Sikkerhedstip: Skift din databasekode

Sikkerhedstip: Skift din databasekode

Vi ser desværre ofte at hackere opnår besiddelse over webhotellet fordi de aflæser databasekoder via en fejl i diverse scripts – og herefter kan de så logge på hvor de vil. Dette kan hindres ved at vælge en separat kode til ens databaser. Vores erfaringer er at mange hackere giver op hvis de møder en sådan barriere. For at sætte fokus på dette har vi nu gjort det endnu nemmere at skifte koden til ens database, og vi anbefaler altid at man har en forskellig kode til databasen.

Hvis du ikke allerede ved hvordan man ændrer databasekoden, så log ind i kontrolcenteret, vælg “Databaser” og klik på linket “Skift databasekode”. Her kan du skifte koden til databasen, så den er forskellig fra koden til kontrolcenteret.


Undgå “drive-by”-angreb på dit CMS

Undgå “drive-by”-angreb på dit CMS

Vi bemærker sommetider “drive-by”-angreb på sider hos Gigahost, hvor hackere bruger automatiske scripts til at afprøve kendte sikkerhedsfejl. De søger så på eksempelvis Google efter sider der bruger scripts hvor der kan være sikkerhedsfejl i. Eller alle sider på en server kan blive scannet og sikkerhedshuller udnyttet.

Som regel er der tale om populære CMS-opsætninger som Joomla og WordPress, hvor brugeren har en ældre version med en kendt sikkerhedsfejl, som hackeren så udnytter.

Grundet den måde Gigahost er opbygget, hvor man kan hoste så mange hjemmesider som man har lyst, kan det betyde at så snart en enkelt side på ens webhotel er kompromitteret, så kan hackeren skaffe sig adgang til alle ens sider. Det anbefales derfor at man sikre at alle sider ikke er blevet ændret så de indeholder bagdøre eller lignende. Desuden anbefaler vi at man følger vores sikkerhedsvejledning:

Opdater alle dine scripts

Opdater alle scripts (inkl. deres moduler, extensions, addons, components, themes, templates, patches og lignende udvidelser) til nyeste version. Sørg jævnligt for at gøre dette, og følg med i nyhederne omkring disse opdateringer. Det er meget vigtigt at forstå at sikkerheden går tabt hvis bare et af disse indeholder sikkerhedsfejl.

Skift adgangskoden og upload alt på ny

Skulle du være så uheldig at blive ramt, kan du ikke længere stole på det indhold, der ligger på siderne, idet hackeren kan have lagt bagdøre ind. Bemærk at dette gælder alle dine domæner (hvis du har mere end et). Hvis hackeren har haft adgang, kan der være lagt indhold eller bagdøre på de øvrige domæner også.

Hackeren kan muligvis have aflæst din kode ud fra en konfigurationsfil til databasen, eller lignende, hvorfor det er vigtigt at skifte den. Sørg for at bruge en lang kode med både tal og bogstaver.

Overvej dine sikkerhedsbehov

Hvis din side er særlig udsat, så overvej professionel assistance. Vi ser ofte sider med politisk eller religiøst indhold eller meninger være mere udsat. Ud over dette så er sider der henvender sig mod IT-branchen også ekstra udsat. Ligeledes hvis siden på nogen måde er kontroversiel.

Overvej hvem der har adgang til sårbare områder

Dette er især webhotellets kontrolcenter, database og FTP. Sørg for det kun er dem hvor det er absolut nødvendigt, og sørg for at sikre dig at det ikke bliver givet videre. Det er desuden vigtigt at skifte kode med jævne mellemrum, i tilfælde af at en af dem der måtte have koden selv er blevet kompromitteret.

Hold dig selv opdateret

Husk desuden at følge med i hvad der sker omkring dine scripts (og dertilhørende bestanddele) og deres sikkerhed. Det er en god ide at følge med i officielle mailinglister og ofte tjekke nyhederne omkring de scripts man bruger. Vi følger selv med i diverse sikkerhedsmedier som eksempelvis milw0rm og CGISecurity, men hvis du selv har en god nyhedsressource eller standardrutine du følger for at holde dine systemer sikre, så er du velkommen til at lægge en kommentar.

Hvis du er i tvivl kan du desuden altid skrive til supporten hos Gigahost.


PHP 5.3 kan nu vælges i kontrolcenteret

For knap en måned siden blev version 5.3 af det populære scriptsprog PHP udgivet.

PHP 5.3 er nu tilængelig fra kontrolcenteret og byder på nye funktioner som namespaces, closures, native MySQL-driver, samt mange andre ændringer. Se mere her.

PHP 5.3 er ikke slået til som standard, da ens web-applikation måske skal tilpasses. Eksempelvis kan man opleve, at en række advarsler om funktioner der er “deprecated” vil blive vist. Dette er funktioner der er under udfasning, og som formentlig ikke vil virke i PHP 6.0. Det kan vælges for hvert domæne om man ønsker PHP 5.2 eller PHP 5.3, men nye domæner oprettes endnu med PHP 5.2 som standard. På denne måde kan man nemt teste om et website virker med PHP 5.3, og ellers skifte tilbage til 5.2.


