Office 365 – Nå tilgjengelig
Skrevet av: Simon A. Skaar

For å kunne konkurrere i et presset marked kreves det gode verktøy, enten man er en liten oppstartsbedrift eller en større organisasjon. Det er mange hindringer på veien og dårlig organisering av IT-miljø er noe som slakker ned de fleste. Det kan Office 365 fra PRO ISP hjelpe deg å unngå.

Hva er Office 365?

Office 365 er en integrert opplevelse med programmer og tjenester som er utformet for å hjelpe deg med å følge interessene dine og utvikle bedriften din. Skaff deg apper som Word, Excel, PowerPoint og mer, og få dem oppdatert kontinuerlig med de nyeste funksjonene og sikkerhetsoppdateringene.
Med en skydrevet e-postløsning holder du deg alltid i kontakt med kunder og kollegaer, uansett hvor du måtte være.

Hjemmekontor eller Maldivene – Vær tilgjengelig når du må


Med Microsoft Teams, som er huben for samarbeid i Office 365, kan du chatte med kollegaer, holde møter og dele filer. Du får også en terrabyte med lagringsplass hvor du benytter OneDrive for å holde dokumenter og viktige filer synkronisert på alle dine enheter.

Driv bedriften med forretningsprogrammene som lar deg styre kundebehandling, fakturering, henvisninger og mer, fra ett sted.

Alle våre Office-tjenester leveres med 99,9 % oppetidsgaranti og har full servicegaranti fra Microsoft.

Led bedriften fremover med Microsoft 365

Fullstendig installerte og alltid oppdaterte versjoner av Outlook, Word, Excel og PowerPoint for Windows eller Mac hjelper deg å booste bedriften din fremover. Vi har skrevet litt om de viktigste funksjonene som kan hjelpe deg.

Kontinuerlige oppdateringer

Få de nyeste mulighetene og funksjonene, med de fullt installerte og alltid oppdaterte versjoner av Outlook, Word, Excel, PowerPoint for Windows eller Mac, OneNote (funksjoner varierer), Access og Publisher (bare PC).

Kontakt og samarbeid

Øyeblikkelig tilgang til alt teamene dine trenger, inkludert chat, innhold, verktøy og personer med Microsoft Teams.

1 TB sikker skylagring

Uansett hvor du er og på hvilken enhet du jobber, kan du redigere og dele dokumentene dine, bildene dine og mye mer, med 1 TB skylagring i OneDrive.

Intranett og gruppeområder

Informer og engasjer organisasjonen og koble personer til innhold, kompetanse og prosesser med teamområder via SharePoint. Fortell historien din med flotte nettsider.

E-post og kalendere

Få en profesjonell e-post gjennom Outlook med en 50 GB postkasse per bruker, og send vedlegg på opptil 150 MB.

Arbeid på tvers av flere enheter

Få de fullt installerte Office-programmene på opptil 5 PC-er, Mac-er, 5 nettbrett og 5 telefoner (inkludert Windows, iOS og Android).

Profesjonell digital historiefortelling

Med Sway kan du enkelt lage engasjerende, interaktive nettbaserte rapporter, presentasjoner, nyhetsbrev, opplæringer og mer.

Direktemeldinger og nettmøter

Kommuniser ved hjelp av tekst, tale eller videosamtaler med Microsoft Teams. Vær vertskap for møter på nettet ved bruk av ett-trinns skjermdeling og HD-videokonferanser.

Intelligent søk og oppdagelse

Oppdag innhold og ekspertise på tvers av organisasjonen din med intelligent søk på tvers av alle datakilder, inkludert SharePoint, Delve og Office-apper.

Business Essentials vs Business Premium – Hva skal jeg velge?

Det er helt klart både pris og funksjonsforskjell på de to ulike pakkene man kan velge hos oss. Hovedforskjellen er at man ikke kan installere de faktiske appene fysisk på din maskin med Essentials. Her får kun man tilgang til applikasjonene via nettleser og for mange kan dette holde.

Du får uansett premium e-postløsning basert på Outlook og Microsoft Exchange med i begge løsningene. Her ligger det 50GB tilgjengelig per konto og i tillegg er også OneDrive med 1TB per konto og en 1TB felleskonto for bedriften inkludert. Microsoft Teams fungerer også med begge typer lisenser og du får som alltid vår 5-stjerners support med på kjøpet.

Er du den som liker å ha installert programvaren på maskinen din anbefaler vi Business Premium da du også får mulighet til å installere apper på opptil 15 enheter fordelt på datamaskin (Windows, Mac), mobil og nettbrett.

Se gjerne full oversikt og bestillingssider her.

