Hvert 4 CMS hjemmeside i Danmark er usikker

VN:F [1.9.22_1171]
Hvad synes du om artiklen? Giv en vurdering herunder:
Rating: 5.0/5 (1 vote cast)

Her på bloggen har jeg flere gange tidligere prædiket om sikkerhed på hjemmesider. Emnet er super aktuelt, især fordi jeg mener at der er ALT for mange der slet ikke tænker over at sikkerhedsopdatere deres CMS hjemmeside, efter de har fået den i luften.

Jeg har altid baseret mine påstande på mine egne erfaringer med udvikling af hjemmesider og webshops fra de seneste 7 år i branchen. I dag er der dog en spændende artikel om emnet på Version2.dk.

I artiklen kan du læse om et sikkerhedsfirma, der har undersøgt en stor bunke Danske hjemmesider, og fundet ud af at hver 4 af dem risikerer at blive ramt af spam, malware, virus eller måske endda hacker angreb, fordi de kører på en forældet version af deres CMS.

Nu vil jeg slet ikke forholde mig til tallene i artiklen, men blot være glad for at der bliver sat mere fokus på det, for det er der i sandhed behov for.

Er du ramt af sikkerhedsbrister på din hjemmeside?

Lige meget om dit CMS hedder Joomla, Drupal, WordPress, TYPO3, Umbraco eller noget helt andet, er du ramt hvis ikke du, eller din leverandør, sørger for at opdatere dit system hver gang der kommer en ny version. Så hvis jeg var dig ville jeg tjekke hvilken version du kører med på din hjemmeside, og derefter undersøge hvilken version der er den nyeste. Hvis ikke de 2 versioner passer sammen vil jeg anbefale dig at du gør noget ved det. De må helst ikke afvige for meget fra hinanden.

Hvad kan der ske hvis jeg ikke opdaterer jævnligt?

Hvis ikke du sørger for at opdatere din hjemmeside til seneste CMS version jævnligt, så risikerer du at din hjemmesider bliver skadet. Spørgsmålet er om du har råd til det?

Der kan ske en masse negative ting på din hjemmeside. Det kunne f.eks. være:

  • At indholdet på din hjemmeside bliver slettet eller ændret. Jeg har set eksempler på hjemmesider der er blevet overdynget med børneporno, mens andre helt er blevet slettet.
  • At der bliver lagt skjulte links ind på din hjemmeside til pornosider eller andet snavs, som du ikke vil forbindes med.

Dette var blot 2 eksempler på hvad der kan ske. Der findes mange varianter og metoder til at sprede den slags snavs. Og mange af dem er semi- eller fuldautomatiserede processer som blot leder efter huller i kendte systemer, som kan udnyttes.

Du bør være interesseret i at undgå enhver form for angreb på din hjemmeside. I de tilfælde hvor et angreb opdages hurtigt kan der gøres noget ved det uden de helt store armbevægelser, hvis ellers din hosting leverandør (og dig selv) har styr på backup. Så kan backuppen fra dagen før blot køres ind, og alt burde være ok. Bortset fra at sikkerhedshullet stadigvæk er til stede.

Der er en lang række ting der ofte sker, som ikke umiddelbart er synligt på din hjemmeside. Og så er det at det både kan være meget skadeligt for din forretning, samtidig med at det kan være svært at komme af med.

Et eksempel:

Du opdager at der findes skjulte links på din hjemmeside, da du tilfældigt en dag kigger i din kildekode. De kan ikke se på selve hjemmesiden, da de er skjult med CSS eller Javascript så de ikke umiddelbart er synlige på hjemmesiden. Disse links har måske langt på din hjemmesiden i månedsvis, fordi du ikke har opdaget dem.

Disse links kan have skadet dine opnåede positioner i søgemaskinerne eller i værste fald kan din hjemmeside måske være i fare for at blive stemplet som et spamsite. Ligeledes kan du ikke blot fikse problemet ved at køre en backup ind som er flere måneder gammel. Det vil jo betyde, at alle ændringer der i de seneste 2 måneder er skabt på din hjemmeside, af dig selv og dine brugere, vil gå tabt. Det er ikke holdbart. Derfor er du nødt til at gennemgå dit site fra a-z for at finde kilden til disse links.

