End of Life für PHP 7.4

PHP 7.4 bei goneo nur noch bis 1.2.2923

🗓️ Ende der Unterstützung von PHP 7.4 bei goneo am 1.2.2023

Mit Ende November 2022 gilt PHP 7.4 als veraltet („end of life“) und ist damit planmäßig am Ende seines – wie es heißt – „Lifecycles“ angekommen. Mit PHP 7.4 endet auch die Hauptversionsnummer 7 und der Wechsel auf 8 ist nötig.

In der Praxis heißt das konkret: Für den Fall, dass Sicherheitslücken in PHP 7.4 gefunden werden, gibt es keine Unterstützung seitens des Herausgebers mehr. Die aktive Weiterentwicklung zur Funktionsverbesserung dieser Version ist schon vor einem Jahr eingestellt worden.

Die Roadmap von PHP findest du hier:
https://www.php.net/supported-versions.php

End of Life PHP 7.4: Was du jetzt tun kannst

goneo wird diese Version noch weiter anbieten, um einen stressfreien Übergang auf eine neuere Version zu ermöglichen. Dennoch wird goneo aus Sicherheitsgründen PHP 7.4 ab 1.2.2023 nicht mehr bereitstellen. 

Daher ist es jetzt an der Zeit, Webanwendungen und PHP-Skripte, die zur Zeit unter PHP 7.4 betrieben werden, zu überprüfen.

Wir schlagen das gleiche Verfahren vor, mit dem wir schon den Wechsel von PHP 5.6 auf PHP 7 unterstützt haben.

Programme und Skripte mit PHP 8 testen

Es ist wichtig, festzustellen, ob die Programme auch unter PHP 8.x funktionieren. Du kannst das im goneo-Kundencenter gefahrlos testen. Du musst nur die Version versuchsweise umschalten und prüfen, ob die Websites bzw. die Anwendung noch funktionieren. Falls nicht, kannst du zunächst wieder zu PHP 7.4 zurückschalten und eventuell aufgetretenen Problemen nachgehen.  

End of Life PHP 7.4. Dieses Release steht nur bis 1.2.2023 noch bereit. Ein Wechsel ist jetzt schon möglich und auch umkehrbar, falls etwas nicht fuznktioniert.
Im goneo-Kundencenter lässt sich die gewünschte PHP-Version festlegen. Die Änderungen werden sofort wirksam, so dass man bequem prüfen kann, ob die Webanwendung unter einer Domain problemlos mit einer neueren Version funktioniert. Wenn nicht, ist ein Zurückschalten möglich.
Bei goneo stehen mehrere PHP Releases zur Auswahl. Empfehlung ist, die neuste Variante zu nutzen.
goneo bietet stets mehrere PHP-Releases zur Auswahl an. Diese lassen sich problemlos umschalten. Die Änderungen werden sofort wirksam, so dass man so bequem und einfach testen kann, ob die Anwendungen und Skripte kompatibel sind.

Wo du Änderungen, die PHP 8 bringt, nachlesen kannst

Wie sich eine Umschaltung auswirkt, lässt sich allgemein schlecht prognostizieren. Je standardmäßiger und aktueller die eingesetzten Webanwendungen sind, desto weniger Probleme sind zu erwarten. Dementsprechend empfiehlt es sich immer, möglichst die neuste Version der Anwendungen zu nutzen. Bitte bei dieser Überprüfung auch Erweiterungen, Templates, Plugins, Themes etc. nicht vergessen.

Um PHP-Programmierern und Entwicklern von Skripten mehr Informationen bereitzustellen, hat die PHP-Organisation eine Hilfe-Seite angelegt. Insbesondere die Änderungen in Release 8, die nicht mehr kompatibel zu älteren Versionen sind, dürften interessant sein.

https://www.php.net/manual/de/migration80.incompatible.php (auch auf deutsch verfügbar)

Tipp: Stets die höchste PHP-Versionsnummer wählen

Es empfiehlt sich immer, den Release mit der höchsten Versionsnummer einzusetzen. Dies gilt insbesondere, wenn du ein neues Webprojekt anlegst. Was grundsätzlich neu ist, steht bei php.net im Einzelnen beschrieben.

