synnerhet med specifikt sårbar programvara. Skulle tippa på att vi kommer få se fler exempel på detta här framöver.

Du träffar inte många av de aktuella kunderna med ett blogginlägg, det är ju mest ren marknadsföring. Då är Surftown ändå bättre.

Jag tillåter mig att bryta min (allt för) långvariga tystnad här på WN för att svara. :)

Vi uppmanar samtliga kunder att hålla WordPress och andra CMS uppdaterade, oavsett om de kör version 1.0 eller en version som var aktuell fram tills för en vecka sedan. Bakgrunden är, att vi har sett en oerhörd mängd sidor som hackats genom kända säkerhetshål.

Det absolut vanligaste jag ser personligen är uppladdning av diverse scripts, som sedan används för spamming. Som Jim Westergren påpekade, så är plugins mycket riktigt lika viktiga - jag skickar infon vidare och ser om jag inte kan få det inkluderat till nästa utskick.