Categories
Sikkerhed WordPress

Genbruger du passwords? (Så læs her!)

Hvis du fx var bruger på LinkedIn i 2012, er dit login blevet hacket sammen med millioner af andre LinkedIn-brugeres. Disse data blev i maj 2016 sluppet fri til hackere. Men også hundredevis andre websites og online tjenester er blevet kompromitterede over de seneste år. De kendte tilfælde er nu samlet i en venligsindet database, hvor du let kan tjekke, om du selv er i farezonen.

Begynd med at gå ind på haveibeenpwned.com, og tjek om dine emailadresser og tilhørende koder ligger i hackernes åbne password-databaser. Hvis det er tilfældet, så er det bare med at komme i gang med at rydde op.

haveibeenpwnded-com

Hvis du er en af dem, der genbruger dit password, så har du nok brugt din kode adskillige andre steder, og så er det på tide at få pensioneret den kode.

Hvis din kombination af email og password har været genbrugt som login andre steder på internettet, så er det sandsynligvis et spørgsmål om tid, før disse adgange bliver misbrugt.

Brug et nøgleringsprogram

Selv opdagede jeg, at mine koder fra LinkedIn og Adobe var blevet offentliggjort. Så jeg begyndte at bruge 1Password, der kan bruges på både stationær og tablet. 1Password er et nøgleringsprogram, der kan tildele og huske et passwords, så du ikke behøver at genbruge – og kun behøver at huske ét hovedpassword. På tværs af Mac, iPad, iPhone etc. 1Password findes både til Windows og Mac.

Men du kan også benytte Mac OS X’s indbyggede såkaldte Hovednøglering (Key Chain på engelsk) i Mac’ens værktøjsmappe (undermappe til Program-mappen). Den spiller sammen med Safari og Google Chrome (mens Firefox har sit eget indbyggede password-nøgle-system). Hvis du har tillid til Apples iCloud, kan du synkronisere din nøglering dér og dermed dele hovednøgleringens koder på tværs af dine Apple-dimser.

Her kan du læse mere om Apples nøglering.

Ryd op

Begynd med at rydde op i dine vigtigste konti: email, webserver, Facebook, Apple ID, Amazon, Nem-ID, bank, osv.

Personligt vil jeg aldrig gemme min Nem-ID-kode sammen med de øvrige koder, da den er særlig vigtig. Den og mit masterpass-word har jeg valgt at huske i hovedet.

Vælg et nøgleringsprogram

Det er en krævende operation at teste alle de tilgængelige nøgleringsprogrammer, så jeg vil anbefale, at du læser nogle af anmeldelserne og omtalerne her. Så kan du danne dig et indtryk og vurdere, hvilken løsning, der passer bedst til dig og din smag. (Selv har jeg valgt at skifte til LastPass, der kan benyttes i en gratis version):

Best Password Managers 2019 (Tom’s Guide)

The Best Password Managers for 2016

Password Managers Compared: Lastpass vs Keepass vs Dashlane vs 1Password

Five Best Passwords Managers

Online Password Manager Reviews

Take control of password chaos with these six password managers

 

Advar andre

Spred nyheden til alle du kender. I hvert fald dem, der bruger LinkedIn, Dropbox eller Adobe. 🙂 Og husk at registrere dig på haveibeenpwned.com, så du får besked, hvis din email dukker op i nye uheldige sammenhænge.

Categories
Hosting Opdateringer Plugins Sikkerhed WordPress

Alvorligt sikkerhedshul i Postman SMTP plugin

For få dage siden fjernede WordPress det ellers fremragende plugin Postman SMTP fra det officielle kodearkiv på wordpress.org. Det sker fra tid til anden for plugins eller themes, der har vist sig ikke længere at være sikre. En sikkerheds-blog havde påvist et sikkerhedshul i Postman SMTP (version 1.7.2).

Fejlen er ikke blevet rettet af Jason Hendriks, udvikleren af Postman SMTP, og det har derfor fået WordPress’ administratorer til at fjerne plugin’et fra deres download-database. Det betyder samtidig, at der ikke er en opdatering lige rundt om hjørnet.

I en diskussionstråd om problemet har en Jon Brown dog publiceret et simpelt forslag til en løsning af problemet:

I linje 346 af 
/wp-content/plugins/postman-smtp/Postman/Postman-Email-Log/PostmanEmailLogController.php

Ret
   value="<?php echo $_REQUEST['page'] ?>" />
til
   value="<?php echo esc_attr($_REQUEST['page']) ?>" />

Biberkopf har patchet alle WordPress-installationer tilhørende kunder med en vedligeholdelsesaftale.

