Populære WordPress alvorlig ramt. Hackerangreb på blogs.

Af Dorte Toft 8

Pyhhh ha. Jeg blev noget nervøs, efterhånden som jeg læste, hvor alvorlige de aktuelle angreb på WordPress-baserede blogs er, for tre af “mine” blogs er på den platform, blandt andet denne blog, altså Bizzen.

De seneste dages angreb sletter indlæg, placerer porno og hærger på anden vis blogs på WordPress, der sammen med Googles Blogger er de mest populære blogplatforme.

Den eneste blog, hvor jeg kunne være sikker på, at intet var sket, er bloggen om min Bagger-bog “Bedrag”, idet den ligger hos WordPress selv – på wordpress.com – altså “hosted”.

Det er kun WordPress-baserede blogs, som folk selv administrerer på eget domæne, der var i farezonen. Her skal man selv sikre, at bloggen opgraderes til ny version (sådanne kommer typisk, når sårbarheder opdages, og når der tilføjes ny funktionalitet).

Opgraderinger kan drille, lidt afhængig af, hvor megen ekstrafunktionalitet (plug in’s) man har tilføjet, og det tager tid. Derfor er ikke alle lige flittige til at opgradere.

Ligger bloggen på wordpress.com sker opdateringen pr. automatik.

Heldigvis har jeg en kyndig blog-administrator på bloggen, der hører til “Nærmest lykkelig i nørdland”-projektet, den nyslåede datalog Therese Hansen, og hun har sikret, at den gamle, usikre version er fortid. Hun sikrer også løbende back up af bloggen, så havde hackerne slået til, var skaden til at overskue.

Det var imidlertid ikke tilfældet for en af de allermest kendte it-bloggere, amerikaneren Robert Scoble. Hans blog, Scobleizer, var udsat for to angreb, og anden gang slettede hackerne par måneders blogindlæg. Stakkels Scoble pisker sig selv for ikke at have haft back up, og han fortæller om oprydningen.

En grundig gennemgang af, hvor vigtigt det er at få opdateret til ny version findes på bloggen Lorelle on WordPress. Her vises også, hvorledes man kan se, om ens blog er hacket.

På sin vis er situationen tankevækkende. Umiddelbart taler incidenten for, at kniber det med tid og måske ekspertise, så er man i hvert fald bedst tjent med at bruge tjeneste-udbyderes egen platform, uanset om man så må finde sig i en lidt længere netadresse (altså xxxxx.wordpress.com i stedet for xxxxx.dk, for eks.). Men det giver jo et mere professionelt signal med bloggen på eget domæne.

Hvordan gik det egentlig med blogs på danske domæner, altså .dk?

8 kommentarer RSS

  1. Af Lisa Risager

    -

    Jeg har ikke kendskab til nogen orme på .dk wordpress-blogs – dem jeg blev udsat for var på et .eu-domæne og et .co.uk domæne

  2. Af Thomas Mejer

    -

    Man kan også få sit .dk domæne til at pege på en hosted wordpress.com blog – så skal man bare vælge premiumudgaven.

  3. Af Therese Hansen

    -

    Nu nævnes det at det kan være besværligt hele tiden at skifte til den sidste udgave af WordPress og til det kan jeg tilføje at det heller ikke altid er ønskeligt.

    Man har jo også et ansvar overfor sine brugere i forhold til at tingene skal køre så fejlfrit som muligt og nye versioner har ofte børnesygdomme, som skal overståes, såvel som at plugins helt kan holde op med at virke på nye versioner – i hvert fald i en periode til pluginforfatterne får dem rettet.

    Når det så er sagt så er WordPress en af de nemmere platforme at arbejde med.

  4. Af Dorte Toft

    -

    @Therese Hansen. God eviggyldig pointe, tak. Og tak for tip fra Thomas Mejer.

