Kategoriarkiv: Säkerhet

Nu kan du logga in med tvåfaktorsautentisering hos Loopia genom BankID

bankid-loginFör att höja säkerheten och göra det enklare för er kunder och återförsäljare presenterar vi nu stolt möjligheten att logga in med BankID i Loopia Kundzon och Loopia ÅF-zon.

En vanlig förfrågan från er har varit att kunna logga in med tvåfaktorsautentisering. För att undvika omständliga lösningar som t ex engångskoder via SMS har vi valt att implementera inloggning via BankID och Mobilt BankID.

På så sätt kan du snabbt och enkelt logga in med samma säkra lösning som du redan använder på din bank, Försäkringskassan, Skatteverket etc.

Fördelarna med BankID jämfört med inloggning med användarnamn och lösenord:

  • Säkrare
    Tvåfaktorsautentisering höjer säkerheten rejält på din inloggning eftersom den som loggar in både måste ha personnummer, lösenord samt ett giltigt certifikat för ditt BankID eller Mobilt BankID.
  • Enklare
    Du behöver inte komma ihåg speciella användarnamn och lösenord för ditt/dina Loopia-konton utan använder ditt personnummer och samma lösenord som du använder till alla andra tjänster där du använder BankID.

Vill du öka säkerheten ytterligare ett snäpp så loggar du in i Loopia Kundzon och avaktiverar möjligheten att logga in med användarnamn och lösenord helt (Kontoinställningar -> Användaruppgifter).

Anslut fler personnummer till ditt konto för fler användare

Är ni fler som behöver behörighet till ert Loopia-konto? I Loopia Kundzon kan du lägga till fler personnummer som ska ha rätt att logga in i kontot (Kontoinställningar -> Användaruppgifter -> Lägg till BankID-användare). På så sätt slipper du dela användarnamn och lösenord med flera personer. Lika enkelt kan du ta bort ett personnummer om någon inte längre ska ha tillgång till kontot.

Äger du eller admininstrerar fler Loopia-konton?

Har du flera konton hos Loopia får du efter BankID-inloggningen automatiskt upp en lista med de konton du har behörighet till och kan där välja vilket du vill jobba med.

Har du frågor kring BankID är du självklart välkommen att kontakta oss så hjälper vi dig.

Dela: facebooktwittergoogle_pluslinkedinmail

Tips: Säkrare e-postmeddelanden från din Joomla

I takt med att antalet spam-meddelanden ökar på internet så stramar alla e-postleverantörer åt sina spamfilter mer och mer. Detta medför att risken att ens meddelande skickat direkt och icke autentiserat från en webbsida löper stor risk att sorteras direkt till mottagarens spamkorg.joomla_symbol_email

En enkelt sätt att öka “äktheten” sina Joomla-utskick är att ändra så att Joomla-installationen istället för att skicka meddelanden via webbservern direkt skickar dessa via våra SMTP-servrar (E-postservrar för utgående e-post).

Detta är en inbyggd funktion i Joomla som hittas när man är inloggad i administrationspanelen.

joomlasmtp1

Här anger du sedan en hos Loopia giltig e-postadress. Ett tips är att du skapar en unik e-postadress för din sida med eget lösenord. Denna anger du sedan här tillsammans med våra serverinställningar.

joomlasmtp2Spara sedan detta och dina utskick från sidan kommer nu att skickas som ”autentiserade” och därav minskar risken att mottagande server klassar sidans utskick som skräppost.

Happy Joomling nu….

Dela: facebooktwittergoogle_pluslinkedinmail

Tips: Säkrare e-postmeddelanden från din WordPress

I takt med att antalet spam-meddelanden ökar på internet så stramar alla e-postleverantörer åt sina spamfilter mer och mer. Detta medför att risken att ens meddelande skickat direkt och icke autentiserat från en webbsida löper stor risk att sorteras direkt till mottagarens spamkorg.wordpress-logo

En enkelt sätt att öka “äktheten” sina WordPress-utskick är att ändra så att WordPress-installationen istället för att skicka meddelanden via webbservern direkt skickar dessa via våra SMTP-servrar (E-postservrar för utgående e-post).