UPDATE: 15. november 2017:

WordPress-udvikleren Yehuda Hassine har for nylig udgivet en ny version – en såkaldt fork – af Postman under det nye navn »Post SMTP Mailer/Email log«. Dette plugin kan angiveligt installeres i stedet for det gamle Postman plugin. Det skulle kunne genbruge Postmans indstillinger.

Categories
Hosting WordPress

Hosting WordPress hos Siteground

I december 2016 blev den danske web-udbyder Meebox opslugt af Zitcom Group (som også ejer UnoEuro).

[Update  14. aug. 2017: UnoEuro har i løbet af det første halvår af 2017 flyttet alle sine Meebox-kunder over på deres egen platform. En proces, som jeg har tænkt mig at beskrive fra et kundesynspunkt i et selvstændig indlæg. Men jeg vil gerne løfte sløret en smule og sige, at det har ikke været en helt smertefri oplevelse.]

Hvad det betyder for kvaliteten af Meebox’ ydelser vil vise sig. Jeg skrev en anbefaling af Meebox som dansk hosting-partner i 2012, efter jeg havde haft gode oplevelser med dem i et stykke tid. Siden er det gået lidt op og – måske mest – ned med Meebox, så jeg har længe været på jagt efter et muligt alternativt.

Sådan et alternativ faldt jeg over i 2014, da jeg købte hosting hos Siteground. Og det har været en helt uvant positiv oplevelse, som jeg vil skrive mere detaljeret om her – snarest.

Indtil videre må jeg nøjes med at anbefale enhver, der gerne vil have en virkelig kompetent hosting partner til sit WordPress-site, at kigge på Sitegrounds forskellige webhosting pakker:

[ Gå til SiteGrounds oversigt ]

Hvis jeg kort skal fremhæve nogle af fordelene:

  • fremragende support chat- og telefon-support
  • seriøst fokus på og viden om WordPress
  • dygtige supportere!
  • hurtig opfølgning på support tickets
  • super server caching
  • gratis overførsel af eksisterende installation
  • gratis SSL-certifikat (meget let at installere),
  • HTTP/2-understøttelse,
  • CDN-support inkluderet
  • GDPR
  • … og meget mere

Listen er lang og vil blive opdateret løbende.

Ulemper? Ja, det må jeg nok lige tænke over, men visse offentlige server kan vist få problemer med at hoste data uden for Danmarks grænser. Det gælder dog næppe simple web-data, men nok snarere personfølsomme oplysninger. 

Disclaimer:

(Bemærk venligst, at Biberkopf er en stolt, officiel referral-partner og dermed profiterer lidt, hver gang en henvist læser vælger at købe et webhotel hos Siteground. Hvis du gerne vil undgå at støtte Biberkopf på den måde, kan du bruge dette direkte link i stedet. Sådan skal det heller ikke hedde sig. 🙂 )

Categories
Events Opdateringer WordPress

Biberkopf er sponsor ved WordCamp Denmark 2016

wpdk-logo-sort
WordCamp Denmark 2016

Hvis du har bare den mindste interesse for WordPress, bør du unde dig selv at deltage i WordCamp i Århus i weekenden 28.-29. maj. Konferencen finder sted i byens nye kulturhus, DOKK1, på havnen. Og de vil være oplæg for både udviklere, webmasters og almindeligt nysgerrige.

Tjek selv programmet på WordCamps hjemmeside.

Biberkopf er sponsor for WordCamp Denmark 2016.

Categories
Plugins Spam WordPress

Smart anti-spam plugin blokerer bot-kommentarer

I artiklen med det mundrette navn Plugin mod kommentar-spam – et alternativ til ReCAPTCHA? har jeg beskrevet et WordPress plugins elegante måde at frasortere spam-maskiner (bots), når det vælter ind med kommentarer på din blog.

Her er så endnu en metode, som vælger en anden men ikke mindre elegant løsning. Bestem selv, hvad du selv synes er smartest.

Men husk, at der er sjældent en metode, der ikke på et tidspunkt kan omgåes af spam-bot-programmørerne.

