[tartareandesire]

Det är normalt sett en bra idé att uppgradera Wordpress och alltid ha den senaste versionen installerad. Jag har dock inte förrän nu varit med om ett webbhotell som formulerar sig på så vis att man näst intill hotar kunderna att uppdatera. Surftown skickade nyligen ut mail till alla sina kunder som inte har senaste Wordpress-installationen på sina webbplatser - ett mail för varje installation. Där fanns bland annat denna mening:

Citat:

Vi måste därför be dig uppdatera din WordPress installation till den senaste versionen, eller radera installationen så snart som möjligt om den inte är i bruk.

Vad anser ni om detta? Vore särskilt intressant att höra vad representanter från övriga webbhotell tycker.

[DavidEW]

Det är kanske en sak om man sitter på en 1.0 installation av WP där risken för intrång är högre. Men att ha några versioner lägre tycker jag inte är ett problem.

Att säga att man ska radera installationen, det var lite väl hårt.

Nej, jag tyckte inte att det var passande.

[pelmered]

Jag tycker också att det verkar väldigt konstigt. Om de upptäcker att sidan faktiskt är hackad kan man såklart skicka ut mail där man uppmanar kunderna att agera eller till och med stänga ned/blockera sidan. Men att skicka massutskick till alla som inte har senaste versionen installerad känns väldigt märkligt.

Jag skulle dock gärna vilja se hela mailet, eller i alla fall den del som handlar om det här.

[tartareandesire]

Jag utgår från att de skickat detta till samtliga kunder. Ingen av mina installationer hos Surftown har hackats och det gällde olika versioner från 3.0.x till 3.5. Håller med er om att det är ett märkligt synsätt från webbhotellets sida. Innan någon webbplats har hackats och ställt till med problem bör man naturligtvis behandla den som vilken webbplats som helst oavsett vad man kör på backend.

Här kommer hela mailet (minus några länkar till information och hjälp på slutet):

Citat:

Hej {NAMN}

Vid en genomgång av våra servrar har vi hittat en gammal version av WordPress på ditt webbhotell. Denna version innehåller säkerhetshål som medför en betydlig risk för din hemsida. Det betyder att din WordPress installation riskerar att bli hackad och missbrukad, vilket kommer att påverka både dig och andra användare negativt. Detta är inte specifikt för Surftown-kunder utan kan drabba alla som använder Wordpress, oavsett leverantör.

Hackade Wordpress installationer kan t.ex. skapa belastningar på våra servrar och de kan användas som bas för angrepp mot andra hemsidor, som inte nödvändigtvis ligger hos Surftown. I värsta fall kan vi därför behöva stänga åtkomsten till din sida, om den missbrukas.

Vi måste därför be dig uppdatera din WordPress installation till den senaste versionen, eller radera installationen så snart som möjligt om den inte är i bruk. Det gäller den WordPress installation som kör version 3.1:
{URL}


Det kommer löpande uppgraderingar till WordPress och Wordpress-plugins, som i många fall är till för att stänga säkerhetshål. Lyckligtvis kan du uppgradera båda WordPress och plugins med några få klick genom administrationen i din WordPress installation.

Det är en helt annan sak om denna kontroll görs som en extra service till kunderna men som det ser ut nu görs det enbart för Surftowns egen skull. Snygga särskrivningar har de också lyckats få till.

[JonathanS]

WordPress står ut bland hackade sidor hos webbhotell. Ni skulle bara veta hur mycket extra arbete och problem detta orsakar, både hos webbhotellen och hos kunderna. Att Surftown agerar så här är förståeligt. Om än att de hade kunnat formulera sig lite smartare. Men i grund och botten så håller jag med dem.

[Danielos]

Vi kör mod security som gör att det inte går att hacka wordpress så lätt och andra php applikationer så jag tycker andra borde göra samma sak och inte lägga så mycket ansvar på kunden utan ta större ansvar själv som leverantör när det finns så bra möjligheter att skydda sig.

[JonathanS]

Håller inte riktigt med dig här, Daniel.

Att hävda att WordPress blir säkrare genom att man kör en säkerhetsmodul i Apache (eller en brandvägg som stoppar kända attackmönster mot WordPress, som andra webbhotell kör) är fel. Det är som att hävda att en icke-uppdaterad Windows-dator blir säkrare bara för att den ligger bakom en brandvägg. Om (eller snarare när) modulen/brandväggen inte fungerar, då är det kört. Och det finns alltid flera vägar in i ett system.

Nej, gör om och gör rätt. WordPress är en programvara som behöver uppdateras fortlöpande (tillsammans med dess tillägg/teman osv) för att vara riktigt säker. Det åligger webbhotellen att informera/utbilda sina kunder om detta. Ett sätt att göra det på, det är att skicka ut ett meddelande såsom Surftown har gjort.

[Danielos]

Det spelar ingen roll vad du säger, att köra mod security skadar inte, självklart ska man hålla sin programvara uppdaterad ändå. En annan sak jag misstänker är att konton på surftown inte är chrootade vilket gör att hackaren kan gå vidare, och det är därför man går ut på detta sätt. Vi kör t.ex. chrootat sedan en tid tillbaka och det går inte att gå vidare till nästa konto inom systemet.

[Jim_Westergren]

Relevant artikel:
http://hackertarget.com/running-word...-your-plugins/

Summering: Stor del av världens mest besökta sajter kan nu exploateras med full kod injektion på grund av icke uppdaterad WP cache plugin, äldre än 18 april.

Är alltså inte bara WP core utan plugins och annat som behöver uppdateras.

[tartareandesire]

Citat:

Ursprungligen postat av JonathanS

Håller inte riktigt med dig här, Daniel.

Att hävda att WordPress blir säkrare genom att man kör en säkerhetsmodul i Apache (eller en brandvägg som stoppar kända attackmönster mot WordPress, som andra webbhotell kör) är fel. Det är som att hävda att en icke-uppdaterad Windows-dator blir säkrare bara för att den ligger bakom en brandvägg. Om (eller snarare när) modulen/brandväggen inte fungerar, då är det kört. Och det finns alltid flera vägar in i ett system.

Nej, gör om och gör rätt. WordPress är en programvara som behöver uppdateras fortlöpande (tillsammans med dess tillägg/teman osv) för att vara riktigt säker. Det åligger webbhotellen att informera/utbilda sina kunder om detta. Ett sätt att göra det på, det är att skicka ut ett meddelande såsom Surftown har gjort.

Information/utbildning är en sak, att tvinga kunderna till uppdatering är en helt annan.

Det är nog vanligare med intrång via plugins än WP-core?