I det här exemplet så möjliggör vi detta genom WordPress-tillägget WP Mail SMTP. Detta tillägg justerar i koden för wp_mail()-funktionen så att den använder SMTP istället för mail() som är webbserverns variant att skicka e-post. Ni hittar tillägget i er WordPress genom att söka på WP SMTP under menyvalet “Tillägg–>Lägg till nytt”

SMTP1

Med detta tilägg så får man också en konfigurationssida. Här anger man en giltig e-postadress med tillhörande lösenord. Denna adress kommer då att vara avsändaradressen som verifieras mot vår SMTP-server. En lite trist detalj i detta är dock att lösenordet står i klartext så förslagvis så säkrar man sig lite genom att skapa en unik e-postadress för just detta ändamål tex wordpress@dindomän.se (där dindomän.se byts ut mot ditt domännamn).

SMTP host är våra SMTP-servrar som nås på adressen mailcluster.loopia.se och port 587.

Ni kan här också använda TLS som kryptering.

Spara ändringarna och testa sedan att skicka ett testmail från samma konfigurationsfönster.

SMTP2

Fungerar allt så kommer du nu att kunna skicka lite säkrare meddelanden via din WordPress.

Denna guide skapades via WordPress 4.1 och version 0.9.5 av WP Mail SMTP.

 

Dela: facebooktwittergoogle_pluslinkedinmail

Shellshock, är din VPS uppdaterad?

Igår upptäcktes en väldigt allvarlig bugg i programmet ”Bash” som är vanligt på många servrar och Unix-baserade datorer.

”Bash” är ett så kallat ”shell” och används för att skicka kommandon till datorn via en text-terminal, på samma sätt som ”cmd” används i Windows. Just Bash är utan tvivel det allra vanligaste shell-programmet och används som standard i de flesta Linux- och Mac-versioner, vilket är en av anledningarna till att denna bugg är så allvarlig.

Buggen fick namnet Shellshock.

För mindre än ett halvår sedan upptäcktes buggen Heartbleed i mjukvaran OpenSSL som många ansåg vara den allvarligaste buggen någonsin. Nu säger experter att Shellshock är lika allvarlig.

När Shellshock upptäcktes igår spreds informationen snabbt globalt och våra tekniker undersökte omedelbart våra servrar för att se om de var sårbara på grund av denna bugg, men vi kom fram till att vi varken är eller har varit i farozonen, så du som är webbhotellskund till oss kan andas ut.

Om du har en LoopiaVPS hos oss eller en server på annan plats bör du uppdatera Bash snarast.

För att testa om din version av Bash är sårbar kan du köra följande kommando:

rm -f echo; env -i  X='() { (a)=>\' bash -c 'echo date'; cat echo

Om det kommandot visar datum och tidpunkt behöver du uppdatera Bash.

I Ubuntu och andra Debian-baserade Linux-distributioner uppdaterar du Bash med nedanstående kommandorad:

sudo apt-get update && sudo apt-get install --only-upgrade bash

I CentOS och andra RHEL-baserade system uppdaterar du med nedanstående kommando:

yum -y update bash

Om du uppdaterade igår rekommenderas du att uppdatera igen, då nya patchar släpptes under morgonen för de flesta system.

För dig som vill ha mer information om Shellshock rekommenderar vi nedanstående länk:
Everything you need to know about the Shellshock Bash bug

//Stefan P, VPS-ansvarig

Dela: facebooktwittergoogle_pluslinkedinmail

För han har öppnat brandvägsporten…

lock_crossLikt pärleporten är en viktig passage för den troende kristne så är våra brandväggsportar en önskvärd passage för våra kunder. Vi på supporten får ofta frågor om vilka portar som är öppna i vår brandvägg och nu i samband med att våra drifttekniker uppdaterar dessa portar så tänkte vi att det kan vara dags att påminna om dessa.

