---

Hej

Hvilken gratis blogsoftware er sikker at bruge?

Jeg kan se i mine logs, at wordpress bliver udsat for et hav af angreb, så
den lader til at være temmelig udsat. Men er den sikker i dag?

Hvilken anden blogsoftware kan I ellers anbefale, som kan køre under Apache
og evt php.

Den behøver ikke at være særlig avanceret, bare man kan ændrer farver og evt
også layout forholdsvis nemt. Sikkerheden er det allervigtigeste.

Claus

---

Claus Tersgov wrote in dk.edb.internet.webdesign.clientside:
> Hej
>
> Hvilken gratis blogsoftware er sikker at bruge?
>
> Jeg kan se i mine logs, at wordpress bliver udsat for et hav af angreb, så
> den lader til at være temmelig udsat. Men er den sikker i dag?
>
> Hvilken anden blogsoftware kan I ellers anbefale, som kan køre under Apache
> og evt php.
>
> Den behøver ikke at være særlig avanceret, bare man kan ændrer farver og evt
> også layout forholdsvis nemt. Sikkerheden er det allervigtigeste.
>
> Claus
>

Skal det ligge på din egen server?

Hvis ikke så lav din blog på blogger https://www.blogger.com/start

/Birgit


--
Vil du lære at kode HTML, XHTML, CSS, SSI, ASP eller ASP.NET?
- Pædagogiske tutorials på dansk
- Kom godt i gang med koderne
KLIK HER! => http://www.html.dk/tutorials

---

Birgit Holme skrev bl.a.:

> Skal det ligge på din egen server?

Ja.

Claus

---

Claus Tersgov wrote:

> Hvilken gratis blogsoftware er sikker at bruge?

Den du selv laver :)

> Jeg kan se i mine logs, at wordpress bliver udsat for et hav af angreb, så
> den lader til at være temmelig udsat.

Udsat i dag - udsat i morgen?
Andre systemer har været, eller er, lige udsat (Joomla,PhpBB etc.) - det
handler om udbredelse samt en kendt sikkerhedsbrist.

Fælles for alle disse systemer er, at svineørerne kan sidde og kodegranske,
og finde en vej ind i systemet.
Da alle (formentlig) kører samme version, vil alle have den samme sårbarhed.

Det er derfor nemt at lave en standard bot, der fiser rundt og 'banker på'
alle steder. Alle steder skal tages bogstaveligt, for vi har set en del
forsøg på remote execution af PHP på ASP drevne sites.

Det vidner om (for mig), at der ikke er indbygget noget selektivt
software(intelligens) i bot'erne - det bare at 'fyre løs på alt'.

> Men er den sikker i dag?

Uanset hvad man betragter som sikker idag, behøver ikke nødvendigvis være
sikkert i morgen.

Der kan være en der laver et lille ekstramodul i morgen, og er kommet til at
implementere et nyt 'hul'.

Med den mængde af bot'er der fiser rundt skal de nok finde ind - over tid.
Lidt ligesom fygesne, der kommer ind de mærkeligste (og uforudsete) steder.

> Hvilken anden blogsoftware kan I ellers anbefale, som kan køre under
> Apache og evt php.

Det kan jeg desværre ikke hjælpe med - det blot lidt generelle
betragtninger.

--
Med venlig hilsen
Stig Johansen

---

On 19 Okt., 07:01, Stig Johansen <wopr...@gmaill.com> wrote:
> Claus Tersgov wrote:

> > Hvilken anden blogsoftware kan I ellers anbefale, som kan køre under
> > Apache og evt php.
>
> Det kan jeg desværre ikke hjælpe med - det blot lidt generelle
> betragtninger.

Hmmm.. da man jo ikke kan være sikker - som Stig siger - på, at alt
vil være sikkert altid med nye plugins, så er det måske smart at tage
det, inden de (botterne) når til selve koden på siden.

Jeg ved ikke, hvordan de Blogscripts er bygget op, så det følgende er
til inspiration, men da det hovedsageligt er forsøg på SQL-injection
eller remote scripting, og da dette ofte foregår via querystring - kan
man måske lave en whitelist på QS, som skal overholdes, før scriptet
vil læse videre.

Jeg har selv (inspireret af Stig) en _meget_ hård whitelisting på QS,
som udføres som noget af det første på mine sider. Jeg tillader ikke,
man bruger andet end bogstaver og tal. Så ';droptable eller hvad de
kan finde på, vil altså blive afvist.
Jeg har faktisk ikke fundet en metode til at injecte via QS, når der
alene må bruges tal og bogstaver.

Selve sårbarheden i et script opstår bl.a., når man sender "rene" data
imellem siderne, i stedet for "data om data", som f.eks. at man
direkte sætter en variabel til at være en URL i stedet for at lade en
værdi i en variabel henvise til denne URL. Det stiller høje krav til,
at man i selve scriptet laver en inputvalidering af en art på
variable, før scriptet udføres, og det er det, som open source
folkene, så vidt jeg forstår, åbenbart ind i mellem glemmer.

Der findes nogle standardmetoder, som bruges til at sikre sine script
imod injections, bl.a også når man har database, de er omtalt på
Wikipdia bl.a.

http://en.wikipedia.org/wiki/SQL_injection#Preventing_SQL_Injection

....men ellers, så ved jeg, at Stig mfl. har omtalt dem i serverside-
grupperne også.

For sjov kunne man godt afprøve forskellige Blogsoftware med en
whitelisting, se om de stadig virker (altså, om de tillader eller ikke
tillader direkte data i variable og om man eller kan lave ballade med
dem). ...det må være til de mørke vinteraftener;)

Mht. spamangreb, som er noget lidt andet, så findes der så vidt jeg
husker en del plugins til gratis Blogscripts/CMSer. Bad behavior er en
af dem jeg har hørt omtalt.

http://www.bad-behavior.ioerror.us/

Nåhja, skal måske lige skrive, jeg er sikkerhedsnørd, ikke
sikkerhedsekspert...


MVH
Rune Jensen