Tiden arbejder for dig

Det nye plugin hedder Spammers Suck! – måske ikke så subtilt et navn. Udviklerfirmaet kalder sig WPSpamHammer. Endnu et hårdtslående navn, der understreger ‘tough-on-net-crime’-profilen. Personligt synes jeg nok, at Aikido Spam Fighter eller lignende havde været et bedre navn. For metoden er begavet og ikke synderlig voldelig.

Ideen er simpelthen a vente! Når en maskine eller et menneske åbner en kommentarside, så skal der gå fx 15 sekunder før en kommentar bliver accepteret. Det er smart, da spam-bots jo normalt ikke har tid til at vente 15 sekunder. De skal hurtigt videre og generer andre bloggere, så for dem er 15 sekunder en evighed. For de fleste mennesker, vil en kommentar aldrig falde før efter 15 sek.

Hvis man mener, at tidsgrænsen ligger et andet sted, kan man selv tilrette det i indstillingerne:

plugin-spammers-suck

Desuden kan man sikre sig mod, at evt. lynhurtige menneskevæsener afleverer kommentarer på under 15 sekunder ved at gøre ‘Send’-knappen inaktiv.

Update 20. august 2014:

Jeg har været nødsaget til at pille Spam Hammer af mit site. Den skabte ‘fatal errors’, der angiveligt skyldtes en manglende registrering af ‘base dir’ et eller andet sted i koden. Det fik den til at konflikte med QuickCache, som jeg vurderer højere end de fleste andre plugins. Både hvad angår troværdighed og kvalitet. Så Spam Hammer er ude. Desuden producerede den denne fejl, da jeg prøvede at geninstallere den for at teste:

Protection Not Active*. Error: Your Server's IP Is In Use By Another Account

Men hvis du kan leve med disse begrænsninger, kan den måske stadig være anvendelig for dig.

Categories
iOS iPad iPhone Plugins Spam WordPress

Plugin mod kommentar-spam – et alternativ til ReCAPTCHA?

Hvis du er så heldig, at nok mennesker besøger din hjemmeside, har du måske også gæster nok, der faktisk har lyst til at kommentere dine indlæg. I så fald ved du også, at kun en brøkdel af disse indlæg som oftest vil være regulære.

De fleste bidrag er mere eller mindre ubehjælpsomt formulerede forsøg på at få dig til at åbne for adgangen til dit site, så spam-maskinen (spam-bot’en) kan få frit løb til at overklistre dit site med en masse reklamer for piller, penisforlængelser eller pyramidespil.

Derfor har mange af os WordPress-brugere igennem tiden brugt en række forskellige metoder til at skille fårene fra bukkene – eller rettere brugerne fra spammerne.

ReCAPTCHA

Eksempel på en ReCAPTCHA indtastningsbox

En gængs metode har været at bruge forskellige indtastningsfelter, som Captcha og ReCaptcha, hvor en tilfældig tekstkode forvanskes og transformeres til en billedfil. Det er så op til den menneskelige bruger at afkode og indtaste den kringlede tekst. Det kan fra tid til anden være noget af en udfordring, og de fleste har nok på et eller andet tidspunkt bandet disse kasser langt væk.

Den slags blokeringer har en tendens til at fremkalde en oprustning på modstandersiden hos spammerne. De kan forsøge at lave mere avanceret optisk genkendelse af teksterne eller finde andre finurlige veje uden om forhindringen. Men den ultimative metode er, at sætte underbetalte mennesker i den anden ende til at aflæse disse tekster. Og vupti, så er beskyttelsen forsvundet.

En ny og bedre løsning?

Men kan det virkelig ikke gøres bedre?

Forleden faldt jeg over et plugin, der gør et hæderligt forsøg på at simplificere denne gatekeeper-funktion: Seriously Simple Spam Blocker. Ideen er simpel; før du får lov at poste en kommentar, skal du bevise, at du er et menneske, ved at trække et ikon ind i et tomt felt:

Når det er gjort, er der fri bane. Så kan man naturligvis stadig bevare de almindelige godkendelsesprocedurer, man alligevel ville bruge. Det bestemmer blog-ejeren naturligvis selv.

Først kunne jeg ikke få den til at virke på min iPhone, men en dokumentationsside om mobil jQuery forklarede, at man kan bruge en alternativ metode, når drag’n’drop ikke fungerer. Det er lige så simpelt:

1) Klik på ikonet.

2) Klik på firkanten.

Dermed flyttes ikonet ind i firkanten og fortryllelsen er hævet.

Prøv det selv nedenfor og læg en kommentar om, hvad du synes. (Jeg har fjernet andre forhindringer for at aflevere kommentarer. Dog har jeg aktiveret et andet spændende anti-spam-plugin, som du kan læse om her.)

