Noch ein weiteres WordPress Sicherheits-Release (6.2.2)

DALL·E 2023-05-23 - workers repair holes in a futuristic machine made of digital code fragments

Erst am 16.5.2023 erschien WordPress 6.2.1 als „Maintenance- und Security Release“, also ohne neue Features, aber mit einigen kleineren Reparaturen im Code und geschlossenen Sicherheitslücken.

Nun folgte am 20.3.2023 schon ein „Rapid Response Release“ als Version 6.2.2, mit der erneut mindestens eine Sicherheitslücke geschlossen werden sollte.

Offenbar war dieses Thema schon für 6.2.1 vorgesehen, benötigte aber wohl noch mehr Aufmerksamkeit. Um welches Problem es sich dabei handelt, bleibt unklar.

Das Update repariert offenbar auch frühere WordPress-Hauptversionen zurück bis 5.9. In der Regel sollte sich WordPress automatisch aktualisieren, es sei denn eigene Einstellungen, Caches oder CDNs verhindern dies.

Sowohl 6.2.2 als auch schon 6.2.1 wurde außerhalb der ursprünglichen Planung veröffentlicht. Man darf also davon ausgehen, dass Eile geboten war.

Als regulär geplantes Update ist WordPress 6.3 für den August 2023 vorgesehen.

Sicherheitslücke in „Elementor Essential Addons“

Der Securityserviceanbieter Patchstack meldet eine kritisches Sicherheitsproblem mit dem WordPress-Plugin Elementor Essential Addons.

Angriffsvektor Privilege Escalation

Angreifer können Passwörter ersetzen, sofern ihnen der Nutzername bekannt ist. Damit lässt sich die WordPress Installation übernehmen. Es gibt ein neues Release mit der Nummer 5.7.2, das sofort eingespielt werden sollte. Damit wird die Lücke, die am 8.Mai 2023 gefunden wurde, geschlossen.

Elementor ist ein Plugin für WordPress, das weitere Seitengestaltungsmöglichkeiten eröffnet. Zu diesem Plugin gibt es teils kostenlose Addons mit weiteren Zusatzfunktionen. Eines dieser Addons ist Essential Addons.

Elementor Essential Add On im WordPress Plugin Verzeichnis

Laut des WordPress Org – Pluginverzeichnisses wurde Elementor Essential Addons mehr als eine Million Mal installiert. Entsprechend viele Websites dürften betroffen sein.

Diese Sicherheitslücke bekam die Kennung CVE-2023-32243.

Erneut bestätigt: Verfügbarkeit 100% im Februar 2023

goneo Officebuilding in Minden, Westfalen, Deutschland.

Optimale Verfügbarkeit auch im Februar 2023: goneo konnte im unabhängigen Verfügbarkeitstest von Hosttest wieder überzeugen. goneo-Kundenserver waren durchgängig erreichbar. Das ergaben Tausende Einzeltests. Das bringt goneo erneut in die Hosttest-Top-20-Liste.

Warum ist es wichtig, dass eine Website durchgängig verfügbar ist ?

Experten sprechen von einer positiven User Experience, die leiden wird, wenn eine Website nicht verfügbar ist. In der Praxis heißt das, es erscheint eine Fehlermeldung, wenn man einem Link folgt oder die Domain direkt eingibt. Dann verlieren Userinnen und User Vertrauen in das Unternehmen oder die Organisation.

Direkt abhängig davon ist der Umsatz oder allgemein die Anzahl der Transaktionen, die man mit einer Website erreichen will.

goneo tut alles, um die Kundenwebsites 24/7 verfügbar zu halten

goneo Server waren im Februar 2023 rund um die Uhr erreichbar.
  • 24/7 Monitoring
  • Netzwerk-Redundanz
  • Peerings
  • Aktive Malwarescans
  • Prozess- und Qualitätszertifizierungen
  • Periodische Updateprozesse zur Systempflege

Allerdings gibt es viele Ursachen für einen Ausfall einer Website.