I vårt ständiga förbättrings och säkerhetsarbete så har vi vid en rutingenomgång beslutat att justera de portar som ska vara öppna. Under årens gång har behovet av att ha olika portar varierat och det har då funnits behov att öppna specifika portar förutom de standardportar som man som webbhotell bör ha öppna. Teknikerna har nu gått igenom listan och beslutat att följande portar kommer att vara öppna i våra brandvägg: Läs mer

Dela: facebooktwittergoogle_pluslinkedinmail

Hur säker är din WordPress?

wordpress-attackVarje timme så upptäcker vi nya intrångsförsök på sidor hos oss på Loopia. Dessa ”attacker” är så kallade Brute Force och riktas framförallt mot WordPress och Joomla-sidor.

Sedan helgen har vår Secondline Support brandväggsblockerat mer än 700 intrångsförsök och dessvärre även varit tvungna att tillfälligt stänga ner sidor där man lyckats komma över lösenordet.

Den absolut största gemensamma nämnaren på alla dessa sidor vi har blivit tvungna att stänga är att man har använt sig av något av följande användarnamn:

  • root
  • admin
  • test
  • administrator

Det går inte att understryka nog hur viktigt det är att INTE använda dessa användarnamn på sin WordPress/Joomla-sida. Gör man det så har man gett personerna som gör intrången halva sin inloggning och att sedan försöka lista ut ditt lösenord tar dessvärre ibland inte allt för lång tid.

Vi har tidigare bloggat om hur man i sin WordPress snabbt och enkelt mångdubbelt kan säkra upp sin sida och vi ber er återigen att läsa denna guide: Säkra din WordPress-sajt mot hackare

Att säkra upp sin sida mot dessa illvilliga personer minskar risken att din sida måste stängas ned temporärt från webben och det eventuella inkomstbortfall det kan medföra.

Det medför också att våra grymma tjejer och killar på supporten får mer tid över att hjälpa dig som kund med betydligt roligare saker än att söka i dina sidor efter skadlig kod.

Behöver du hjälp med att installera detta tillägg så kan vi på supporten givetvis hjälpa dig med detta.

Dela: facebooktwittergoogle_pluslinkedinmail

Vad är anycast, och varför använder vi det?

För varje år som går blir din Internetnärvaro allt viktigare, dina kunder söker i större utsträckning efter information på nätet och kommunikationen via e-post ökar. I vissa fall är t o m hela affärsverksamheten upphängd kring Internet. Därför kan det vara förödande om din hemsida eller e-post inte är tillgänglig, även om det handlar om minuter.

Vi på Loopia arbetar hela tiden hårt med att minska risken för avbrott på våra tjänster, och en av de “funktioner” vi använder oss av är Anycast för våra DNS-servrar (domännamnsservrar). DNS-servern innehåller information om var t ex din hemsida eller e-postserver ligger. När du skriver in en webbadress (ett domännamn) i din webbbläsare skickas alltså en förfrågan till DNS-servern som sedan vidarebefordrar dig till hemsidan. Om DNS-servern inte svarar blir din hemsida alltså inte tillgänglig för besökaren.

Anycast innebär att vi har flera egna DNS-servrar lokaliserade på olika ställen i världen som alla alltid innehåller samma information. Anycast har två uppenbara fördelar, dels så tar övriga servrar över trafiken om någon av dem skulle få ett avbrott, men det är också så att trafiken går till den DNS-server som är närmast dig, vilket innebär snabbare kommunikation.

Likt en riddare i skinande rustning gör vi allt vi kan för att skydda din borg på Internet.

Dela: facebooktwittergoogle_pluslinkedinmail

Låt inte din sajt bli en ”hackad sida vi minns”

TechWorld tar oss med längst ”memory lane” genom att lista ett gäng ”hackade hemsidor vi minns”. Där finns bland annat den dagen med då Telia blev Felia och när den amerikanska underrättelsetjänsten CIA blev omdöpta till Central Stupidity Agency.