Categories
WordPress

Dansk WordPress-hosting?

Hvor skal man så gå hen for at få hostet sine WordPress-hjemmeside på en dansk server?

Ja, der findes vel næsten ikke den udbyder, der ikke tilbyder en one-click installation af WordPress i dag. Og de fleste fungerer utvivlsomt fint. Men efter at have prøvet en række danske og udenlandske udbydere siden 1995, har jeg fundet en sikker havn hos meebox.net, der er en relativ ung udbyder, startet i 2010.

Trustpilot giver dem top-karakter, selv om der er nogle få kritiske røster.

Meebox ligger i en stor IBM/Linux-cloud med redundans etc, så det tekniske fundament synes at være i orden og helt moderne. Men vigtigst er, at de synes at tage deres kunders problemer alvorligt; ja, det ser faktisk ud som om, at kundetilfredshed er en integreret del af deres forretningsmodel. Og de tilsyneladende ved rigtigt meget om hosting. Den officielle danske WordPress community har valgt at lade sig hoste hos Meebox, hvilket borger for at der er stort fokus på WordPress-specifikke spørgsmål. Her er en artikel om deres valg.

Meebox’ basis-webhotel vil kunne tilfredsstille mange mindre blogs. Og synes man det går for langsomt, kan man opgradere til deres hurtigere professionelle platform, der erstatter den traditionelle Apache-server med den væsentligt hurtigere Litespeed-webserver software.

Skulle dit website få vokseværk (mangel på plads, domæner eller trafik) har begge modellerne tre trin at vælge imellem, som man ubesværet kan opdatere til.

Endelig har Meebox også en cloudløsning til dem, der er nået dertil i deres liv. Den har jeg endnu ingen erfaringer med.

Men skal du bruge et billigt, pålidelig, dansk-hostet webhotel med plads til at vokse, så tøver jeg ikke med at anbefale meebox.net til WordPress-hosting.

Her er Meebox’ tre forskellige modeller – med deres egne ord:

[wptabs style=”1″]

[wptabtitle]Billigt webhotel[/wptabtitle]
[wptabcontent]

Apache Webserver

Anerkendt og yderst pålidelig webserver. En ægte branche-standard!

Meget værdi for pengene

Du får rigtig meget indhold for pengene – mere end hvad vores kollegaer tilbyder!

Gratis og fantastisk support

Ticket-support og live-chat – alt, hvad du har brug for. Selvfølgelig suverænt det bedste!

Perfekt til privat eller startups

Hvis du ikke har brug for den helt store løsning…… endnu!

99,90% oppetidsgaranti

Overholder vi ikke oppetiden, forlænger vi dit webhotel u/b.

Webhotel 1

Plads: 10 GB
Trafik: 30 GB
Domæner: 10
E-mail konti: 50
MySQL-databaser: 50


Webhotel 2

Plads: 20 GB
Trafik: 80 GB
Domæner: 20
E-mail konti: 500
MySQL-databaser: 500


Webhotel 3

Plads: 50 GB
Trafik: 250 GB
Domæner: 50
E-mail konti: 1000
MySQL-databaser: 1000

Læs mere hos Meebox …
[/wptabcontent]

[wptabtitle]Professionelt webhotel[/wptabtitle]
[wptabcontent]

Litespeed Webserver

Mere end 6 gange hurtigere end Apache og 50% hurtigere afvikling af PHP.

0% overselling

Vi oversælger ikke ressourcerne, og har installeret færre webhoteller pr. server.

Opprioriteret support

Dine tickets har højeste prioritet, og vi sørger for, at du får lyn-hurtigt svar – hver gang!

Fremtidssikret!

Godt med plads, masser trafik og en høj kvalitet fremtidssikrer dit website!

99,95% oppetidsgaranti

100% oppetid er en selvfølge – 99,95% er garanteret. Fordi oppetid betyder alt!

Load Balancing

Effektiv load balancing og failover giver dig højere oppetid og stabilitet.

Content Delivery Network (CDN)

Med et CDN loader dit website hurtigt i hele verden, fordi det er “spredt ud” på flere servere.