Websites, die schon vor einiger Zeit entstanden sind, müssen angepasst werden. Manche Content Management Systeme wie WordPress sind in ihren aktuellem Releases meist schon kompatibel. Andere folgen mit Verzögerung.

Eine neue Version zu nutzen bringt viele Vorteile:

  • mehr Sicherheit im Betrieb der Website
  • mehr Performance durch effizienteren Code
  • Zukunftsfähigkeit
  • Neue Möglichkeiten wie JIT (Just in time) Compiler, opCache-Erweiterung …
  • Entwickler freuen sich auf mehr Konsistenz, Transparenz, Klarheit dank verbesserter Syntax und neuen API-Möglichkeiten

Wie du dich über geplante Updates auf dem Laufenden halten kannst

Weitere langfristig geplante Änderungen, Updates und Systemänderungen stellen wir auf dieser Seite zusammen: https://www.goneo.de/blog/geplante-updates

Insbesondere für Nutzerinnen und Nutzer, die „exotischere“ Usecases anwenden und eigene Skripte erstellen, empfiehlt es sich darauf ein Auge zu haben.

Im Prinzip ist mit etwa vier Softwareupdates pro Jahr zu rechnen. Ausnahmsweise können auch kürzerfristig Softwareversionen implementiert werden, sollten dringende Sicherheitspatches geliefert werden.

goneo-Kundencenter erhält erweiterten Modus

signage

Wir werden das goneo-Kundencenter nun mit einem neuen Sicherheitsfeature ausstatten. Eine der wichtigsten Herausforderungen in der Informationstechnologie ist die Sicherheit. Ganz besonders gilt das auch für die Onlineservices, die goneo anbietet.

Erweiterter Modus nach zusätzlichem Code

Im goneo-Kundencenter führen wir einen zusätzlichen Modus ein. So gibt es jetzt den eingeschränkten Modus und den erweiterten Modus.

„goneo-Kundencenter erhält erweiterten Modus“ weiterlesen

2FA: So wichtig ist ein zweiter Sicherheitsfaktor

closeup photography of white gate with brass colored padlock

Die Zwei-Faktor-Authentifizierung oder Zwei-Faktor-Authentisierung, kurz: 2FA, ist eine Art Rettungsanker für den Fall, dass unberechtigte Personen die Zugangsdaten für einen Onlinedienst kennen. Wir haben schon oft gewarnt, dass Phisher unterwegs sind. Als „Phishing“ bezeichnet man eine illegale Aktivität.

Mit dieser Aktivität versuchen Cyberkriminelle Zugangsdaten zu geschützten Onlinebereichen bei Banken und Servicedienstleistern zu erbeuten. Das trifft nun auch die Kunden und Nutzer von Hosting-Providern wie goneo.

Einige Zugänge zu Onlineservices lassen sich schützen, indem man ein zweites Passwort fordert. Dieses ist bei diesem Sicherheitsverfahren allerdings meist nur eine kurze Zeit lang gültig und wird automatisch erzeugt. Es wird in dem Moment übermittelt, wenn man sich anmelden will. Verwendet wird dafür idealerweise ein anderes Gerät wie zum Beispiel ein Smartphone. Diese Absicherung mit einem zweiten Faktor muss der Benutzer beziehungsweise die Benutzerin allerdings aktivieren. Ein zusätzlicher Aufwand, ja, aber es gibt gute Gründe, diese zusätzliche Hürde aufzustellen.

„2FA: So wichtig ist ein zweiter Sicherheitsfaktor“ weiterlesen

Neue Phishing-Welle mit gefälschten E-Mails

Momentan scheint es viele Phishing-Angriffe zu geben. Cyber-Banditen versuchen verstärkt, Daten von goneo-Kunden zu erbeuten. So verzeichnen wir eine erhöhte Anzahl an Kundenanfragen, die sich auf eingegangene E-Mails beziehen. Mails, die vorgeblich goneo hat, um auf ein (in Wahrheit nicht vorhandenes) Problem mit dem Kundenkonto hinzuweisen.