Vi kommer etterhvert med mer detaljert informasjon for hva hver eneste applikasjon tilbyr av spennende funksjoner som kan hjelpe bedriften din. Om du skulle lure på noe så er det bare å ta kontakt med oss på chat eller normal support. Vi gleder oss til å oppgradere din bedrift!

Sikker backup med beskyttelse mot løsepengevirus
Skrevet av: Jon Eivind Malde

Tilbake i mars tok vi i bruk vår nye backupløsning levert av Acronis hvor alle data forblir i våre datasentre. Alle våre tjenester er sikret med denne backupløsningen med unntak av våre kunders virtuelle servere hvor dette er et tilleggsprodukt som koster ekstra.

Tom og PRO ISP er fornøyde brukere av Acronis backup

Ny tjeneste for backup lansert

Vi har altså brukt Acronis i 9 måneder og vi er så langt svært fornøyd med løsningen. Dette gjelder både i forhold til stabilitet, sikkerhet og brukervennlighet. Av denne grunn lanserer vi nå den samme løsningen til våre kunder slik at dere kan sikre deres enheter på en trygg og brukervennlig måte som på samme tid sikrer mot løsepengevirus og kryptomining.

Tør du la være å sikre dine data?

Tom er rammet av hackerangrep. Tørr du la være å sikre dine data med backup?

Det blir stadig mer og mer vanlig å høre om større firma som blir rammet av hackerangrep og løsepengevirus. Sist ut er et spansk sikkerhetsselskap ved navn Prosegur. Uten en god backupløsning kan du være ille ute i en slik situasjon. For mange er kanskje det viktigste at det i det hele tatt er mulig å gjenopprette data. Rask gjenoppretting slik at du er tilbake i normal drift så raskt som mulig betyr mye for å minimere tapet forbundet med angrepet.

Beskyttelse mot løsepengevirus

I tilfellet til Prosegur ville sannsynligvis Acronis backup stoppet angrepet, men det er ikke mulig å fastslå sikkert. En test av Acronis og andre tilsvarende løsninger med slik beskyttelse viser tydelig at Acronis ligger på topp i forsvar mot løsepengevirus.

Acronis backup med beskyttelse mot løsepengevirus

Interessante relaterte fakta

  • 93% av alle firma som opplever en katastrofe relatert til data uten en plan for å komme tilbake til normal drift forsvinner innen ett år
  • 96% av alle firma med backup og plan for å komme tilbake til normal drift overlever et angrep med løsepengevirus
  • Mer enn 50% av alle firma opplever nedetid som varer mer enn 1 arbeidsdag i løpet av 5 år
  • I snitt koster det 100 000 dollar for ett firma per angrep med løsepengevirus å komme tilbake i normal drift, samt kostnad for tapt arbeidstid (kilde: CNN)

Velg selv hvor backup lagres

Med vår backupløsning kan du lagre backup både lokalt og/eller i vårt datasenter. Vi anbefaler at du lagrer både lokalt og i vårt datasenter, men dette bestemmer du selv ut i fra dine behov. Skal du lagre backup lokalt må dette lagres på din egen hardware og det krever at du har utstyret koblet til din enhet eller nettverk.

Backup med mange bruksområder

Foruten at løsningen er brukervennlig, beskytter og har en god ytelse er det også mange andre fordeler. Du kan for eksempel gjenopprette til en enhet med helt forskjellig hardware (gjelder ikke Mac) uten problemer. Noe som er nyttig om du må ta i bruk en helt ny maskin. Det er også mulig å gjenopprette virtuell server til bare metal server eller til skyløsninger som Azure mm. og omvendt. Dette kan være nyttig om du ønsker å bytte leverandør eller opp-/nedgradere hardware.

Prøv gratis i 30 dager

Alle kan bestille 30 dagers gratis prøve av løsningen hvor du kan teste løsningen til det fulle og se at den fungerer som ønsket. Ønsker du ikke å benytte løsningen kan den enkelt kanselleres og den vil da slettes ved utløp uten at det koster deg noe. Du kan med andre ord trygt teste løsningen før du velger å gå for den, samt du vil få e-post om hva du kan forvente å bli fakturert før prøvetiden utløper.

Vi håper løsningen faller like godt i smak for dere som for oss 🙂 Gi oss gjerne tilbakemeldinger når dere har fått testet backupløsningen.

Har du fått e-post om skadelig kode på ditt webhotell?
Skrevet av: Jon Eivind Malde

Illustrasjon av hacket nettside

Vi har begynt å ta i bruk et nytt system for å raskere og bedre håndtere, samt varsle våre kunder om skadelig kode på deres webhotell. Systemet tas gradvis i bruk på flere av våre servere og vil innen kort tid dekke alle servere med webhotell. Når alle servere er dekket vil alle kunder bli varslet via e-post innen få minutter av at skadelig kode blir funnet.

Hvorfor gjør vi dette?

