Feedback på hjemmeside til event bureau

AnalyzeMe:

Hej Albert

Først vil jeg starte med at sige tak for dine input, jeg vil helt sikkert kigge på at få opsat en SPF-Record snarest. :)
I forhold til SPF-Record kan du så forklare mig hvordan min e-mail nemt kan blive misbrugt?

I et SPF-record angiver du hvilke mailservere der må bruges til at sende mail fra dit domæne. Hvis du ikke gør det, kan enhver mailserver bruges. Jeg kan således sætte en mailserver op med dit domæne, og sende mails fra din adresse. Jeg kan sågar gøre det uden at sætte en separat mail server op, sålænge jeg angiver "mail relay" til dit domæne i min egen eksisterende mailserver. 

Heldigvis bliver det mere og mere sådan, at mails fra et domæne, der ikke har angivet SPF-records, bliver markeret som SPAM. Det er dog ikke alle modtagende mailservere der gør det på denne måde.

AnalyzeMe:

Troede faktisk at yoast kørte med auto-update, det kigger jeg også på, tak for notice :)

Jeg vil gerne fraråde auto-update, da updates forholdsvis ofte indeholder kompatibilitetsfejl, hvilket nedlægger din hjemmeside. Det vil du ikke lægge mærke til når systemet opdaterer automatisk - du kigger sandsynligvis ikke selv så ofte på din egen hjemmeside.

AnalyzeMe:

I forhold til snakken om sikkerhed, og du selv arbejder med sikkerhed.
Vil du så ikke give mig ret i at du ikke hjælper mig på rette vej, ved åbenlyst at fortælle alle andre hvilket brugernavn der er i brug?

Jo, det giver jeg dig fuldstændig ret i.
Dit brugernavn er dog allerede åbenlyst for enhver black -, grey - eller white hat hacker. Metoden til at finde dit brugernavn kaldes "btrugeroptælling" eller "user enumeration", og er velkendt og veldokumenteret. Hr. og Fru Jensen vil dog ikke kunne bruge de informationer til en dyt. Det svarer til at jeg viser hvordan nøglen til min hoveddør ser ud, uden at du får den i hænder: du kommer stadigvæk ikke ind ad hoveddøren uden at en anden låser den op for dig.

AnalyzeMe:

Nu bekymre det mig heldigvis ikke så meget da du eller andre ikke ved hvilke retigheder lige præsis den bruger har,

Det er lige det - jeg ved nemlig hvilke rettigheder den bruger har ...

AnalyzeMe:

men en anden gang, så holder man vel sådan nogle ting for sig selv især når man arbejder med sikkerhed, eller det ville jeg i hvertfald mene.

Hvad synes du?

Skal ikke tages som en angreb, er skam meget tilfreds med din feedback :)

Det var også kun for at hjælpe :)

AnalyzeMe:

Dejligt med den uddybende forklaring omkring SPF, jeg kigger på det i dag og får det tilføjet. :)

Thumbs up :)

AnalyzeMe:

Det har du fuldstænding ret i, hellere være på den sikre side og selv have kontrollen.

Netop

AnalyzeMe:

Det var godt nok en simpel måde at finde brugernavne på, har installeret WordFence. Så hvad jeg kan se burde det ikke være muligt fremover, altså at gøre brug af "user enumeration", men min author profil findes jo stadig, og selvom jeg skifter det synlige navn til noget andet, kan jeg se at brugernavnet stadig fremgår af url'en "/author/eventpakker/" så kan jeg så vælge at skifte det i databasen under user_nicename.

Alt er nemt, hvis du bare ved hvordan. Problemet er at WordPress selv mener at det ikke er skadeligt at brugernavne kan findes. Det mener jeg er et af de største vedvarende sikkerhedshuller i WordPress. Wordfence er faktisk den løsning jeg altid selv bruger - selvom en stor del også kan gøres uden selve plugin'et, bare ved at tilføje en masse regler til hhv. .htaccess og .user.ini filerne. Men det kræver en del mere viden, og der skal jeg selv ofte bruge såkaldte cheat sheets, da jeg ikke kender det hele udenad. Så god er jeg altså ikke :)

En af de ting som Wordfence beskytter imod vha. .htaccess filen er at blokere for at respondere tilføje ?author=1 til websitets url. Det blokerer ikke for /author/{profilename}, men eftersom den ikke mere kan ekstraheres, så er der ingen der ved hvad den hedder :)

AnalyzeMe:

Nu bliver jeg altså nysgerrig, hvordan har det være muligt for dig at finde ud af det? :)

Der var kun én bruger, og der skal være én admin, i det mindste :)

Jeg kunne også have kørt en WPSCAN, men det vil jeg ikke gøre uden tilladelse.

Mit mantra har altid været, at en IT'er altid kontrollerer alt. Dermed dog ikke sagt at jeg i første omgang gætter mig frem (dog ikke i blinde) :)

Albert

Jeg sælger ikke landing sider eller lignende - jeg laver dem kun selv til mine egne virksomheder. Du kan altid skrive en PB til mig her på siden, hvis du vil have feedback.