Skräddarsydda sajter - på riktigt!

november 2014

Om DN-larmet och säkerhetshål i WordPress

I lördags larmade TV4-nyheterna om säkerhetsbrister på tiotusentals svenska sajter och refererade till en artikel i Dagens Nyheter.

Något slarvigt lyssnat kan man ha uppfattat larmet som att WordPress är en osäker plattform. Så vad gällde larmet egentligen?

DN’s konklusion av sin egen granskning är att 10.228 svenska sajter är så pass blottade att de kan hackas och att innehållet kan redigeras. Anledningen: Alla sajterna använder WordPress.

Detta är min egen avsiktligt klumpiga tolkning av DN’s konklusion. Problemet är att det i många öron kan ha låtit exakt så när TV4 refererade till artikeln och när nyheterna lite slött konsumerades till kaffe, gröt och en tajt Wordfeud-match. Att WordPress är en dålig och osäker plattform.

Kort sammanfattat har DN byggt ett program som skannat och indexerat .se-domäner. Sen har man granskat sajterna för att kartlägga vilka som använder WordPress och vilken version man använder. DN har bedömt att version 3.3.1 och tidigare versioner av WordPress är så pass sårbara att kontrollpanelen kan kommas åt och innehållet redigeras.

Det finns 10 228 sajter i Sverige som använder sig av ”Wordpress 3.3.1”

De tiotusentals sajter som är blottade av dessa säkerhetshål är alltså WordPress-installationer som inte uppdaterats på över 2,5 år. (version 3.3.2 kom 20 april 2012)

DN har belyst ett problem. Och alla som belyser ett problem på goda grunder förtjänar en eloge. Däremot tycker jag att DN’s presentation som granskning att betrakta är för slarvigt genomförd.

DN har sökt igenom alla ”hemsidor i Sverige”. Vad man egentligen gjort är att man sökt igenom alla sajter med .se-domän. Här har man då missat samtliga svenska sidor som ligger på .com .org .nu och andra toppdomäner.

Villkoret för ”särskilt sårbar” har bedömts vara ”WordPress 3.3.1 och tidigare versioner”. Ändå anger man att de 10 228 sajterna använder WordPress 3.3.1. INTE WordPress 3.3.1 och tidigare. Det skulle betyda att man även missar samtliga sajter som har en version av WordPress som är äldre än 3.3.1.

DN har uppmärksammat ett problem. Så långt inga konstigheter. Men granskningen är så pass slarvigt presenterad att man kan ta för givet att problemet är så mycket mer utbrett. I tidningarnas natur ligger det att publicera så sensationella avslöjanden som möjligt. Här har man istället valt att hålla igen. Varför?

Jag har sökt skribenten via mail för att reda ut vad de egentligen undersökt och granskat, men har ännu inte fått svar.

Oavsett siffrornas tillförlitlighet i artikeln är poängen sammanfattningsvis att din WordPress-installation ska uppdateras kontinuerligt. Som DN ändå påpekar:

WordPress  är smidigt och säkert om det hanteras på rätt sätt.

Din WordPress-installation ska uppdateras kontinuerligt. Innan du uppdaterar din installation ska du ta backup på filer och databas. Detta för att kunna återställa din sajt ifall något skulle hända i uppdateringen.

Är du supportkund hos oss kan du sitta lugnt i båten. Vi tar backuper på din sajt och genomför kontinuerligt säkra uppdateringar av WordPress-installationen och tilläggsprogram (plugins).

Kör du WordPress på din sajt och vill ha hjälp med backuper och uppdateringar? Kontakta oss redan idag!

 

Läs DN’s artikel: Tusentals bloggar och hemsidor har säkerhetshål