Dersom det er skadelig kode hos en av våre kunder kan det utgjøre en risiko for andre brukere på serverne, samt andre brukere på nettet. Hackere kan via slik kode for eksempel:

  • Hente ut alle data du har lagret i webhotellet/nettsiden, eller legge inn hull for å kontinuerlig ha tilgang til dine data.
  • Sende spam og phising e-poster (som vil medføre svartelisting av serverens IP adresser og medfører at alle kunder på serveren får problemer med å sende e-post).
  • Angripe andre maskiner på nettet for å forsøke å spre virus og skadevare eller delta i DDoS angrep.
  • Kjøre kode som overbelaster serveren slik at det går ut over andre kunder på serveren.

Dersom vårt system finner filer med skadelig kode vil vi utføre følgende steg hvor neste steg kun utføres dersom forrige steg ikke var vellykket:

  1. Sjekke backup for uinfisert fil og automatisk gjenopprette filen fra backup.
  2. Rense filen for skadelig kode.
  3. Legge filen i karantene.
  4. Slette filen.

Vi prøver med andre ord å hjelpe deg som kunde med å fjerne koden på den måten som er minst skadelig for deg, men går mer drastisk til verks dersom dette ikke går. Noe vi må ettersom skaden kan være stor dersom vi ikke gjør det på denne måten.

Eksempel på scan fra forskjellige lokasjoner

Hva er dette systemet?

Systemet vi benytter kalles Imunify360 og leveres av CloudLinux (som leverer OSet til våre webhotell servere). Vi har benyttet Imunify360 siden CloudLinux lanserte systemet i starten av 2017 og har siden den gang samarbeidet om hvordan det skal fungere. Det er likevel først nå vi mener systemet er modent nok til å bli tatt i bruk på denne måten og at vi har integrert det opp mot våre egne systemer.

Imunify360 logo

Imunify360 gjør mye mer enn å bare finne skadelig kode i filer. Blant annet:

  • Stopper angrep via web applikasjonsbrannmur mot nettsiden din.
  • Stopper bruteforce angrep (forsøk på å finne ut passord) via tjenester som SSH, IMAP mm.
  • Patcher programvare på serveren som har kjente sårbarheter som for eksempel kernel (uten behov for omstart).
  • Stopper skadelige prosesser som samtidig også finner rotårsak via logger.
  • Finner domener som er svartelistet.

Imunify360 er med andre ord en viktig del av sikkerheten på våre servere, og vil bare bli viktigere ettersom systemet utvikles videre.

Hvor kan jeg se hva som blir funnet?

Du har full tilgang til filene og logg via kontrollpanelet (cPanel) som vist i guiden Malware skanner i Imunify360. Her kan du også gjenopprette filer fra karantene, samt hviteliste filer som blir ansett som skadelige uten at de burde (falsk positiv).

I e-postene som sendes når vi tar i bruk systemet kan det hende at noen filer er håndtert for svært lenge siden. Vi kunne latt være å rapportere disse, men gjør det likevel for ordens skyld i tilfelle det skulle være viktig informasjon. I gamle tilfeller er det ikke sikkert du finner filen nevnt i loggene da Imunify360 ikke logget disse på samme måte i starten som de nå gjøres.

Tom med beskyttelsesskjold

Hva bør jeg gjøre dersom noe blir funnet på mitt webhotell?

Du bør sjekke om nettstedet ditt fungerer som det skal. Er filene gjenopprettet eller renset så skal det ikke være nødvendig å gjøre noe med filene. Er de satt i karantene eller slettet bør du finne ut om disse tilhører løsningen du benytter og sjekke om de inneholder kode som ikke burde være der. Er du i tvil kan du spørre leverandør av løsningen eller oss.

Foruten å gjennomgå filene bør du følge tipsene i guiden Hvordan sikre ditt nettsted mot angrep fra hackere.

Spørsmål eller kommentarer? I så fall hører vi gjerne fra deg 🙂

Gratis SSL sertifikat med AutoSSL
Skrevet av: Jon Eivind Malde

I 2016 inngikk vi samarbeid med Symantec (som nå er Digicert) om å levere gratis SSL sertifikat til våre kunder. AutoSSL, som er cPanels løsning for gratis SSL sertifikat, var også akkurat lansert på det tidspunktet. Vi valgte imidlertid å samarbeide med Symantec fordi vi mente at deres løsning ville være best for våre kunder.

Tom presenterer Auto SSL

Bakgrunn

De to løsningene var forskjellige ved at Symantecs løsning skulle legge til rette for at du skulle begynne med et gratis SSL og deretter kunne bygge videre på dette ved å legge til mer ettersom du fikk behov for mer. Kort fortalt at sertifikatet vokser med deg og tilpasses deg. AutoSSL manglet dette, men dekket til gjengjeld alle domener på webhotellet. AutoSSL hadde imidlertid en del utfordringer som trakk ned og var ikke godt integrert i cPanel på den tiden.