Dette er blot et enkelt scenarie som kan ske, og som jeg har set ske flere gange. I stedet for at være i farezonen for at dette sker for dig, vil jeg foreslå dig at forebygge. Det gør du ved hele tiden at holde din hjemmeside opdateret til seneste version. Det koster altså ikke ret meget i forhold til hvad du kommer til at betale for at fikse problemet, når skaden sker. Og så har vi slet ikke snakket om hvilken skade det kan gøre for dit brand, eller tabt fortjeneste mens fejlen bliver udbedret, tabte placeringer hos Google og meget mere.

Tjek din leverandør

Jeg vil opfordre dig til at tjekke om din hjemmeside er forsvarligt opdateret. Og når du er i gang, så spørg også din leverandør hvordan deres sikkerhedspolitik ser ud. 🙂

Vil du vide hvordan vores politik er i forhold til TYPO3 CMS løsninger, så tjek dette indlæg, som jeg skrev om TYPO3 sikkerhed tidligere i år.

Hvis du har kommentarer til dette emne, eller eksempler på hvordan du eller andre har fået lagt deres hjemmeside ned, så vil jeg meget gerne høre fra dig i kommentarerne.

VN:F [1.9.22_1171]
Hvad synes du om artiklen? Giv en vurdering herunder:
Rating: 5.0/5 (1 vote cast)
Hvert 4 CMS hjemmeside i Danmark er usikker, 5.0 out of 5 based on 1 rating

Kommentarer (3)

  • Jan

    Godt blog indlæg.
    Passer godt med de sidste sikkerheds huller der blev afsløret i wordpress.

    VA:F [1.9.22_1171]
    God kommentar? Stem her:
    Rating: 0.0/5 (0 votes cast)
    30-08-2011 at 12:51
  • René Madsen

    Godt indspark!

    Der er både problemer med manglende CMS opdatering og virksomheders uhæmmede brug af gratis templates fra alle og enhver, der tilbyder disse på nettet.

    Typiske fejl ved CMS systemer er at der anvendes en permission 777, det giver uhindret adgang til det pågældende website, der er rigtigt mange virksomheder med websteder, der ikke helt forstår netop denne problematik.
    Den stigende interesse og brug af gratis template giver problemer med uautoriseret adgang til virksomheders hjemmesider.

    Mange templates er kodet med sektioner med basekodning 64, hvor der er indsat link til alverdens forskellige sider som udvikleren af themet har ønsket. Der kan endvidere indsættes kodning, således disse links kan skiftes fra en ekstern maskine efter behov fra spammeren.

    Der skal bruges et afkodningsværktøj for at se hvad den enkelte kodningsblok udfører. I mange themes er angivet at brugeren ikke skal editere i koden, da den vil få themaet til af stoppe med at fungere, men det er det rene VÅS!

    Et andet stort problem er webhotellers manglende ansvarsfølelse, når websites bliver hacket. Vi har kunder, der har haft websites liggende på et af landets større webhoteller, hvor de er blevet hacket, men efter vores test viste det sig at det var webhotellet, der var årsagen til at websitet blev angrebet og ikke dårlig CMS eller gratis themes.

    Webhotellets ansvarlige leder nægtede at det var hos dem der var fejl, uagtet vi fremsendte en liste med andre domæner, der lå på den samme server og ligeledes var hacket, men svaret var at det var kundernes dårlige CMS systemer, der var årsagen.
    DET passer nu bare ikke, når der oprettes noget på et webhotel fra root, hvilket er administrator adgang fra serveren” sådan en har brugeren af webhotellet ikke” så der er tale om rootkit, hvor hackeren har adgang til alle webhoteller på den pågældende webserver.

    Så når man ser på sikkerheden, så skal der tages mange aspekter med ind i den løbende vedligeholdelse, dette indebærer også kontinuerlige serversoftware sikkerhedsopdateringer ( Apache – IIS etc. )

    VA:F [1.9.22_1171]
    God kommentar? Stem her:
    Rating: 0.0/5 (0 votes cast)
    03-09-2011 at 20:33

Skriv en kommentar

Din email vil ikke blive synlig.