[tartareandesire]

Det är normalt sett en bra idé att uppgradera Wordpress och alltid ha den senaste versionen installerad. Jag har dock inte förrän nu varit med om ett webbhotell som formulerar sig på så vis att man näst intill hotar kunderna att uppdatera. Surftown skickade nyligen ut mail till alla sina kunder som inte har senaste Wordpress-installationen på sina webbplatser - ett mail för varje installation. Där fanns bland annat denna mening:

Citat:

Vi måste därför be dig uppdatera din WordPress installation till den senaste versionen, eller radera installationen så snart som möjligt om den inte är i bruk.

Vad anser ni om detta? Vore särskilt intressant att höra vad representanter från övriga webbhotell tycker.

[DavidEW]

Det är kanske en sak om man sitter på en 1.0 installation av WP där risken för intrång är högre. Men att ha några versioner lägre tycker jag inte är ett problem.

Att säga att man ska radera installationen, det var lite väl hårt.

Nej, jag tyckte inte att det var passande.

[pelmered]

Jag tycker också att det verkar väldigt konstigt. Om de upptäcker att sidan faktiskt är hackad kan man såklart skicka ut mail där man uppmanar kunderna att agera eller till och med stänga ned/blockera sidan. Men att skicka massutskick till alla som inte har senaste versionen installerad känns väldigt märkligt.

Jag skulle dock gärna vilja se hela mailet, eller i alla fall den del som handlar om det här.

[tartareandesire]

Jag utgår från att de skickat detta till samtliga kunder. Ingen av mina installationer hos Surftown har hackats och det gällde olika versioner från 3.0.x till 3.5. Håller med er om att det är ett märkligt synsätt från webbhotellets sida. Innan någon webbplats har hackats och ställt till med problem bör man naturligtvis behandla den som vilken webbplats som helst oavsett vad man kör på backend.

Här kommer hela mailet (minus några länkar till information och hjälp på slutet):

Citat:

Hej {NAMN}

Vid en genomgång av våra servrar har vi hittat en gammal version av WordPress på ditt webbhotell. Denna version innehåller säkerhetshål som medför en betydlig risk för din hemsida. Det betyder att din WordPress installation riskerar att bli hackad och missbrukad, vilket kommer att påverka både dig och andra användare negativt. Detta är inte specifikt för Surftown-kunder utan kan drabba alla som använder Wordpress, oavsett leverantör.

Hackade Wordpress installationer kan t.ex. skapa belastningar på våra servrar och de kan användas som bas för angrepp mot andra hemsidor, som inte nödvändigtvis ligger hos Surftown. I värsta fall kan vi därför behöva stänga åtkomsten till din sida, om den missbrukas.

Vi måste därför be dig uppdatera din WordPress installation till den senaste versionen, eller radera installationen så snart som möjligt om den inte är i bruk. Det gäller den WordPress installation som kör version 3.1:
{URL}


Det kommer löpande uppgraderingar till WordPress och Wordpress-plugins, som i många fall är till för att stänga säkerhetshål. Lyckligtvis kan du uppgradera båda WordPress och plugins med några få klick genom administrationen i din WordPress installation.

Det är en helt annan sak om denna kontroll görs som en extra service till kunderna men som det ser ut nu görs det enbart för Surftowns egen skull. Snygga särskrivningar har de också lyckats få till.

[JonathanS]

WordPress står ut bland hackade sidor hos webbhotell. Ni skulle bara veta hur mycket extra arbete och problem detta orsakar, både hos webbhotellen och hos kunderna. Att Surftown agerar så här är förståeligt. Om än att de hade kunnat formulera sig lite smartare. Men i grund och botten så håller jag med dem.

[Danielos]

Vi kör mod security som gör att det inte går att hacka wordpress så lätt och andra php applikationer så jag tycker andra borde göra samma sak och inte lägga så mycket ansvar på kunden utan ta större ansvar själv som leverantör när det finns så bra möjligheter att skydda sig.

[JonathanS]

Håller inte riktigt med dig här, Daniel.

Att hävda att WordPress blir säkrare genom att man kör en säkerhetsmodul i Apache (eller en brandvägg som stoppar kända attackmönster mot WordPress, som andra webbhotell kör) är fel. Det är som att hävda att en icke-uppdaterad Windows-dator blir säkrare bara för att den ligger bakom en brandvägg. Om (eller snarare när) modulen/brandväggen inte fungerar, då är det kört. Och det finns alltid flera vägar in i ett system.

Nej, gör om och gör rätt. WordPress är en programvara som behöver uppdateras fortlöpande (tillsammans med dess tillägg/teman osv) för att vara riktigt säker. Det åligger webbhotellen att informera/utbilda sina kunder om detta. Ett sätt att göra det på, det är att skicka ut ett meddelande såsom Surftown har gjort.

[tartareandesire]

Citat:

Ursprungligen postat av JonathanS

Håller inte riktigt med dig här, Daniel.

Att hävda att WordPress blir säkrare genom att man kör en säkerhetsmodul i Apache (eller en brandvägg som stoppar kända attackmönster mot WordPress, som andra webbhotell kör) är fel. Det är som att hävda att en icke-uppdaterad Windows-dator blir säkrare bara för att den ligger bakom en brandvägg. Om (eller snarare när) modulen/brandväggen inte fungerar, då är det kört. Och det finns alltid flera vägar in i ett system.

Nej, gör om och gör rätt. WordPress är en programvara som behöver uppdateras fortlöpande (tillsammans med dess tillägg/teman osv) för att vara riktigt säker. Det åligger webbhotellen att informera/utbilda sina kunder om detta. Ett sätt att göra det på, det är att skicka ut ett meddelande såsom Surftown har gjort.

Information/utbildning är en sak, att tvinga kunderna till uppdatering är en helt annan.

Det är nog vanligare med intrång via plugins än WP-core?

[foks]

Citat:

Ursprungligen postat av tartareandesire

Information/utbildning är en sak, att tvinga kunderna till uppdatering är en helt annan.

Det är nog vanligare med intrång via plugins än WP-core?

Jag ser inget i mailet om något tvång. Att de stänger åtkomsten till en sajt om den missbrukas tycker jag är självklart och det gäller alla webbhotell och script, med eller utan föregående informationsmail.

Jag har arbetat med abuse på webbhotell i runt sex år och kan inte komma på något fall där jag sett att en webbplats hackats via wp-core. Absolut vanligast är intrång via plugins och tema (speciellt då de som haft gamla TimThumb-script). Lyckade bruteforceattacker mot Wordpress är också vanligt för tillfället.

[JonathanS]

Citat:

Ursprungligen postat av tartareandesire

Information/utbildning är en sak, att tvinga kunderna till uppdatering är en helt annan.

Det är nog vanligare med intrång via plugins än WP-core?

Kan inte se att Surftown tvingar sina kunder till uppdatering. De uppmanar _väldigt starkt_ till en uppdatering.

Och ja, enligt min erfarenhet så är det vanligare med intrång via tillägg än WP-core.