Hvorfor gratis SSL sertifikat via AutoSSL

Dessverre har ikke Symantec levd opp til visjonen som vi falt for. Lite har skjedd siden vi inngikk samarbeidet, samtidig som AutoSSL har blitt stadig bedre integrert i cPanel. Vi måtte derfor bare erkjenne – jo før jo bedre – at vi valgte feil for våre kunder. Vi har nå avsluttet samarbeidet med Symantec om gratis SSL sertifikat og vi har allerede tatt i bruk AutoSSL for samtlige webhotell. De siste restene av gratis SSL via Symantec fjernes fra våre nettsider i løpet av kort tid.

Fordelene for deg med AutoSSL

For deg som kunde vil fordelene med den nye løsningen være at:

  • Alle (sub)domener på webhotell er dekket i motsetning til kun ett domene
  • Sertifikatene utstedes/fornyes automatisk i stedet for at du må manuelt utstede/fornye dem
  • Domeneparkeringer vil også få gratis SSL sertifikat, noe som er spesielt nyttig for dem som benytter 1-sideløsningen av nettsidebyggeren
  • Videresendinger vil også få gratis SSL sertifikat
  • Glemmer du å fornye ett sertifikat så vil AutoSSL erstatte det med et gratis SSL sertifikat (slik at du unngår feilmeldinger for dine besøkende)
  • Du får gratis SSL på mail.dittdomene.net (hvor dittdomene.net er domenet ditt) og kan dermed sette opp e-postklienten med SSL med denne adressen i stedet for cpanelX.proisp.no (hvor X er nummeret på serveren)
  • Andre nyttige adresser som webmail.dittdomene.net og cpanel.dittdomene.net kan benyttes med https da disse automatisk også får gratis SSL

Tom - Spørsmål

Ulemper?

Du kan kanskje spørre deg om det er noen ulemper? Ja, vi får ikke vist deg like tydelig hva et betalt SSL sertifikat kan hjelpe deg med utover å kun sikre kommunikasjonen. Du får heller ikke skreddersydd din egen SSL løsning slik vi hadde visjon om sammen med Symantec. Men, frykt ikke 🙂 Vi skal nok klare å bake inn tips om betalte SSL sertifikat der det passer seg, basert på analyse av dine behov. Eksempelvis i diagnose av webhotell og liknende – på sikt.

Hva med deg som allerede har SSL sertifikat fra Symantec?

Dersom du har:

  • Kun gratis SSL sertifikat vil dette automatisk fornyes med nytt sertifikat før det utløper.
  • Gratis SSL sertifikat med sidesegl vil vi erstatte dette med ett PositiveSSL sertifikat til samme pris for deg før det utløper. Du får altså ett fullverdig betalt sertifikat med ca. 30% rabatt. Ulempen er at du vil måtte legge inn nytt sidesegl, men dette hjelper vi deg gjerne med om du har behov for hjelp.
  • Gratis SSL sertifikat med wildcard (Basis SSL Pluss) vil vi erstatte dette med ett PositiveSSL wildcard sertifikat til samme pris som du betalte før det utløper . Du får altså også her ett fullverdig betalt sertifikat med rabatt i stedet for det gamle.

Hvor ofte utstedes gratis SSL sertifikat?

De nye sertifikatene utstedes/fornyes automatisk en gang per natt for alle domener på våre webhotell som ikke allerede har SSL sertifikat eller har sertifikat som er i ferd med å utløpe. Har du behov for sertifikat umiddelbart har du tilgang til å utstede dette automatisk via cPanel som vist i guiden «Installere gratis SSL sertifikat via AutoSSL«.

Contact us - Tom at chair and PC

Har du spørsmål rundt overgangen eller om den nye løsningen er det bare å ta kontakt 🙂

Hva er nytt i cPanel versjon 76
Skrevet av: Morten Malde

Våre hosting servere kjører versjon 74 av cPanel og denne uken vil samtlige servere bli oppgradert til versjon 76. Det er ikke store endringer i denne oppgraderingen, men noen endringer er verdt å merke seg.

Nytt «domene» oversikt ikon

Det vil komme ett nytt ikon i cPanel som viser bedre oversikt over domener knyttet til webhotellet. Hvis du har flere tilleggsdomener på webhotellet så vil dette ikonet være veldig nyttig. Du kan velge hvilke mapper de forskjellige domenene skal peke til og du kan gå direkte til epost opprettelse for domenenavnet.
Dette kunne du også gjøre før, men det er nå forenklet for deg.