Nicht alles hat ein Hosting-Provider unter Kontrolle

Wenn eine Website nicht verfügbar ist, kann das viele Gründe haben:

  • Mangelnde Serverleistung angesichts der zu erwartenden Serverlast
    Als Hoster hat man dies unter Kontrolle. Überlastungen versuchen wir in jedem Fall durch proaktives Servermanagement zu verhindern. Wichtig ist hier, den Server nicht durch zu hohe Dichte an Kundenwebsites zu überlasten.
  • Der Server wird angegriffen (DDoS)
    Hier werden Websites gezielt durch Überlastung durch sinnlose Anfragen von Hunderten bis Tausenden Servern irgendwo auf der Welt lahmgelegt. Solche Attacken lassen sich sogar im Dark Net einkaufen. Natürlich ist das illegal, Dennoch gibt es viele solcher Versuche. Es gibt einige Möglichkeiten, dagegen Maßnahmen zu ergreifen, doch vorhersehbar sind die Angriffe nicht.
    Im Shared-Hosting-Konzept kann durch angegriffene Servernachbarschaft die Websiteperformance leiden. Managed Server als Alternative zu einem Webhosting-Paket bringen mehr Sicherheit.
  • Ausfall des Netzwerks, etwa durch defekte Switches, Router oder Fehler in der Konfiguration
    Diese Probleme können irgendwo im Internet auftreten. Manchmal reicht ein Bagger, der ein Glasfaserkabel durchtrennt und ganze Regionen gehen offline.
  • Konfigurationsfehler oder Softwareprobleme
    Dies passiert oft nach Updates der Webanwendungen.
  • Hacking
    Eine Website wurde gehackt, entweder gezielt oder im Rahmen einer massenhaften Ausnutzung einer bekanntgewordenen Sicherheitslücke in häufig verwendeter Webanwendungssoftware mit Bots.

End of Life für PHP 7.4

PHP 7.4 bei goneo nur noch bis 1.2.2923

🗓️ Ende der Unterstützung von PHP 7.4 bei goneo am 1.2.2023

Mit Ende November 2022 gilt PHP 7.4 als veraltet („end of life“) und ist damit planmäßig am Ende seines – wie es heißt – „Lifecycles“ angekommen. Mit PHP 7.4 endet auch die Hauptversionsnummer 7 und der Wechsel auf 8 ist nötig.

In der Praxis heißt das konkret: Für den Fall, dass Sicherheitslücken in PHP 7.4 gefunden werden, gibt es keine Unterstützung seitens des Herausgebers mehr. Die aktive Weiterentwicklung zur Funktionsverbesserung dieser Version ist schon vor einem Jahr eingestellt worden.

Die Roadmap von PHP findest du hier:
https://www.php.net/supported-versions.php

End of Life PHP 7.4: Was du jetzt tun kannst

goneo wird diese Version noch weiter anbieten, um einen stressfreien Übergang auf eine neuere Version zu ermöglichen. Dennoch wird goneo aus Sicherheitsgründen PHP 7.4 ab 1.2.2023 nicht mehr bereitstellen. 

Daher ist es jetzt an der Zeit, Webanwendungen und PHP-Skripte, die zur Zeit unter PHP 7.4 betrieben werden, zu überprüfen.

Wir schlagen das gleiche Verfahren vor, mit dem wir schon den Wechsel von PHP 5.6 auf PHP 7 unterstützt haben.

Programme und Skripte mit PHP 8 testen

Es ist wichtig, festzustellen, ob die Programme auch unter PHP 8.x funktionieren. Du kannst das im goneo-Kundencenter gefahrlos testen. Du musst nur die Version versuchsweise umschalten und prüfen, ob die Websites bzw. die Anwendung noch funktionieren. Falls nicht, kannst du zunächst wieder zu PHP 7.4 zurückschalten und eventuell aufgetretenen Problemen nachgehen.  

End of Life PHP 7.4. Dieses Release steht nur bis 1.2.2023 noch bereit. Ein Wechsel ist jetzt schon möglich und auch umkehrbar, falls etwas nicht fuznktioniert.
Im goneo-Kundencenter lässt sich die gewünschte PHP-Version festlegen. Die Änderungen werden sofort wirksam, so dass man bequem prüfen kann, ob die Webanwendung unter einer Domain problemlos mit einer neueren Version funktioniert. Wenn nicht, ist ein Zurückschalten möglich.
Bei goneo stehen mehrere PHP Releases zur Auswahl. Empfehlung ist, die neuste Variante zu nutzen.
goneo bietet stets mehrere PHP-Releases zur Auswahl an. Diese lassen sich problemlos umschalten. Die Änderungen werden sofort wirksam, so dass man so bequem und einfach testen kann, ob die Anwendungen und Skripte kompatibel sind.