Det är inte första gången (och knappast sista heller) som vi tar upp hur viktigt det är att ha säkra lösenord samt att hålla dina tredjepartstprodukter och dess tillägg uppdaterade.

Stora välanvända system som t ex WordPress och Joomla är fantastiska verktyg som verkligen har gjort arbetet med webbsidor och bloggar smidigt, men eftersom de är så populära är de också ett tacksamt mål för hackare.

I de flesta fall så gör inte internetskurkarna som i exemplen i TechWorlds artikel, utan istället utnyttjar de din sajt i det dolda för att sprida virus, phising (lösenordsfiske) eller för att skicka skräppost.

Så se till att installera alla de uppdateringar som kommer till de verktyg/plugins du använder. När det gäller WordPress så är det så enkelt att du får ett meddelande och en länk i en gul list när du loggar in i admingränssnittet. Klicka på länken och uppdateringen installeras. Lika enkelt uppdaterar du dina tillägg under menyvalet ”Tillägg”.

Här hittar du information om hur du uppdaterar andra vanliga produkter:

Vilka sajter som blivit hackade minns du?

Dela: facebooktwittergoogle_pluslinkedinmail

Varning för ”webmail-centralen”!

Ditt e-postkonto är värdefullt för Internetskurkar, därför försöker de komma åt din kontoinformation på alla möjliga sätt. Dessa uppgifter använder de sedan för att missbruka ditt konto genom att t ex skicka spam. Ett sätt är att försöka lura dig att lämna ut dina uppgifter genom att helt enkelt be dig om dem i ett e-postmeddelande. De försöker såklart maskera mailet så att du inte ska misstänka något.

Vi vill därför påminna om att det inte finns något seriöst webbhotell, eller för den delen företag i någon annan bransch heller, som någonsin skulle be dig lämna ut dina inloggningsuppgifter via e-post.

Nedan följer ett exempel på hur ett typiskt bluffmail kan se ut. Ofta försöker de lokalanpassa meddelandet för att du som läsare har större förtroende för det om det är skrivet på ditt eget språk (som tur är fungerar de automatiska översättningsverktyg de använder inte tillräckligt bra än, och det dåliga språket bidrar snarare till att avslöja bluffen). Det kan även vara så att det ligger en länk med i mailet som tar dig till en sajt där du ska lämna dina uppgifter.

Som polischefen i den gamla tv-serien Hill Street Blues skulle ha sagt ”Let´s be careful out there!

Kära e-postkonto Ägare,

Detta meddelande från webmail-centralen för alla webbmailkonto
ägare. Vi håller för närvarande uppgradera vår databas och e-postkonton
centrum. Vi avslutande alla oanvända e-postkonton för att skapa utrymme för
nya konton.

För att förhindra att ditt konto från att ha sagts upp, måste du uppdatera
den genom att tillhandahålla den information som efterfrågas nedan:

Bekräfta din e-identiteten nu
E-post Användarnamn: ……………
E-post Lösenord: ……………

Varning! Ett konto ägare som vägrar att uppdatera sitt konto
inom sju dagar efter mottagandet av denna varning kommer att förlora
hans eller hennes konto permanent.

Varning Kod: VX2G99AAJ

Tack,
Webmail Administrator.

Vad är det knasigaste bluffmailet du har råkat ut för?

Dela: facebooktwittergoogle_pluslinkedinmail

Viktig uppdatering till MediaWiki

MediaWiki har i dagarna släppt en viktig uppdatering. Uppdateringen täpper till ett antal säkerhetshål och fixar också ett gäng buggar.

För att undvika att att din MediaWiki-sajt råkar ut för illasinnade attacker som utnyttjar dessa kända säkerhetshål är det, som alltid, viktigt att du installerar uppdateringen så fort som möjligt.

Har du ingen wiki? Du vet väl att det är busenkelt att installera MediaWiki med vår One click installer? Läs vår kom-igång-guide. Självklart är det den senaste versionen av MediaWiki som installeras.

Dela: facebooktwittergoogle_pluslinkedinmail