Nytt ikon i cPanel

Intern PHP i cPanel oppgraderes

cPanel vil oppgraderer PHP fra 5.6 til 7.2. Ut fra våre tester så er det merkbar forskjell i hastigheten inne i selve cPanel. Navigeringen og responsen har blitt betydelig raskere og bedre.

PHP 5.6 til PHP 7.2

SquirrelMail fjernes i versjon 78

På nye servere med versjon 76 så finnes ikke lengre webmail programvaren Squirrelmail. Fra neste versjon (78) så vil Squirrelmail også forsvinne fra våre eldre servere. I hovedsak er dette grunnet sikkerhetsmessige årsaker. Du kan lese mer om dette i «The death of SquirrelMail».

Squirrelmail blir fjernet fra cPanel

Hvordan avsløre falsk epost og phishing angrep?
Skrevet av: Isabelle

Falske eposter er en av de største sikkerhetstruslene mot privatpersoner og bedrifter på nett. Bak disse epostene står det svindlere som ønsker å innhente din personlige informasjon for å misbruke denne. I en undersøkelse utført av Intel Security viser det seg at 80% av folk ikke kan identifisere såkalte phishingeposter.

Hva er en falsk epost og hva er phishing?

En falsk epost er en form for svindel. Det benyttes ofte såkalt phishing. Phishing er en betegnelse på digital snoking eller «fisking» etter sensitiv informasjon, som passord eller kredittkortnummer.

En phishing epost vil forsøke å lure mottakeren til å tro at avsender en annen. Den vil inneholde logo og andre elementer som gir inntrykk av at det er en seriøs og ekte epost. Man vil bli oppfordret til å klikke på llinkene i eposten. Disse vil føre til nettsteder som ser ut som avsenders nettsted, Google, DNB eller andre typer bedrifter vi anser som trygge og kjente. I virkeligheten har du kommet til fiktive nettsteder laget av svindlerne. De vil få tilgang på all informasjon du oppgir på disse nettsidene.

falsk epost

Et stadig økende problem

Statistikk viser at phishing og falske eposter er et økende problem når det gjelder sikkerhet. I følge «Enterprise phishing resiliency and defense report» har phishing økt med 65% i 2017. Wombat security melder i «2018 state of the Phish» at 76% av bedrifter har rapportert å være offer for phishing angrep det siste året.

Så mye som 95% av alle angrep på bedrifters nettverk er resultatet av en suksessfull spear phishing (avansert og målrettet form for phishing som ofte retter seg mot bedrifter) i følge Networkwold.

Ta forhåndsregler

Det er flere tiltak man kan gjøre for å unngå at man personlig eller som bedrift blir offer for falske eposter og phishing. Et avansert og sofistikert spamfilter er første forsvarslinje da dette vil stoppe mye av de falske epostene. Alle våre webhotell inkluderer spamfilter. Har du Pro Premium webhotell har du i tillegg mulighet for å benytte SpamExperts, som er et mer avansert og treffsikkert spamfilter.

Ettersom det er den menneskelige faktoren som er det svakeste leddet i denne problemstillingen er det viktigste tiltaket å gjøre deg selv (og eventuelt dine ansatte) kjent med noen retningslinjer:

  • Ikke stol på avsenders navn

    En av de mest brukte taktikkene for slike eposter er misbruk av avsenders navn. Ikke stol på avsender navnet, men sjekk epost adressen også. Er den mistenkelig, ikke åpne eposten.

  • Se men ikke klikk

    Dersom eposten inneholder linker, før musen over disse for å sjekke hvor de leder men ikke klikk. Dersom de virker rare, ikke klikk på dem.

  • Sjekk etter stavefeil

    Bedrifter og organisasjoner er nøye med sine eposter. Seriøse eposter har normalt ikke skrivefeil eller dårlig språk.

  • Analyser emnet

    Dersom eposten er adressert til «Kjære kunde» er det mulig en falsk epost. Bedrifter og organisasjoner bruker som regel en hilsen som inkluderer minst fornavn.

  • Ikke gi ut personlig informasjon

    Banker og bedrifter som har tilgang på sensitive opplysninger og informasjon vil aldri be deg om å oppgi denne via epost.

  • Bruk av «haster» eller truende språk i emnet

    Det å gi inntrykk at det haster eller å spille på frykt er en taktikk som ofte brukes i phishing eposter.

  • Sjekk signaturen

    Mangel på detaljer om avsender og hvordan du kan kontakte bedriften er ofte tegn på phishing. Seriøse bedrifter vil alltid ha med deres kontaktinformasjon.

  • Ikke åpne vedlegg

    Falske eposter inkluderer ofte vedlegg med virus og skadelig kode. Dersom du åpner dette kan det ødelegge filer på datamaskinen din, stjele passordene dine eller overvåke deg uten at du vet om det. Ikke åpne vedlegg du ikke forventer å motta.