Wo du Änderungen, die PHP 8 bringt, nachlesen kannst

Wie sich eine Umschaltung auswirkt, lässt sich allgemein schlecht prognostizieren. Je standardmäßiger und aktueller die eingesetzten Webanwendungen sind, desto weniger Probleme sind zu erwarten. Dementsprechend empfiehlt es sich immer, möglichst die neuste Version der Anwendungen zu nutzen. Bitte bei dieser Überprüfung auch Erweiterungen, Templates, Plugins, Themes etc. nicht vergessen.

Um PHP-Programmierern und Entwicklern von Skripten mehr Informationen bereitzustellen, hat die PHP-Organisation eine Hilfe-Seite angelegt. Insbesondere die Änderungen in Release 8, die nicht mehr kompatibel zu älteren Versionen sind, dürften interessant sein.

https://www.php.net/manual/de/migration80.incompatible.php (auch auf deutsch verfügbar)

Tipp: Stets die höchste PHP-Versionsnummer wählen

Es empfiehlt sich immer, den Release mit der höchsten Versionsnummer einzusetzen. Dies gilt insbesondere, wenn du ein neues Webprojekt anlegst. Was grundsätzlich neu ist, steht bei php.net im Einzelnen beschrieben.

Websites, die schon vor einiger Zeit entstanden sind, müssen angepasst werden. Manche Content Management Systeme wie WordPress sind in ihren aktuellem Releases meist schon kompatibel. Andere folgen mit Verzögerung.

Eine neue Version zu nutzen bringt viele Vorteile:

  • mehr Sicherheit im Betrieb der Website
  • mehr Performance durch effizienteren Code
  • Zukunftsfähigkeit
  • Neue Möglichkeiten wie JIT (Just in time) Compiler, opCache-Erweiterung …
  • Entwickler freuen sich auf mehr Konsistenz, Transparenz, Klarheit dank verbesserter Syntax und neuen API-Möglichkeiten

Wie du dich über geplante Updates auf dem Laufenden halten kannst

Weitere langfristig geplante Änderungen, Updates und Systemänderungen stellen wir auf dieser Seite zusammen: https://www.goneo.de/blog/geplante-updates

Insbesondere für Nutzerinnen und Nutzer, die „exotischere“ Usecases anwenden und eigene Skripte erstellen, empfiehlt es sich darauf ein Auge zu haben.

Im Prinzip ist mit etwa vier Softwareupdates pro Jahr zu rechnen. Ausnahmsweise können auch kürzerfristig Softwareversionen implementiert werden, sollten dringende Sicherheitspatches geliefert werden.

goneo-Kundencenter erhält erweiterten Modus

signage

Wir werden das goneo-Kundencenter nun mit einem neuen Sicherheitsfeature ausstatten. Eine der wichtigsten Herausforderungen in der Informationstechnologie ist die Sicherheit. Ganz besonders gilt das auch für die Onlineservices, die goneo anbietet.

Erweiterter Modus nach zusätzlichem Code

Im goneo-Kundencenter führen wir einen zusätzlichen Modus ein. So gibt es jetzt den eingeschränkten Modus und den erweiterten Modus.

„goneo-Kundencenter erhält erweiterten Modus“ weiterlesen

2FA: So wichtig ist ein zweiter Sicherheitsfaktor

closeup photography of white gate with brass colored padlock

Die Zwei-Faktor-Authentifizierung oder Zwei-Faktor-Authentisierung, kurz: 2FA, ist eine Art Rettungsanker für den Fall, dass unberechtigte Personen die Zugangsdaten für einen Onlinedienst kennen. Wir haben schon oft gewarnt, dass Phisher unterwegs sind. Als „Phishing“ bezeichnet man eine illegale Aktivität.

Mit dieser Aktivität versuchen Cyberkriminelle Zugangsdaten zu geschützten Onlinebereichen bei Banken und Servicedienstleistern zu erbeuten. Das trifft nun auch die Kunden und Nutzer von Hosting-Providern wie goneo.

