Emil Vikström

Emil Vikström

Datorer och webben

Emil Vikström RSS Feed
 
 
 
 
« Anropa kommandoraden från PHP
“Nya” FRA-lagen inte ett dugg bättre »

Håll din e-butik och blogg säker!

Säkerhetskamera

Om du har en e-butik, blogg eller annan webbplats är du alltid utsatt för säkerhetsrisker. I mitt jobb på webbhotellet Levonline stöter jag på detta ofta.

Mest utsatt är du som valt att köra en populär mjukvara, som till exempel Wordpress, Joomla eller osCommerce. Om en säkerhetslucka hittas i en välanvänd programvara så sprids information om luckan snabbt, och den som utnyttjar luckan kan ha stor nytta av att attackera dessa kända plattformar eftersom det är lätt att hitta dem. Det finns till exempel hundratusentals Wordpress-bloggar och att hitta en är inte svårare än att googla på “powered by wordpress”. En skicklig hackare kan på kort tid samla ihop ett stort antal hackade servrar genom att använda en ny lucka i dessa välanvända program, servrar som sedan kan användas för att attackera andra, sprida virus eller för att spionera på dina databasuppgifter.

Checklista för den som inte vill bli hackad

* Undvik att göra egna ändringar i filer. Så långt det är möjligt ska du låta bli att ändra annat än applikationens konfigurationsfil. Ska du ändra något bör du hålla dig till de inställningar du enkelt kan göra i applikationens webbgränssnitt. När det är dags för en uppdatering kommer du tacka mig för detta tips.
Ett undantag kan vara teman, vilka ofta är säkra att ändra i då de inte innehåller någon särskild programlogik och sällan behöver uppdateras mellan olika versioner.

* Läs igenom instruktionerna för uppgraderingar redan innan du slutgiltigt bestämmer dig för en viss plattform. Detta förbereder dig på det arbete som kommer krävas. Försök välja en lösning som du tror dig orka uppdatera varje månad, eftersom det kan vara så ofta det kommer nya patchar.
Jämför också olika lösningar så att du får ett hum om hur omfattande det brukar vara.

* Se till att din webbapplikation ständigt utvecklas. Kolla att den senaste versionen du laddar ner inte är för gammal, skumma igenom nyhetsdelen av deras sajt för att se hur aktivt projektet verkar vara och se gärna till att det finns något sätt projektet drar in pengar på.

* Fråga först! Leta upp ett lämpligt forum på Internet och fråga efter andras erfarenheter av programmet. Jag är själv aktiv på Webmasternetwork och PHPportalen. Se om du hittar diskussionstrådar om produkten.

* Håll koll på uppdateringarna. Om din sajt är viktig för dig ska du gå med i en e-postlista som håller dig uppdaterad, eller prenumerera på en RSS-ström med nyheter. Skumma gärna igenom ändringsloggen (changelog på engelska) och se vilka säkerhetsluckor som täppts till.

* Vänta inte! Du ska ha mycket goda skäl till att inte uppdatera direkt. Duktiga hackare sätter igång så fort en säkerhetslucka släpps, och riktigt duktiga hackare håller koll på utvecklingen av projekten och ser när de täpper till luckorna redan innan de officiellt berättar om problemen. Du kan alltså i värsta fall bli hackad redan innan patchen finns ute. Du kan inte uppdatera för tidigt.

WordPress

Hemligt tips till dig som vill köra Wordpress

Tycker du det är jobbigt att uppdatera alla filer varje gång Wordpress släpper en ny patch? Det tycker jag också. Därför har jag installerat Wordpress med hjälp av Subversion. Subversion är ett slags kodhanteringsprogram som Wordpress (och många andra) använder sig av för att utveckla programmet. Det främsta användningsområdet är för att flera ska kunna arbeta på samma kodningsprojekt på en gång, så att ändringar inte krockar med varandra och så att man kan återgå till tidigare versioner av enskilda filer. Du kanske har hört talats om CVS och Git, som båda spelar i samma liga.

Nu ska vi inte använda Subversion för att koda på Wordpress. Allt kommer klarna alldeles strax, men först ska jag berätta hur man normalt använder Subversion när man kodar:

  1. Anna checkar ut en kopia av koden så som den ser ut vid ett givet tillfälle (oftast senaste versionen)
  2. Anna skriver lite ändringar.
  3. Pär checkar också ut koden och skriver ändringar, kanske en del i samma fil.
  4. Pär sparar sina ändringar till Subversion-servern (checkar in sin kod).
  5. Anna vill nu ta del av Pärs ändringar. Hon checkar ut en uppdatering av koden.

Det är steg fem som är intressant. När Anna checkar ut uppdateringen så kommer Subversion bara att ladda ner ändringarna som skett sedan hon senast checkade ut. endast de filer som ändrats kommer att uppdateras, och om hon arbetat med samma fil som någon annan så kommer bådas ändringar att slås ihop.

Som jag sade tidigare använder Wordpress detta system för sin interna utveckling. Deras Subversion-server är dessutom öppen för allmänheten att checka ut från och det är detta vi ska dra nytta av. Vi kommer inte själva att göra några ändringar, men vi kommer utföra stegen 1 och 5 ovan. För att utföra efterföljande steg måste du ha SSH-åtkomst till din webbserver/webbhotell.

Skaffa Subversion

Börja med att skaffa Subversion till servern. Om du bor på ett webbhotell måste de ha installerat Subversion-klienten på sin SSH-server för att detta ska funka (Levonline har Subversion-klienten installerad). Kör du din egen server kan du installera det själv. På Debian och Ubuntu skriver du så här i terminalen:

apt-get install subversion

Du gör på liknande sätt för andra distributioner, men pakethanteraren kan ha ett annat namn. Om du har din sajt på ett webbhotell kanske det redan finns, eller så måste de installera det åt dig (fråga supporten snällt).

Installation av Wordpress

Installera Wordpress genom att checka ut en kopia till din server. Använd kommandot cd för att gå till den katalog du vill ha bloggen i. Använda mkdir för att skapa nya kataloger. När du befinner dig där du vill ha programmet så skriver du:

svn checkout http://svn.automattic.com/wordpress/tags/2.6.5 .

(observera versionsnumret på slutet, och se till att du checkar ut den senaste stabila versionen).

När allt är klart följer du den vanliga Wordpress-manualen för installation av databasen och inställningar.

Uppdatering av Wordpress

Om du upptäcker att det kommit en ny version så uppdaterar du genom att anteckna versionsnumret, gå till den mapp du installerade Wordpress i och skriva följande kommando:

svn switch http://svn.automattic.com/wordpress/tags/2.6.5/ .

(ändra till rätt versionnummer på slutet)

Nu får du automatiskt uppdaterade filer. Logga sedan in i Wordpress-kontrollpanelen och följ stegen för att uppdatera databasen om det behövs.

Uppdatering av Wordpress-plugins

Ovanstående uppdaterar bara själva Wordpress-installationen, inte några extra plugins som du installerat vid sidan av. För att uppdatera plugins kan du oftast använda Wordpress inbyggda funktion i kontrollpanelen eller följa instruktionerna för den specifika plugin du vill uppdatera.

Teman behöver du sällan uppdatera överhuvudtaget, men om du måste det så får du gå den krångliga vägen och uppdatera helt manuellt.

Om du vill veta mer om Subversion-tekniken så har Wordpress själva en guide (på engelska).

Läs mer

Loopia skriver också om det här ämnet.

24 september 2008 | Om: , , , | Avdelning: Blandat

Diskutera