    I øvrigt fandt jeg en liste på dansk med råd om, hvorledes man opdaterer. Den er her:
    http://www.saugstrup.org/tjekliste-automatisk-opdatering-wordpress/

  5. Af Leif Carlsen

    -

    Jeg bruger selv den WordPress hostede udgave, men har redelegering af mine to danske domænenavne, 100kmguy.dk og leifcarlsen.dk til min WordPress-URL. Dette kombineret med Premiumudgaven, som Therese skriver om, gør at brugerne egentlig får oplevelsen af, at de er på en .dk blog.

    Til tider har jeg tænkt, at jeg gerne ville have mit egen hostede WordPress blog for at kunne bruge flere af de plugins der findes til de hostede udgaver af WordPress, men dels er der sikkerhedsrisikoen og dels har jeg tænkt, at hele den tekniske administration af bloggen bare ville tage tid væk fra det væsentligste, nemlig at skrive på min blog og kommunikere med de der efterlader kommentarer på bloggen.

  6. Af Jan Skinnerup

    -

    Jeg hoster selv tre forskellige WordPress blogs. Opdatering er altså ikke så stort og uoverskueligt som det måske kan lyde. Især ikke efter version 2.8.x, hvor man faktisk kan gøre det automatisk.

    Selvfølgelig kan man rende ind i, at der er nogle plugins der ikke er med på noderne. Men det er dybest set småting.

    Jeg er helt enig med Therese i, at det ikke kan blive meget nemmere end med WordPress.

  7. Af Oli Olsen

    -

    Det var synd for WordPress brugerne

  8. Af René Clausen Nielsen

    -

    Det er rigtignok nemmest at have en hosted blog, og som Thomas skriver, så er det også muligt at benytte eget domæne på en wordpress.com-blog.

    Den ekstra administration, der følger med en hjemme-hosted blog er dog gående mod uendelig lille, hvis man næsten ingen plugins bruger – eller kun bruger de plugins, som også er at finde på wordpress.com.

    Hvis man benytter ekstra plugins, kan det selvfølgelig være lidt mere besværligt at opgradere _og_ beholde funktionaliteterne fra de ekstra plugins fra første dag efter opdatering.

    Problemerne er dog kun sjældent til stede ved sikkerhedsopdateringer. Problemerne med gamle plugins og gamle temaer findes ved de store opdateringer (det vil eksempelvis sige fra 2.7 til 2.8). De store opdateringer er _ikke_ sikkerhedsopdateringer og man kan, som Therese siger, ofte med fordel vente nogle få dage og se efter, om der er medfølgende børnesygdomme, vente på plugin-opdateringer osv.

    Hvor man ikke kan vente, er ved sikkerhedsopdateringer (i dette tilfælde fra 2.8.3 til 2.8.4). Af den simple årsag, at sikkerhedsopdateringer er … ja … sikkerhedsopdateringer. Fra 2.8 udkom og til 2.8.4 udkom gik der to måneder. To måneder til at opdatere en (vigtig) WordPress-blog er mere end rigeligt lige meget hvor travlt en udbyder, implementeringspartner eller lignende måtte have. Så opdater, opdater, opdater. Helst før en orm eller lignende er i omløb.

    Og nå ja, og backup, backup, backup!

    /René, tovholder for WordPress i Danmark

Skriv kommentar

Kun fornavn og efternavn bliver vist i forbindelse med kommentaren. Dog skal alle felter med * (stjerne) udfyldes

Læs vilkår for kommentarer og debat på Berlingske Tidendes websites

RETNINGSLINJER

Berlingske ønsker at sikre, at debatten på b.dk føres i en ordentlig tone, som gør det inspirerende og udfordrende for alle at bidrage og deltage. Vi efterlyser gerne klare, skarpe, holdningsmæssige stærke indlæg med stor bredde og mangfoldighed og kritisk blik på sagen. Men vi accepterer ikke indlæg, som er åbenlyst injurierende, racistiske, personligt nedgørende. Sådanne indlæg vil fremover blive slettet. Det samme gælder indlæg, der ikke er forsynet med fuldt og korrekt navn på afsenderen, men som indeholder forkortede navne, opdigtede eller falske navne.

Vi opfordrer samtidig alle debattører til at gøre redaktionen opmærksom på indlæg, som ikke overholder disse retningslinjer.

Redaktionen

Yderligere info