  • Vær skeptisk

    Disse falske epostene er blitt utrolig sofistikerte. Selv om en epost har bedriftens logo, korrekt språk og en tilsynelatende gyldig epost, betyr dette ikke at den er ekte. Vær skeptisk og dersom du synes en epost virker mistenkelig, ikke åpne den.

Sikkerhet for nettsider – hvordan gjøre nettsiden sikker
Skrevet av: Trond Olav Ånesen

Å ivareta sikkerheten på nett er ikke på noen måte noe nytt. Mange tenker gjerne kun sikkerhet som besøkende på en nettside, men som eier må man også tenke sikkerhet. Det har ingen betydning hvilken type nettside du har. Enten det er en enkel informasjonsside, en blogg, en nettavis, en nettbutikk eller hva som helst.

Sikkerheten er viktig både for deg som eier og driver siden, og for de som besøker og bruker nettsiden. I denne artikkelen ser vi på hvordan man opprettholder grunnleggende sikkerhet og hva man kan/må gjøre hvis noe inntreffer.

Sikkerhet på nettsiden din handler om:

  • Det skal være trygt for alle å besøke nettsiden
  • Nettsiden skal ikke være infisert med skadelig kode som kan infisere besøkende
  • Nettsiden skal ikke videresende til sider med skadelig kode
  • Informasjonen som utveksles mellom besøkende og nettside/server skal ikke kunne fanges opp av uvedkommende

I en artikkel som dette har vi ikke anledning til å gå i dybden på alt, men vi fokuserer på det viktigste; Det skal være trygt å besøke nettsiden din!

sikkerhet for nettsider

Sørg for at nettsiden ikke er eller kan bli infisert

Når en nettside er åpen på nett er den et potensielt mål for en hacker. Hackeren er ikke nødvendigvis en kar i svart hettejakke som bor i en klam kjeller. I de aller fleste tilfellene er en hacker bare en automatisert «Bot» (Robot). Slike «Boter» står kontinuerlig og skanner både kjente og ukjente nettsider etter sårbarheter som kan utnyttes. Sårbarhetene eksisterer i koden man kjører, direkte, eller i tillegg, utvidelser og annet. Et klassisk eksempel er en nettside laget i WordPress, med eget tema og en håndfull plugins installert. Vi tar utgangspunkt i nettopp dette eksempelet videre i denne artikkelen.

Siden WordPress er så utbredt som det er, så er det populært å lete etter svakheter i denne type installasjoner. Klarer man å infisere 1 nettside, kan man potensielt gjøre det samme med mange tusen flere nettsider.

Motivet bak det å infisere en nettside kan være forskjellig; en hacker ønsker å spre sitt eget budskap, de ønsker å sende ut spam fra din konto, de ønsker å fange opp sensitiv informasjon fra besøkende, de ønsker å videresende besøkende til andre lumske sider, de ønsker å bruke ressursene til konto i andre angrep osv. Dette er noe man selvsagt ønsker å unngå. Som regel er det ikke deg direkte de ønsker å ta.

Sjekkliste for å unngå at din nettside blir infisert

  • Alt må være oppdatert, alltid
    Siden WordPress (og andre lignende systemer) er såpass populært, kommer det også oppdateringer så snart sårbarheter blir funnet, og utbedringer blir laget. Man må følge med slik at man får med seg oppdateringer og implementere disse i egen installasjon. Så snart en sårbarhet er oppdaget og kjent, er det kun et tidsspørsmål før nettsider som ikke er oppdatert blir angrepet. Det samme gjelder for alt av tillegg som er installert.I eksempelet vårt kjøres et eget tema og en del plugins. Disse kan også inneholde sårbarheter og utviklerne kommer da jevnlig med oppdateringer som retter dette. Derfor er det like viktig at dette holdes oppdatert som selve installasjonen.
  • Alt som ikke er i bruk på webhotellet bør fjernes
    Alle temaer og utvidelser/plugins som ikke er i bruk bør slettes/fjernes. Selv om man deaktiverer en utvidelse/plugin eller tema så er ikke alltid alt faktisk borte. Filer ligger ofte igjen og kan da potensielt misbrukes. Altså; kun det som er nødvendig for å ha nettsiden fungerende optimalt skal være åpent tilgjengelig. Alt annet må enten slettes eller flyttes til et område hvor det ikke kan nås.
  • Bruk captcha i skjemaer
    Skjemaer; da av typen kontaktskjemaer, bestillingsskjemaer osv, må sikres slik at de ikke kan fylles ut automatisk. Slike «Boter» som vi nevnte i sted kan også brukes til å misbruke slike skjemaer, når de finnes, og da eksempelvis sende ut spam fra nettside/konto. Dette går ut over de besøkende på to måter:
    1. Ved at ressurser på webhotellet kan bli brukt til kun dette, slik at besøkende ikke får lastet siden.
    2. Ved at misbruket er av en slik karakter at konto må suspenderes for å unngå videre problemer. Da blir siden i praksis tatt ned. På alt av skjemaer og annet hvor besøkende kan fylle ut info, bør man ha en ekstra sjekk på plass. Captcha er den mest brukte (og anbefalte) metoden for dette.

