Vi ser desværre ofte at hackere opnår besiddelse over webhotellet fordi de aflæser databasekoder via en fejl i diverse scripts – og herefter kan de så logge på hvor de vil. Dette kan hindres ved at vælge en separat kode til ens databaser. Vores erfaringer er at mange hackere giver op hvis de møder en sådan barriere. For at sætte fokus på dette har vi nu gjort det endnu nemmere at skifte koden til ens database, og vi anbefaler altid at man har en forskellig kode til databasen.
Hvis du ikke allerede ved hvordan man ændrer databasekoden, så log ind i kontrolcenteret, vælg “Databaser” og klik på linket “Skift databasekode”. Her kan du skifte koden til databasen, så den er forskellig fra koden til kontrolcenteret.
Vi bemærker sommetider “drive-by”-angreb på sider hos Gigahost, hvor hackere bruger automatiske scripts til at afprøve kendte sikkerhedsfejl. De søger så på eksempelvis Google efter sider der bruger scripts hvor der kan være sikkerhedsfejl i. Eller alle sider på en server kan blive scannet og sikkerhedshuller udnyttet.
Som regel er der tale om populære CMS-opsætninger som Joomla og WordPress, hvor brugeren har en ældre version med en kendt sikkerhedsfejl, som hackeren så udnytter.
Grundet den måde Gigahost er opbygget, hvor man kan hoste så mange hjemmesider som man har lyst, kan det betyde at så snart en enkelt side på ens webhotel er kompromitteret, så kan hackeren skaffe sig adgang til alle ens sider. Det anbefales derfor at man sikre at alle sider ikke er blevet ændret så de indeholder bagdøre eller lignende. Desuden anbefaler vi at man følger vores sikkerhedsvejledning:
Opdater alle dine scripts
Opdater alle scripts (inkl. deres moduler, extensions, addons, components, themes, templates, patches og lignende udvidelser) til nyeste version. Sørg jævnligt for at gøre dette, og følg med i nyhederne omkring disse opdateringer. Det er meget vigtigt at forstå at sikkerheden går tabt hvis bare et af disse indeholder sikkerhedsfejl.
Skift adgangskoden og upload alt på ny
Skulle du være så uheldig at blive ramt, kan du ikke længere stole på det indhold, der ligger på siderne, idet hackeren kan have lagt bagdøre ind. Bemærk at dette gælder alle dine domæner (hvis du har mere end et). Hvis hackeren har haft adgang, kan der være lagt indhold eller bagdøre på de øvrige domæner også.
Hackeren kan muligvis have aflæst din kode ud fra en konfigurationsfil til databasen, eller lignende, hvorfor det er vigtigt at skifte den. Sørg for at bruge en lang kode med både tal og bogstaver.
Overvej dine sikkerhedsbehov
Hvis din side er særlig udsat, så overvej professionel assistance. Vi ser ofte sider med politisk eller religiøst indhold eller meninger være mere udsat. Ud over dette så er sider der henvender sig mod IT-branchen også ekstra udsat. Ligeledes hvis siden på nogen måde er kontroversiel.
Overvej hvem der har adgang til sårbare områder
Dette er især webhotellets kontrolcenter, database og FTP. Sørg for det kun er dem hvor det er absolut nødvendigt, og sørg for at sikre dig at det ikke bliver givet videre. Det er desuden vigtigt at skifte kode med jævne mellemrum, i tilfælde af at en af dem der måtte have koden selv er blevet kompromitteret.
Hold dig selv opdateret
Husk desuden at følge med i hvad der sker omkring dine scripts (og dertilhørende bestanddele) og deres sikkerhed. Det er en god ide at følge med i officielle mailinglister og ofte tjekke nyhederne omkring de scripts man bruger. Vi følger selv med i diverse sikkerhedsmedier som eksempelvis milw0rm og CGISecurity, men hvis du selv har en god nyhedsressource eller standardrutine du følger for at holde dine systemer sikre, så er du velkommen til at lægge en kommentar.
Hvis du er i tvivl kan du desuden altid skrive til supporten hos Gigahost.
PHP 5.3 er ikke slået til som standard, da ens web-applikation måske skal tilpasses. Eksempelvis kan man opleve, at en række advarsler om funktioner der er “deprecated” vil blive vist. Dette er funktioner der er under udfasning, og som formentlig ikke vil virke i PHP 6.0. Det kan vælges for hvert domæne om man ønsker PHP 5.2 eller PHP 5.3, men nye domæner oprettes endnu med PHP 5.2 som standard. På denne måde kan man nemt teste om et website virker med PHP 5.3, og ellers skifte tilbage til 5.2.
