Komunikaty

Aktualizacja obsługi PHP

Uprzejmie informujemy o zakończeniu prac technicznych, mających na celu zmiany w zakresie obsługi PHP na naszych serwerach. Modyfikacje objęły:

* Wdrożenie PHP 7.1 (obecnie obsługujemy najnowszą dostępną wersję PHP),

* Obsługę php_value oraz php_flag w plikach .htaccess (obecnie niektóre ustawienia PHP można napisać we własnym zakresie, wykorzystując do tego celu odpowiednie dyrektywy zapisane w plikach .htaccess witryny)

* Możliwość zmiany wersji PHP w obrębie jednej strony internetowej (aby dokonać zmiany wersji PHP w jednym z katalogów strony internetowej,należy wykorzystać możliwość nadpisania ustawień panelu administracyjnego przy pomocy plików .htaccess. Aby zapoznać się ze szczegółami, zapraszamy do artykułu pomocy https://atthost.pl/help/zmiana-wersji-php-w-obrebie-strony-internetowej/

Ważne! Niebezpieczna luka w WP, w wersjach poniżej 4.7.4

Z dniem 3-go maja ujawniona została kolejna, bardzo poważna luka w WordPressie, która pozwala na wykonanie dowolnego kodu na naszej stronie. Na niebezpieczeństwo narażone są wersje poniżej 4.7

Atak na witryny działa na podstawie pominiętego błędu PHPMailer, a także dzięki ograniczeniom nagłówków HTTP, wykorzystując niszowy element RFC. Niestety, ale pozwala to na uzyskanie dostępu do całej zawartości strony, poprzez panel administratora.

W związku z powyższym zalecamy natychmiastową aktualizację serwisów zbudowanych na WordPressie do wersji 4.7.4

Wdrożenie narzędzia blokowania botów

Nadmierne obciążenie serwera to częsty problem, z którym może spotkać się każdy użytkownik hostingu współdzielonego. Za dużą część ruchu w internecie odpowiedzialne są różnego rodzaju roboty analizujące strony internetowe. Pochłaniają one transfer, angażują niepotrzebnie moc procesora na serwerze, jak również niejednokrotnie powodują spowolnienie działania stron internetowych. Część z nich jest przydatna (np. boty Google które analizują strony i umieszczają je w wyszukiwarce Google), jednak użyteczność innych jest bardzo wątpliwa dla przeciętnego webmastera.

W związku z powyższym, w dniu dzisiejszym pojawiła się dodatkowa opcja, która pozwala na blokowanie dużej części niechcianych botów. Funkcja dostępna jest z poziomu Panelu Klienta, w zakładce Strony WWW.

Poniżej lista narzędzi które zostaną zablokowane po uaktywnieniu tej opcji:

360Spider, 80legs.com, Abonti, AcoonBot, Acunetix, adbeat_bot, AddThis.com, adidxbot, ADmantX, AhrefsBot, AngloINFO, Antelope, Applebot, BaiduSpider, BeetleBot, billigerbot, binlar, bitlybot, BlackWidow, BLP_bbot, BoardReader, Bolt 0, BOT for JCE, Bot mailto:craftbot@yahoo.com, casper, CazoodleBot, CCBot, checkprivacy, ChinaClaw, chromeframe, Clerkbot, Cliqzbot, clshttp, CommonCrawler, comodo, CPython, crawler4j, Crawlera, CRAZYWEBCRAWLER, Curious, Custo, CWS_proxy, Default Browser diavol, DigExt, Digincore, DIIbot, discobot, DISCo, DoCoMo, DotBot, Download Demon, DTS.Agent, EasouSpider, eCatch, ecxi, EirGrabber, Elmer, EmailCollector, EmailSiphon, EmailWolf, Exabot, ExaleadCloudView, ExpertSearchSpider, ExpertSearch, Express WebPictures, ExtractorPro, extract, EyeNetIE, Ezooms, F2S, FastSeek, feedfinder, FeedlyBot, FHscan, finbot, Flamingo_SearchEngine, FlappyBot, flicky, Flipboard, g00g1e, Genieo, genieo, GetWeb!, GigablastOpenSource, GozaikBot, Go!Zilla, Go-Ahead-Got-It, GrabNet, grab, Grafula, GrapeshotCrawler, GTB5, GT::WWW, Guzzle, harvest, heritrix, HMView, HomePageBot, HTTP::Lite, HTTrack, HubSpot, ia_archiver, icarus6, IDBot, id-search, IlseBot, Image Stripper, Image Sucker, Indigonet, Indy Library, integromedb, InterGET, InternetSeer.com, Internet Ninja, IRLbot, ISC Systems iRc Search 2.1, jakarta, Java, JetCar, JobdiggerSpider, JOC Web Spider, Jooblebot, kanagawa, KINGSpider, kmccrew, larbin, LeechFTP, libwww, Lingewoud, LinkChecker, linkdexbot, LinksCrawler, LinksManager.com_bot, linkwalker, LinqiaRSSBot, LivelapBot, ltx71, LubbersBot, lwp-trivial, Mail.RU_Bot, masscan, Mass Downloader, maverick, Maxthon, Mediatoolkitbot, MegaIndex, MegaIndex, megaindex, MFC_Tear_Sample, Microsoft URL Control, microsoft.url, MIDown tool, miner, Missigua Locator, Mister PiX, mj12bot, Mozilla Indy, Mozilla NEWT, MSFrontPage, msnbot, Navroad, NearSite, NetAnts, netEstate, NetSpider, NetZIP, Net Vampire, NextGenSearchBot, nutch, Octopus, Offline Explorer, Offline Navigator, OpenindexSpider, OpenWebSpider, OrangeBot, Owlin, PageGrabber, PagesInventory, panopta, panscient.com, Papa Foto, pavuk, pcBrowser, PECL::HTTP, PeoplePal, Photon, PHPCrawl, planetwork, PleaseCrawl, PNAMAIN.EXE, PodcastPartyBot, prijsbest, proximic, psbot, purebot, QuerySeekerSpider, R6_CommentReader, R6_FeedFetcher, RealDownload, ReGet, Riddler, Rippers 0, rogerbot, RSSingBot, rv:1.9.1, RyzeCrawler, SafeSearch, SBIder, Scrapy, Scrapy, Screaming, SeaMonkey, search.goo.ne.jp, SearchmetricsBot, search_robot, SemrushBot, Semrush, SentiBot, SEOkicks, SeznamBot, ShowyouBot, SightupBot, SISTRIX, sitecheck.internetseer.com, siteexplorer.info, SiteSnagger, skygrid, Slackbot, Slurp, SmartDownload, Snoopy, Sogou, Sosospider, spaumbot, Steeler, sucker, SuperBot, Superfeedr, SuperHTTP, SurdotlyBot, Surfbot, tAkeOut, Teleport Pro, TinEye-bot, TinEye, Toata dragostea mea pentru diavola, Toplistbot, trendictionbot, TurnitinBot, turnit, URI::Fetch, urllib, Vagabondo, Vagabondo, vikspider, VoidEYE, VoilaBot, WBSearch Bot, webalta, WebAuto, WebBandit, WebCollage, WebCopier, WebFetch, WebGo IS, WebLeacher, WebReaper, WebSauger, Website eXtractor, Website Quester, WebStripper, WebWhacker, WebZIP, Web Image Collector, Web Sucker, Wells Search II, WEP Search, WeSEE, Widow, WinInet, woobot, woopingbot, worldwebheritage.org, Wotbox, WPScan, WWWOFFLE, WWW-Mechanize, Xaldon WebSpider, XoviBot, yacybot, YandexBot, Yandex, YisouSpider, zermelo, Zeus, zh-CN, ZmEu, ZumBot, ZyBorg

Separacja stron

Nieprzerwanie pracujemy nad zwiększaniem możliwości, jakie możemy zaoferować w dziedzinie bezpieczeństwa, a efektem tych prac jest pojawienie się nowej funkcji w panelu klienta, pozwalającej na odizolowanie atakowanej strony.

Niemalże każdego dnia znajdowane są nowe luki w popularnych CMSach oraz modułach – wtyczkach i szablonach, które pozwalają na ingerencje w pliki użytkowników.
Dotychczas włamanie się na jedną stronę, umożliwiało atakującym dostęp do wszystkich plików na koncie (nie tylko witryny, która została zainfekowana). Bezpieczeństwo w sieci to podstawa, a od teraz dzięki funkcji izolacji stron, w przypadku włamania się, atakujący będą mieli dostęp wyłącznie do plików jednej strony, bez możliwości zmodyfikowania innych danych konta.

Funkcja odseparowania stron dostępna jest z poziomu panelu klienta. Aby włączyć opcję izolacji należy przejść do sekcji Strony WWW, następnie kliknąć Edytuj i zaznaczyć Odizoluj stronę.
Funkcja jest włączona domyślnie dla nowych stron i oprogramowania instalowanego poprzez nasz autoinstalator.