Prohotel 1

10 GB Plads
100 GB Trafik
2 Domæner


Prohotel 2

20 GB Plads
200 GB Trafik
5 Domæner


Prohotel 3

35 GB Plads
500 GB Trafik
10 Domæner

Læs mere hos Meebox …
[/wptabcontent]

[wptabtitle last=”yes”]Meebox Cloud[/wptabtitle]
[wptabcontent]

Ægte Dansk Cloud

Dansk skalerbar Cloud Hosting med fleksibel afregning. Du betaler kun for det du bruger!

Dansk Cloud – Dansk lovgivning

Dansk betyder ingen bekyrminger. Hele Meebox’s Cloud er hosted i Danmark, og al data opbevares på dansk jord, under dansk lovgivning. Ligesom det skal være!

Uendelig kraft – Øjeblikkelig skalerbarhed

Har presseomtale givet dit website et uforventet stort antal besøgende? Eller stiger forbruget af din service pludseligt? Det er ikke noget problem med Meebox’s Cloud; Du øger bare din servers ressourcer øjeblikkeligt.

Management? Lad vores nørder håndtere det tekniske!

Du skal aldrig mere stresse på grund af, at en server pludselig ikke svarer, er blevet hacked eller har 108 opdateringer, du ikke aner, hvordan du installerer. Med “cloud management” håndterer vores nørder det for dig! Og så bliver dine support tickets selvfølgelig opprioriteret.

Fleksibel afregning

Du betaler kun for de ressourcer du bruger, og afregning sker på timebasis; Opret en server i 1 time og betal kun for den time den er i brug.

Læs mere hos Meebox …
[/wptabcontent]
[/wptabs]

Note:

Hvis du bruger Meebox-linket ovenfor og ender med at købe et produkt hos Meebox, får Biberkopf en lille credit hos Meebox (som såkaldt affiliate). Det koster dig ikke ekstra, men hvis du alligevel ønsker at undgå dette, kan du blot bruge dette link til produktsiderne i stedet. Derudover er jeg ikke gift med Meebox. Og jeg ville nu anbefale dem uanset. Det har de fortjent. I hvert fald indtil videre… 😉

Eksempler på problemer med web-udbydere

Svartider og båndbredde

En udbyder som Bluehost i USA har nogle utrolige hotel-pakker. Man kan få meget for få penge, og de har generelt en fin 24-timers chat-support. Men de fleste brugere har kun behov for en brøkdel af, hvad de tilbyder. Og når man så som transatlantisk kunde sporadisk oplever at FTP-upload og svartider generelt bliver meget langsom, så hjælper det ikke, at det er billigt. Bluehost har nok ind imellem ladet sig friste til at proppe for mange kunder/domæner på deres servere. Man kan simpelthen få ‘dårlige server-naboer’, der trækker for store ressourcer på den fælles server.

For lidt og for dyrt

Andre igen – fx one.com – tilbyder kun én MySQL-database i deres standardpakke. Det er fint, når man installerer første gang, men hvis man fx i forbindelse med en omlægning eller redesign af en hjemmeside, har brug for en ekstra database til den nye installation, så mangler man plads. Det er et forældet koncept, fra dengang hvor det gjorde en forskel for serveren, om kunden havde 1 eller 3 MySQL-databaser kørende.

Support og service

De fleste udbydere er strømlinede forretninger, der forståeligt nok har trimmet deres operation, så de sorterer de ‘besværlige’ kunder fra. De er 100% brugerbetjente, og der er ikke kalkuleret med andet end rudimentær hjælp undervejs. Det kan nok være en god forretning, men ikke altid en særlig god brugeroplevelse, hvis man kommer i knibe. Her har jeg indtil videre oplevet Meebox i skarp kontrast til alle de andre lidt for firkantede support-afdelinger. Jeg håber, at det bliver ved, og at det faktisk kan betale sig for Meebox i det lange løb.

Det plejer vi …

I gamle dage havde TDC fire forskellige uafhængige afdelinger, der solgte webhoteller. Om det stadig er sådan ved jeg ikke. Men jeg har erfaret, at de stadig slipper afsted med at sælge et standard-webhotel mange gange dyrere og ringere end hvad konkurrenter som Meebox kan levere det til. Mange erhvervskunder har en forestilling om at være i sikker havn hos TDC, men når man ikke engang kan købe og få installeret et SSL-certifikat på sit dyre webhotel, så begynder det at blive svært at se, hvad man egentlig betaler for.

 

Links

http://wp-danmark.dk/hosting/

http://www.trustpilot.dk/review/www.meebox.net

Categories
Reference

Jesper Søholms Curriculum Vitae

Læs mit CV her på LinkedIn…