Einige Zugänge zu Onlineservices lassen sich schützen, indem man ein zweites Passwort fordert. Dieses ist bei diesem Sicherheitsverfahren allerdings meist nur eine kurze Zeit lang gültig und wird automatisch erzeugt. Es wird in dem Moment übermittelt, wenn man sich anmelden will. Verwendet wird dafür idealerweise ein anderes Gerät wie zum Beispiel ein Smartphone. Diese Absicherung mit einem zweiten Faktor muss der Benutzer beziehungsweise die Benutzerin allerdings aktivieren. Ein zusätzlicher Aufwand, ja, aber es gibt gute Gründe, diese zusätzliche Hürde aufzustellen.

„2FA: So wichtig ist ein zweiter Sicherheitsfaktor“ weiterlesen

Neue Phishing-Welle mit gefälschten E-Mails

Momentan scheint es viele Phishing-Angriffe zu geben. Cyber-Banditen versuchen verstärkt, Daten von goneo-Kunden zu erbeuten. So verzeichnen wir eine erhöhte Anzahl an Kundenanfragen, die sich auf eingegangene E-Mails beziehen. Mails, die vorgeblich goneo hat, um auf ein (in Wahrheit nicht vorhandenes) Problem mit dem Kundenkonto hinzuweisen.

Dadurch sind wir darauf aufmerksam geworden, dass sehr viele E-Mail gleichlautenden Inhalts recht zielgerichtet an goneo-Kunden versendet wird.

„Neue Phishing-Welle mit gefälschten E-Mails“ weiterlesen

Angriffe auf WordPress und bestimmte Erweiterungen

person in black hoodie hacking a computer system

Eine Warnung an alle Webseitenbetreiber, die WordPress als Basis und bestimmte Erweiterungen nutzen: Nach Angaben mehrerer Sicherheitsservices drohen massive Angriffe. Ziele sind die Plugins PublishPress Capabilities (2.3 oder älter), Kiwi Social Plugin (2.0.10 oder älter) , Pinterest Automatic (4.14.3 oder älter) sowie WordPress Automatic (3.53.2 oder älter). Bei diesen Pluginversionen handelt sich nicht um die neusten Releases.

Was die Angriffe bewirken und wie du die Lücken schließen kannst, liest du in diesem Beitrag.

„Angriffe auf WordPress und bestimmte Erweiterungen“ weiterlesen

Vorsicht, Phishing-Versuche

Ab und an melden sich goneo-Kunden bei uns, die von auffälligen Mails berichten, die bei ihnen eingegangen sind.

Oft handelt es sich um E-Mails, die in betrügerischer Absicht massenhaft versendet worden sind. Je nach Absicht wird der Empfänger aufgefordert, einen Benutzernamen und ein Passwort auf einer Webseite einzugeben, um Informationen abzurufen, Zugang zu einem Kundenkonto zu erhalten und ähnliches. Ab diesem Punkt ist Vorsicht geboten. Bitte nicht gleich auf die Buttons klicken, wenn du eine solche Mail im Posteingang findest.

Aktuell sehen wir, dass solche Mails im Umlauf sind:

Screenshot einer Spam-Mail mit erkennbar betrügersicher Absicht: Es wird das goneo-Logo verwendet. Der Text in unverständlichem Deutsch informiert – je nachdem wie man ihn interpretiert – über eine angeblich eingegangene E-Mail oder über die Integration einer Mailadresse in ein Webmail-Umfeld.

Natürlich stammt diese Mail nicht von goneo und auch nicht von einem System, das wir in irgendeiner Form einsetzen.

„Vorsicht, Phishing-Versuche“ weiterlesen

Mehr Sicherheit auch vor Phishing-Versuchen: Jetzt 2FA aktivieren

2fa

Wichtig: Schütze jetzt die Anmeldung für das goneo-Kundencenter. Mit einem zusätzlichen Code gewinnst du mehr Sicherheit, die auch nach Phishing-Versuchen wirkt. Wie dies funktioniert und wie man die Zwei-Faktor-Authentifizierung für das goneo-Kundencenter aktiviert, erfährst du hier.

Außerdem: Was man tun sollte, wenn man Opfer einer Phishing-Attacke geworden ist.

„Mehr Sicherheit auch vor Phishing-Versuchen: Jetzt 2FA aktivieren“ weiterlesen