sikkerhet for nettsider

  • Passord som benyttes må være sikre
    Et sikkert passord er langt og satt sammen av både tall, små og store bokstaver og ander tegn. Lange passord kan også være setninger eller fraser sammen med tilfeldige tall/tegn som kan være enklere å huske. Passord er relevant både på kundesider hos oss, på webhotell, på epostkontoer og på selve nettsiden/installasjonen. De passordene som brukes mest er også de som er mest sårbare. Man bør bytte passord minst et par ganger i løpet av er år. Det bør heller ikke brukes samme passord noe sted.
  • Implementer ekstra sikkerhet hvor det er mulig
    For mange CMSer (WordPress/Joomla/Drupal) utvikles det egne plugins som fokuserer kun på sikkerhet. Her bør man undersøke litt hvilke behov man har, og installere det man mener passer best. Det finnes flere gratis alternativer som er gode nok, men har man en stor side som genererer mye trafikk kan det være verdt å betale for ekstra sikkerhet. Eksempel på en aktør med godt rykte rundt dette, som også tilbyr gratis plugin, er Sucuri.

sikkerhet for nettside

  • Sørg for å alltid ha backup (sikkerhetskopi) av innholdet
    Man bør alltid sørge for at man har backup (sikkerhetskopi) av innholdet. Kunder av PRO ISP har inkludert en av de beste løsningene som er i markedet for backup. Denne løsningen har de tilgang til direkte via webhotellets kontrollpanel (cPanel). PRO ISP tar backup av all data 1 gang pr døgn, og backupen beholdes i 30 dager. Selv om man har svært god backup inkludert i webhotellet hos PRO ISP så anbefales det alltid å ha en ekstra kopi lagret eksternt. Slik backup kan da være av typen tatt 1 gang pr måned, 1 gang pr kvartal osv, litt avhengig av hvor kritisk det er og hvor mye endringer man er villige til å miste.

Nettsiden er allerede blitt infisert, hva gjør man?

Hva om skaden alt er skjedd? Hva om kontoen din har blitt suspendert av oss? Mange kan oppleve dette, og det oppleves i de fleste tilfellene som svært urettferdig.

Alle hostingselskaper operer på samme måte når det gjelder webhoteller; mange webhoteller deler ressurser på samme server. Det er naturlig nok litt av opphavet til navnet; Serveren er hotellet, kundenes kontoer er hotellrom på dette hotellet.

Når en webhotelleverandør opplever at ressurser misbrukes må dette stoppes for å unngå at det går ut over alle andre på samme hotell. Tenk for eksempel at et hotellrom blir ekstremt mye besøkt, så mye at ingen andre hotellgjester kommer seg verken inn eller ut av sine rom. Da må det rommet som skaper problemer stenges for å unngå nettopp dette.
Det er ikke alltid at en konto stenges ned, men ser vi tegn til hacking/misbruk så kan vi gi beskjed direkte om dette slik at det kan utbedres.

Det viktigste i slike tilfeller er; Følg de instrukser som gis, og spør om tips/råd/veiledning dersom man er usikker.

Dersom vi oppdager hacking/misbruk, og enten gir beskjed om det eller suspenderer konto, så gir vi alltid beskjed om hva som må gjøres.
I de fleste tilfeller er hackingen såpass ny at man kan benytte seg av backupen som er inkludert i webhotellet. Prosedyren er da forholdsvis enkel:

  • Slett innhold på webhotellet som er relatert til nettsiden.
  • Gjenopprett innholdet fra en dato FØR hacking fant sted (evt den eldste tilgjengelige backup, ved usikkerhet)
  • Gjennomgå punktene over for å hindre videre hacking/misbruk, altså oppdater alt, slett alt som er unødveding, sikre alle skjemaer, bytt alle passord og implementer ekstra sikkerhet

Gjør man det som blir anbefalt, og sørger for å skjerpe rutinene med alle nevnte punkter, så er man så sikker man kan få blitt. Da vil både du som eier nettsiden, de som besøker nettsiden, og vi som serverer den fra våre servere være fornøyd.