Dadurch sind wir darauf aufmerksam geworden, dass sehr viele E-Mail gleichlautenden Inhalts recht zielgerichtet an goneo-Kunden versendet wird.

„Neue Phishing-Welle mit gefälschten E-Mails“ weiterlesen

Angriffe auf WordPress und bestimmte Erweiterungen

person in black hoodie hacking a computer system

Eine Warnung an alle Webseitenbetreiber, die WordPress als Basis und bestimmte Erweiterungen nutzen: Nach Angaben mehrerer Sicherheitsservices drohen massive Angriffe. Ziele sind die Plugins PublishPress Capabilities (2.3 oder älter), Kiwi Social Plugin (2.0.10 oder älter) , Pinterest Automatic (4.14.3 oder älter) sowie WordPress Automatic (3.53.2 oder älter). Bei diesen Pluginversionen handelt sich nicht um die neusten Releases.

Was die Angriffe bewirken und wie du die Lücken schließen kannst, liest du in diesem Beitrag.

„Angriffe auf WordPress und bestimmte Erweiterungen“ weiterlesen

Vorsicht, Phishing-Versuche

Ab und an melden sich goneo-Kunden bei uns, die von auffälligen Mails berichten, die bei ihnen eingegangen sind.

Oft handelt es sich um E-Mails, die in betrügerischer Absicht massenhaft versendet worden sind. Je nach Absicht wird der Empfänger aufgefordert, einen Benutzernamen und ein Passwort auf einer Webseite einzugeben, um Informationen abzurufen, Zugang zu einem Kundenkonto zu erhalten und ähnliches. Ab diesem Punkt ist Vorsicht geboten. Bitte nicht gleich auf die Buttons klicken, wenn du eine solche Mail im Posteingang findest.

Aktuell sehen wir, dass solche Mails im Umlauf sind:

Screenshot einer Spam-Mail mit erkennbar betrügersicher Absicht: Es wird das goneo-Logo verwendet. Der Text in unverständlichem Deutsch informiert – je nachdem wie man ihn interpretiert – über eine angeblich eingegangene E-Mail oder über die Integration einer Mailadresse in ein Webmail-Umfeld.

Natürlich stammt diese Mail nicht von goneo und auch nicht von einem System, das wir in irgendeiner Form einsetzen.

„Vorsicht, Phishing-Versuche“ weiterlesen

Mehr Sicherheit auch vor Phishing-Versuchen: Jetzt 2FA aktivieren

2fa

Wichtig: Schütze jetzt die Anmeldung für das goneo-Kundencenter. Mit einem zusätzlichen Code gewinnst du mehr Sicherheit, die auch nach Phishing-Versuchen wirkt. Wie dies funktioniert und wie man die Zwei-Faktor-Authentifizierung für das goneo-Kundencenter aktiviert, erfährst du hier.

Außerdem: Was man tun sollte, wenn man Opfer einer Phishing-Attacke geworden ist.

„Mehr Sicherheit auch vor Phishing-Versuchen: Jetzt 2FA aktivieren“ weiterlesen

Betrüger versuchen, sich Zugangsdaten zu erschleichen

Vorsicht vor Phishing-Versuchen

wir haben von mehreren Kunden erfahren, dass derzeit offensichtlich massenweise gefälschte E-Mails im Namen von goneo versendet werden. In diesen Mails werden die Empfänger unter einem Vorwand aufgefordert, ihre goneo-Kundendaten auf einer täuschend echt nachgebauten Webseite einzugeben, die allerdings nichts mit goneo zu tun hat. So versuchen sich Kriminelle, echte Zugangsdaten zu erschleichen. In der Regel werden diese dann für weitere kriminelle Aktivitäten verwendet. 

