Verktyg

Uppdatera WordPress för säkerhets skull

16 september, 2013

Det kan tyckas som ett inlägg att fylla ut med, och lite så kan det faktiskt vara. Men det är inte desto mindre viktig information. WordPress är ju som bekant en vanlig, lättillgänglig ”open source”-plattform för bloggar och webbsidor. Den är gratis att använda, men har en liten baksida som inte är så gratis. Du får bilen men du får serva den själv, och det gäller att tvätta och smörja regelbundet för att den ska fungera – eller ha en egen verkstad att tillgå förstås, mot en kostnad för att hjälpa till. Det handlar framför allt om säkerhet och säkerhetshål.

Botnet och Bruteforce-attacker

För en tid sedan, och för all del fortfarande, så har en större ”Botnet”-attack svept över Internet. Målet har varit att hitta WordPress-installationer, deras standard login-sidor och sen attackera (bruteforce) med lösenord för att komma in i sidan. Det var så massivt att flera driftbolag har fått stänga av loginfunktionerna på installationerna under en period. För vår del har det drabbat några kunder som inte kunnat använda sin sida under perioden, och belastningen har påverkat prestanda överlag. I det här fallet är en rekommendation att ändra sökvägen till din loginsida, så det inte är /wp-admin/ standard. Givetvis också att ha ett starkt lösenord och absolut inte ha en användare som heter ”Admin”.

Dags för uppdatering

Det som också släpptes för en tid sedan var uppdatering av WordPress-koden till version 3.6. En större uppgradering med en hel del förändringar, både för användaren och koden i bakgrunden. Den var så pass omfattande att det ställde till problem för en del sajter, för vissa så tappade sidan bort temat och designen och för andra tvärtom där text och innehåll försvann. Det krävde en del justeringar för att få tillbaka och kan vara väldigt frustrerande för en vanlig användare när det händer.

Nu en kort tid efter 3.6 så kommer en komplettering med version 3.6.1 med en stark rekommendation att uppgradera väldigt fort igen för att täppa till nya säkerhetsluckor som hittats. Det är ju lite av katt och råtta-lek med säkerhetshål och lagningar, nya brister upptäcks hela tiden och åtgärder tas fram. Risken att bli drabbad av något är trots allt väldigt låg men det är bäst att ta det säkra före det osäkra. Det gäller förresten även alla plugins, som uppdateras för att matcha nya WordPress-versioner och funkar bäst om de är synkade och uppdaterade.

Om WordPress 3.6.1

Om du inte redan har uppgraderat, rekommenderas att du uppgraderar så snart du har möjlighet. Anledningen är framför allt att tre viktiga säkerhetsproblem åtgärdas:

  • ”Remote Code Execution”: blockera osäker PHP-kod som i vissa begränsade situationer kan leda till fjärrkörning av kod.
  • ”Link Injection / Open Redirect”: Fix av tillräcklig kontroll av indata som kan leda till oönskad omdirigering eller leder en användare till en annan webbplats.
  • ”Privilege Escalation”: Förhindra en användare med en författarroll (author), kan med en särskilt utformad begärant kunna skapa ett inlägg skriven av en annan användare.

Börja veckan tryggt och säkert med uppgradering av WordPress till 3.6.1. Har du inte uppgraderat till 3.6 ännu, kontrollera din sida noggrant efteråt och ta hjälp av din tekniska leverantör för att åtgärder om det blir tokigheter.

Du kanske också vill läsa

1 kommentar

  • Reply ErikL 30 september, 2013 at 19:57

    Bra tips! Ska ta och uppdatera min sida nu direkt… Har slarvat med det!

  • Svara