Det sker ofte at en besøgende lander på en side der ikke findes, er flyttet et andet sted hen, eller hvor der blot er tale om en stavefejl. I stedet for at blive mødt af en standard 404-side, kan man nemt selv lave en 404-side.
Trin 1: Lav en .htaccess fil
Hvis du ikke allerede har en .htaccess fil, kan du nemt lave en. åbn en texteditor (fx Notepad) og indsæt denne linie:
ErrorDocument 404 /404.html
Gem derefter filen under navnet “.htaccess” (bemærk det første punktum). “404.html” vil være den fil der vises i tilfælde af en 404 fejl — det kan dog også være en PHP fil, og du kan kalde den hvad du vil (fx “error.html” i stedet for “404.html”). Hvis dit operativsystem ikke er glad for at lade en fil hedde “.htaccess”, kan du kalde den noget andet og omdøbe den efter den er overført til serveren over FTP.
Du kan også lave dine egne sider til andre fejl sider, som fx 403 (Forbidden), 500 (Internal Server Error) osv. Dette vil se sådan ud:
Lav derefter en side til fejlbeskeden, og læg den eksempelvis i roden af mappen for dit domæne. Benytter du ovenstående eksempler, skal filnavnene være 404.html, 403.html osv. For at gøre 404-siden så effektiv som mulig, så prøv at inkludere nyttefuld information, specielt hvis det drejer sig om større sider og portaler. Fx kan der på en 404-side være:
En søgefunktion
Link til sitemap eller en hjælpeside
Mulighed for at rapportere en mulig fejl
Fejlsider bør som udgangspunkt ikke viderestille til forsiden, specielt uden at brugeren informeres om at der er tale om en side der ikke findes, eller en fejl.
For at din 404-fil skal kunne vises i Internet Explorer, skal den være over 512 bytes i størrelse, ellers viser IE sin egen fejlside.
404 inspiration
Der findes en masse kreative 404 sider, og nogen gør endda en stor del ud af det. Du kan finde masser af inspiration her, her og her.
Vi får sommetider forespørgsler fra folk der ønsker at betale via netbank i stedet for betalingskort. Dette er nu muligt, idet vi nu understøtter eDankort. Med eDankort bliver man viderestillet til sin netbank, hvor betalingen foregår. Alle der har adgang til en dansk netbank kan benytte denne mulighed.
Selvom Gigahost automatisk tager backup af emails, bruges denne backup kun i tilfælde af hardwarenedbrud og lignende situationer. Vi har derfor lavet en guide til hvordan du selv kan tage backup af dine emails, i tilfælde af fx systemnedbrud på din computer.
Outlook Express
For at tage backup af mail-filer i Outlook Express skal du kigge efter følgende mapper i dit system:
C:\Documents and Settings\User Name\Application Data\Identities\
C:\Documents and Settings\User Name\Application Data\Microsoft\Outlook Express\
C:\Documents and Settings\All Users\Application Data\Microsoft\Outlook Express\
Adressebogen finder du som regel i følgende mappe:
C:\Documents and Settings\User Name\Application Data\Microsoft\Address Book\
Disse mapper kan du blot tage en kopi af og gemme et andet sted.
Mozilla Thunderbird
Mozilla Thunderbird gemmer alle mails, din adressebog, bookmarks og andet, i “Profile”-mappen, som du finder her (hvis du bruger Windows):
C:\Documents and Settings\User Name\Application Data\Thunderbird\Profiles\
Alternativt kan du bruge et gratis program, MozBackup, der nemt tager backup (og gendanner) dine mails, adressebog, Firefox bookmarks og meget andet.
Apple Mail
I Apple Mail kan du bruge et gratis program, Email Backup 2.0, der kan tage backup (og gendanne) af både Apple Mail og Thunderbird til OS X. Alternativt kan du tage en kopi af filerne i:
~/Library/Mail
Det vil sige mappen “Mail” der ligger i biblioteket inde i ens egen brugers mappe.
Det er bedst at gemme filerne et andet sted end på din computer, fx brænde dem på en CD/DVD eller overføre til et USB-flashdrev. Skulle du være bekymret for sikkerheden, kan du altid kryptere filerne med fx TrueCrypt (et gratis program til kryptering af filer).
Efter en del arbejde på at vælge en ny løsning til vores webmail, har vi nu frigivet en betaversion til alle vores kunder. Den nye webmail findes på webmail.gigahost.dk.
Den nye webmail er betydelig hurtigere og mere moderne. Der er flere nye features som fx forskellige identiteter og en meget bedre søgefunktion. Der er lagt stor vægt på at give en klar, overskuelig og brugervenlig oplevelse.
Webmailen er baseret på RoundCube webmail, og benytter en række modificeringer udviklet af University of Michigan. Forslag og kommentarer modtages med glæde.