Im Text der Mail geben die Betrüger beispielsweise vor, dass eine Domain bald nicht mehr funktionieren würde und man nun zur Überprüfung die Kundendaten eingeben müsste. Die Webseite, die in der betrügerischen Mail verlinkt ist, ist einer echten goneo-Seite wie dem goneo-Kundencenter recht gut nachempfunden. So wird auch das Logo von goneo verwendet und einige funktionierende Links zu der echten goneo-Seite angeboten. Die Servicelinks „Passwort vergessen“ funktionieren in den Beispielen, die wir kennen hingegen nicht. 

„Betrüger versuchen, sich Zugangsdaten zu erschleichen“ weiterlesen

Sicherheitslücke in wpDiscuz (WordPress-Plugin)

Der Sicherheitspluginhersteller Wordfence warnt vor einer Lücke in einem beliebten WordPress-Plugin namens wpDiscuz. Betroffen sind Versionen von 7.0.0 bis 7.0.4. Mit 7.0.5 steht eine korrigierte Version bereit, die die als hochkritisch eingestufte Lücke schließt, heißt es.

Gemäß der CVSS-Systematik wird die Schwere des Problems mit Score 10.0 (CRITICAL) eingestuft. Die CVSS Vector wird mit CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H beschrieben. Mehr zur Systematik von CVSS (Common Vulnerability Scoring System) findet sich auf der offiziellen Site der Organisation FIRST. Im genannten Fall bedeutet dies:

  • Der Angriffsvektor ist Network (erfolgt also aus dem Netz; „AV:N“)
  • Die Komplexität des Angriffs ist niedrig (low, „AV:L“)
  • Man braucht als Angreifer keine Privilegien auf dem angegriffenen System, d.h. jeder kann angreifen (Privilege required; „PR:N“)
  • Die Interaktion des rechtmäßigen Nutzers ist für einen erfolgreichen Angriff nicht erforderlich (User Interaction; „UI:N“).
  • S steht für Scope und gibt wieder, wie tiefgreifend der erfolgreiche Angriff sein kann und verbundene Systeme ändern kann („S:C“, wobei C für „change“ steht, andere Werteoption des Schlüssels ist „U“ und würde bedeutet, dass keine weiteren Systeme in Mitleidenschaft gezogen werden können).
  • Die Vertraulichkeit wurde als „high“ eingestuft, da Einzelheiten des Exploits (der Entdeckung des Problems) zunächst nicht öffentlich werden sollten („C:H“).
  • Die Integrität des angegriffenen Systems wird beschädigt, und zwar schwer; die Gefahr ist hoch, also wird diese Kategorie als „high“ („I:H“) eingestuft.
  • Es kann sein, dass das System nach erfolgtem Angriff nicht mehr verfügbar ist, engl. Availibility. Auch hier wurde als Einstufung „high“ vergeben („A:H“).
„Sicherheitslücke in wpDiscuz (WordPress-Plugin)“ weiterlesen

goneo Webserver: Plus 50 Prozent Performance nach Update von Hard- und Software

Update goneo Webserver 50 Prozent schneller jetzt

Nach einem umfangreichen Hard- und Softwareupdate haben sich Leistungsindikatoren wie Time to first Byte massiv verbessert. Die monatlichen Kosten bleiben für den Kunden stabil.

Wer eine von goneo betreute virtuelle Maschine bucht oder bereits betreibt, kann mit einem Performancesprung rechnen. Seit Juli 2020 kommt neue Hostsystem-Hardware mit 100 Prozent SSD zum Einsatz. Zudem hat goneo das Virtualisierungssystem gewechselt. Jetzt steht nicht nur die Version 8 der Datenbanktechnologie MySQL zur Verfügung, die Server liefern Webseiten nun mit http/2 aus.

„goneo Webserver: Plus 50 Prozent Performance nach Update von Hard- und Software“ weiterlesen
var et_pagename = document.title; var et_areas = "goneo Blog"; //var et_url = ""; var et_target = ""; var et_ilevel = 0; //var et_tval = ""; //var et_cust = 0; //var et_tonr = ""; //var et_tsale = 0; //var et_basket = ""; //var et_lpage = ""; //var et_trig = ""; //var et_sub = ""; //var et_se = ""; //var et_tag = "";