Lav din egen 404-fejlside

Lav din egen 404-fejlside

Det sker ofte at en besøgende lander på en side der ikke findes, er flyttet et andet sted hen, eller hvor der blot er tale om en stavefejl. I stedet for at blive mødt af en standard 404-side, kan man nemt selv lave en 404-side.

Trin 1: Lav en .htaccess fil

Hvis du ikke allerede har en .htaccess fil, kan du nemt lave en. åbn en texteditor (fx Notepad) og indsæt denne linie:

ErrorDocument 404 /404.html

Gem derefter filen under navnet “.htaccess” (bemærk det første punktum). “404.html” vil være den fil der vises i tilfælde af en 404 fejl — det kan dog også være en PHP fil, og du kan kalde den hvad du vil (fx “error.html” i stedet for “404.html”). Hvis dit operativsystem ikke er glad for at lade en fil hedde “.htaccess”, kan du kalde den noget andet og omdøbe den efter den er overført til serveren over FTP.

Du kan også lave dine egne sider til andre fejl sider, som fx 403 (Forbidden), 500 (Internal Server Error) osv. Dette vil se sådan ud:

ErrorDocument 403 /403.html
ErrorDocument 500 /500.html

Trin 2: Lav en 404-fil

Lav derefter en side til fejlbeskeden, og læg den eksempelvis i roden af mappen for dit domæne. Benytter du ovenstående eksempler, skal filnavnene være 404.html, 403.html osv. For at gøre 404-siden så effektiv som mulig, så prøv at inkludere nyttefuld information, specielt hvis det drejer sig om større sider og portaler. Fx kan der på en 404-side være:

  • En søgefunktion
  • Link til sitemap eller en hjælpeside
  • Mulighed for at rapportere en mulig fejl

Fejlsider bør som udgangspunkt ikke viderestille til forsiden, specielt uden at brugeren informeres om at der er tale om en side der ikke findes, eller en fejl.

For at din 404-fil skal kunne vises i Internet Explorer, skal den være over 512 bytes i størrelse, ellers viser IE sin egen fejlside.

404 inspiration

Der findes en masse kreative 404 sider, og nogen gør endda en stor del ud af det. Du kan finde masser af inspiration her, her og her.


Nyhed: Betal med netbank (eDankort)

Nyhed: Betal med netbank (eDankort)

Vi får sommetider forespørgsler fra folk der ønsker at betale via netbank i stedet for betalingskort. Dette er nu muligt, idet vi nu understøtter eDankort. Med eDankort bliver man viderestillet til sin netbank, hvor betalingen foregår. Alle der har adgang til en dansk netbank kan benytte denne mulighed.

Sådan tager du backup af dine emails

Sådan tager du backup af dine emails

Selvom Gigahost automatisk tager backup af emails, bruges denne backup kun i tilfælde af hardwarenedbrud og lignende situationer. Vi har derfor lavet en guide til hvordan du selv kan tage backup af dine emails, i tilfælde af fx systemnedbrud på din computer.

Outlook Express

For at tage backup af mail-filer i Outlook Express skal du kigge efter følgende mapper i dit system:

C:\Documents and Settings\User Name\Application Data\Identities\
C:\Documents and Settings\User Name\Application Data\Microsoft\Outlook Express\
C:\Documents and Settings\All Users\Application Data\Microsoft\Outlook Express\

Adressebogen finder du som regel i følgende mappe:

C:\Documents and Settings\User Name\Application Data\Microsoft\Address Book\

Disse mapper kan du blot tage en kopi af og gemme et andet sted.

Mozilla Thunderbird

Mozilla Thunderbird gemmer alle mails, din adressebog, bookmarks og andet, i “Profile”-mappen, som du finder her (hvis du bruger Windows):

C:\Documents and Settings\User Name\Application Data\Thunderbird\Profiles\

Alternativt kan du bruge et gratis program, MozBackup, der nemt tager backup (og gendanner) dine mails, adressebog, Firefox bookmarks og meget andet.

Apple Mail

I Apple Mail kan du bruge et gratis program, Email Backup 2.0, der kan tage backup (og gendanne) af både Apple Mail og Thunderbird til OS X. Alternativt kan du tage en kopi af filerne i:

~/Library/Mail

Det vil sige mappen “Mail” der ligger i biblioteket inde i ens egen brugers mappe.

Det er bedst at gemme filerne et andet sted end på din computer, fx brænde dem på en CD/DVD eller overføre til et USB-flashdrev. Skulle du være bekymret for sikkerheden, kan du altid kryptere filerne med fx TrueCrypt (et gratis program til kryptering af filer).


Ny webmail i betaversion

Ny webmail i betaversion

Efter en del arbejde på at vælge en ny løsning til vores webmail, har vi nu frigivet en betaversion til alle vores kunder. Den nye webmail findes på webmail.gigahost.dk.

Den nye webmail er betydelig hurtigere og mere moderne. Der er flere nye features som fx forskellige identiteter og en meget bedre søgefunktion. Der er lagt stor vægt på at give en klar, overskuelig og brugervenlig oplevelse.

Webmailen er baseret på RoundCube webmail, og benytter en række modificeringer udviklet af University of Michigan. Forslag og kommentarer modtages med glæde.