Wdrożenie narzędzia File Manager

Uprzejmie informujemy o wprowadzonym w dniu dzisiejszym nowym narzędziu, umożliwiającym zarządzanie plikami na serwerze.

Za pomocą File Manager istnieje możliwość wysyłki, przenoszenia, edycji, usuwania plików na serwerze, tworzenia katalogów itp. Narzędzie dostępne jest z poziomu Panelu Klienta AttHost.

Obsługujemy darmowe certyfikaty SSL Lets Encrypt!

Certyfikat Let’s Encrypt jest bezpłatnym certyfikatem SSL, rozpoznawanym przez większość przeglądarek internetowych. To bardzo dobre rozwiązanie dla osób prywatnych, posiadających małe strony internetowe, czy też prowadzących blogi. Dołożyliśmy wszelkich starań, aby proces instalacji był jak najprostszy i ograniczył się do kilku kroków.
Aby skorzystać z darmowego certyfikatu na Twojej stronie wystarczy wejść w zakładkę „Strony WWW”, kliknąć „SSL” i wybrać opcję „Certyfikat Let’s Encrypt”. Generowanie certyfikatu potrwa około minuty. Od tej chwili usługa będzie odnawiana automatycznie.

Przypominamy, że certyfikat Let’s Encrypt nie jest objęty żadną gwarancją wystawcy i zabezpiecza tylko pojedynczą domenę.
W związku z tym, jeśli prowadzisz duży serwis, bądź sklep internetowy, zapoznaj się z naszą ofertą certyfikatów SSL https://atthost.pl/certyfikaty-ssl/

Aktualizacja adresów IP serwerów DNS

Uprzejmie informujemy o zmianie adresów IP serwerów DNS w AttHost. Aktualnie obowiązujące dane to:

  • podstawowy DNS ns1.atthost.pl (IP 46.29.16.251)
  • dodatkowy DNS ns2.atthost.pl (IP 46.29.16.252)

Wprowadzona zmiana nie powoduje konieczności modyfikacji w ustawieniach domen.

Samodzielna instalacja certyfikatów SSL

Informujemy o wprowadzonej w dniu dzisiejszym nowej opcji pozwalającej na samodzielną instalację certyfikatu SSL.

Proces konfiguracji certyfikatu SSL jest prosty i w pełni zautomatyzowany – ogranicza się do podania Pliku certyfikatu, Pliku klucza oraz Pliku certyfikatu CA (centrum pośredniczącego).
Instalacja certyfikatu możliwa jest z poziomu Panelu klienta AttHost (sekcja Strony WWW -> SSL)

Aktualizacja wersji PHP

Informujemy o zakończeniu prac administracyjnych mających na celu wdrożenie najnowszych wersji PHP.

Aktualizacja objęła wersje:

  • 5.5.35 -> 5.5.38
  • 5.6.21 -> 5.6.30
  • 7.0.6 -> 7.0.16

Luka w WP REST API WordPress 4.7.0 i 4.7.1

WordPress podbił serca wielu użytkowników na całym świecie. Ostatnimi czasy pojawił się jednak pewien problem, a właściwie luka… Jeśli posiadasz wersję 4.7.0, 4.7.1 Twoja strona może być narożna na zainfekowanie złośliwym kodem.

Od wersji 4.7.0 włączono domyślnie API REST, czyli interfejs umożliwiający tworzenie, usuwanie lub edytowanie postów. Poprawnie funkcjonujący kod dawał takie możliwości wyłącznie użytkownikom posiadającym właściwe uprawnienia. Jednak jak pokazało życie, a zasadniczo cyberprzestępcy, okazało się to jedynie teoria. Sądny dzień nastał dla właścicieli witryn, którzy korzystali z WP w wersji 4.7.0 oraz 4.7.1, ponieważ zaistniała możliwość edycji dowolnego posta bez posiadania uprawnień. Jedynym „warunkiem” było dysponowanie ID posta, który miał być modyfikowany, a nawet usunięty.

Skala ataków obejmuje już ok 1.5 miliona stron. Większość z nich ma przede wszystkim na celu zniszczenie atakowanej strony poprzez podmienienie jej oryginalnej treści. W tej sytuacji warto przeszukać własną stronę pod kątem frazy “hacked by”, jak również przeskanować pliki wtyczką taką jak np. Wordfence.