Etikettarkiv: Öppen källkod

Detta inlägg får ej läsas i kommersiellt syfte

Oftare och oftare så stöter jag på meningen ”Detta får inte användas för kommersiellt bruk” vilket stör mig. Jag har förståelse om det exempelvis är olika prissättningar för kommersiellt bruk men att enbart förhindra kommersiellt syfte är helt åt skogen.

Tidigare så var det SCB som visade sig ha två prislistor men tog standard betalt för icke kommersiellt bruk och informerade överhuvudtaget inte att det fanns en prislista för kommersiellt bruk. Nu senaste så behövde jag ta del av forskningsdata som indata till en algorithm men forskningen fick inte användas i kommersiella syften. Det innebär att jag måste ta fram samma data igen vilket innebär dubbelarbete.

Visst det är bra för BNP och fler får jobb om vi har dubbelarbeten. Jag förespråkar öppen källkod och öppen data, dessa två kan se till att storverk blir till.

Hur säkert är WordPress?

En fråga som uppkommer relativt ofta är: Hur säkert är WordPress? Och för att svara på den frågan så finns det ett antal faktorer som jag anser intressanta att titta på och dessa inkluderar men begränsas ej till följande:

  • Ålder – Hur gammal är mjukvaran, om mjukvaran funnits 10 år eller några månader kan vara en faktor för nyare mjukvaror har troligtvis ej genomgått samma granskning (antalet ögon som tittat på koden).
  • Track record – Har det tidigare identifierats sårbarheter? Använd Secunia.
  • Öppen vs. stängd källkod – Jag litar mer på öppen källkod än stängd.
  • Kompetens hos utvecklare – Svårt att avgöra.
  • Kodstandard – Fulkod vs. finkod. Koden i WordPress är bra, dock ej supermycket kommenterad.
  • Uppdateringar – Sker det det några uppdateringar? Om koden senast uppdaterades 2005 så finns det med större sannolikhet brister. WordPress har ett bra system för uppgradering, glöm dock inte att uppdatera.
  • Installationsbas – Hur många använder systemet? Troligtvis har fler testat systemet om fler använder det. 14.7 percent of the top million websites in the world use WordPress.
  • Säkerhetsfunktioner och säkerhetsuppdateringar – Kommer det säkerhetsuppdateringar? Finns det några säkerhetshöjande funktioner i systemet. Här finns ett antal såsom slumpmässig nonce och HttpOnly cookies.
  • Komplexitet i systemet och antal rader kod.
Tittar man på ovan lista så ligger WordPress mycket bra till förutom sista punkten (men allt är ju relativt vad man jämför med). Men du bör även anamma lökprincipen:
 – Säkerhet skall likt löken byggas i flera lager, inte som en kedja. Faller ett lager finns det andra säkerhetsmekanismer som fortsätter skydda systemet. Källa
Så därför bör du även tänka på följande saker för att göra WordPress-säkrare:
  • Använd ej samma lösenord till WordPress som till övriga sajter/system.
  • Undvik kopplingar från WordPress-server till andra system. Använd gärna en molntjänst (ej delad db etc) som är frikopplad från övriga verksamhetssystem.
  • Undvik plugins – Om du vill använda plugins använd exempelvis enbart de som ingår i JetPack.me. Du kan även använda listan ovan för plugins, se till att de är uppdaterade exempelvis.
  • Använd https vid administration samt SCP eller motsvarande vid överföring av filer. Lägg till define('FORCE_SSL_ADMIN', true); i wp-config.php
  • Läs Hardening WordPress.
  • Uppdatera, uppdatera, uppdatera löpande både WordPress och underliggande operativsystem samt andra relaterade mjukvaror (exempelvis MySQL).
  • Säkra upp underliggande operativsystem samt databas. Minimera de privilegier som WordPress kan göra i MySQL.
  • Är personen som sätter upp WordPress och underliggande system kompetent?
  • Använd ett bra lösenord, byt namn på admin-kontot osv.
  • Teman (themes) kan även innehålla sårbarheter, se till att de också är uppdaterade och radera sådant du inte använder.
  • Håll koll på omvärlden – Din RSS-läsare bör minst innehålla WordPress.org News som uppdateras om någon allvarlig brist identifieras. Kan även rekommendera Sucuri-bloggen.
Nåväl, detta gav förhoppningsvis en liten insyn på några tänkvärda saker när det gäller WordPress och dess säkerhet. Lämna gärna en kommentar med det du tycker är viktigt eller om det är något jag har glömt.