Sikre informasjon mellom besøkende og server (SSL sertifikat)

Sikkerhetssertifikat er noe som blir mer og mer aktuelt å snakke om, og høyst aktuelt når det gjelder sikkerhet for nettsider. Vi har tidligere hatt innlegg både om «Hvordan velge riktig SSL sertifikat» og hvordan de store leverandørene planlegger å «tvinge» mer og bedre bruk av dette for å opprettholde sikkerheten på nettet («Google advarer: Sikre nettsiden din»).

Nå blir det noen litt tekniske ord og uttrykk her, men litt teknisk må vi bli for å forklare:
SSL* er en krypteringsprotokoll, eller et sett med regler som forteller en server/klient (nettsiden og besøkende) om hvordan kryptering av data skal foregå. Kryptering er da prosessen med å gjøre noe uleselig eller uforståelig for andre.

* I praksis er det TLS som benyttes, men SSL og SSL sertifikater benyttes i dagligtalen, så derfor også her.

Målet med SSL er altså at kun den som besøker nettstedet, og serveren/nettstedet, skal kunne lese data som sendes mellom disse. Det er da spesielt viktig når det er personlig eller sensitiv informasjon som utveksles, så som telefonnr, brukernavn, passord, epostadresser, kredittkortinformasjon og lignende; for vi ønsker IKKE at slik info skal kunne ses av andre.

sikkerhet for nettside

For å få til denne krypteringen bruker vi såkalte «nøkler», og når både den besøkende og serveren/nettsiden har samme type «nøkkel», er det kun de som kan lese, og kryptere, informasjonen. Et SSL sertifikat er da et sertifikat som bekrefter eierskapet til disse nøklene, og at de er autentiske og gyldige. Hvor nøyaktig og grundig den bekreftelsen er kommer an på sertifikatet, les mer om dette i «Hvordan velge riktig SSL». I praksis bekreftes at sertifikatet er utstedt av en gyldig utsteder, for det nettstedet man besøker, og at det er gyldig for nettopp dette.
Du som besøkende kan se dette ved at man får opp en hengelås i adressefeltet og at nettleseren rapporterer om at nettstedet er å anse som «sikkert».

Som vi nevnte i «Google advarer: Sikre nettsiden din» så er kryptering av informasjon høyst aktuelt siden det snart blir et krav. Man kan selvsagt unngå bruk av SSL sertifikater, men da vil besøkende bli advart når de går til siden din. Denne advarselen kan sammenlignes med å rope til kundene: «Jeg tar ikke sikkerhet på alvor». For de som ikke har fått nettsiden sin over på https er tiden definitivt inne for å ta grep!

Har du flere spørsmål etter å ha lest innlegget?

Som nevnt innledningsvis er sikkerhet et såpass stort tema man ikke kan dekke alt i en enkel artikkel. Likevel, følger man de råd som er gitt her, og har sikkerhet litt mer i «bakhodet» har man kommet et langt stykke på vei.

Leser du innlegget og sitter igjen som et spørsmålstegn? Er det ting du lurer på som ikke ble forklart eller besvart her? Eller ønsker du bare råd og veiledning? Ikke nøl med å ta kontakt med oss.

Epost: support@proisp.no
Facebook: https://www.facebook.com/proisp/

Google advarer: Sikre nettsiden din
Skrevet av: Isabelle

Det er store endringer på gang når det gjelder sikkerhet for nettsider. Omfanget av disse endringene er omfattende og vil påvirke alle nettsider som benytter HTTP.

Implementeringen er blitt gjort gradvis og den «endelige» datoen er blitt endret flere ganger, men i følge Google (8.februar 2018) må man sikre nettsiden sin innen begynnelsen av juli. Har du en nettside som fortsatt benytter HTTP etter 1.juli vil dine besøkende se følgende om de benytter Chrome:

sikre nettsiden

Hvorfor HTTPS?

HTTP er blitt benyttet i mange år men har en stor mangel. All data som overføres via HTTP kan bli stjålet eller manipulert fordi den ikke er sikret.

HTTPS er sikret og sørger for at data som overføres er kryptert og beskyttet. Det er derfor ikke uforståelig at nettlesere nå vil kreve bruk av HTTPS som standard.

I tillegg til at data er beskyttet og kryptert gir HTTPS opptil 5% økt visning i søkemotorer og flere muligheter for nettsiden din på mobil. HTTPS gjør det også mulig å benytte HTTP/2 som gir 20-30% raskere sidelasting sammenlignet med HTTP.

Hvordan får jeg HTTPS?

For å kunne få HTTPS for din nettside må du ha et SSL sertifikat. Det å velge riktig SSL sertifikat kan være forvirrende. Vi anbefaler at du leser «SSL sertifikat – hvordan velge riktig?» som vil hjelpe deg med å velge riktig SSL for din nettside. Du er velkommen til å ta kontakt med oss så hjelper vi deg gjerne med valg av SSL sertifikat og installasjon.