Deshalb brauchst du das Update auf WordPress 5.3.1 … nein 5.3.2 ! (aktualisiert)

WordPress hat Release 5.3.1 veröffentlicht. Viele Probleme wurden korrigiert.
Sicherheits-Update: Stelle sicher, dass deine WordPress-Installation nun die Releasenummer 5.3.1 hat.

Ganze 46 Bugfixes und Patches sind in das WordPress-Release 5.3.1 eingeflossen. Nun ist nur eineinhalb Tage später gleich das nächste Update mit der Nummer 5.3.2 hinterhergeschoben worden. Wichtig sind in 5.3.1 vier korrigierte Sicherheitsprobleme:

  • User ohne entsprechende Berechtigung konnten einen Post „sticky“ machen, so dass dieser stets oben angezeigt wurde. Dies war über die REST API mnöglich.
  • Cross-Site-Scripting (XSS)-Angriffe waren mit „well-crafted“, also entsprechend präparierten Links möglich.
  • Das wp_kses_bad_protocol() hat ein Update erfahren und wurde gegen Angriffe gehärtet.
  • Mit dem Block Editor und gespeicherten Inhalten waren unter Umständen ebenfalls XSS-Angriffe machbar.

Ansonsten gab es auch einige Fixes, die eher in die Kategorie „Stabilisierung“ fallen und nicht sicherheitsrelevant sind:

  • Verbesserung bei der Verwaltung von Form (Höhen- und Anordnungs-Kontrolle)
  • Ergänzung des entsprechenden Dashboard -Widgets durch einen Links zur Verwaltung eines alternativen Farbschemas (bessere Zugänglichkeit)
  • Lösung von Javascript-Problemen bein Edge-Scrolling
  • Bei gebundleten Themes kann man nun entscheiden, ob die Autoreninfos (Bio) angezeigt werden sollen.
  • Das Javascript-basierte smooth Scrolling wurde nun auf CSS umgestellt.
  • Beseitigung von CSS-Darstellungsproblemen bei Einbettungen von Instagram-Elementen
  • Verbesserung der Berechnung und Darstellung von nicht-GMT-Datenangaben
  • Stabilisierung der make get_permalink()-Funktion bei Zeitzonenänderungen in PHP
  • Entfernung von CollegeHumor (oEmbed Provider) – diesen Service gibt es nicht mehr
  • Update der sodium_compat-Bibliothek (Krypto-Funktionen in PHP)
  • Verbesserung bei Site Health: Die Intervalangaben für Erinnerungen per Mail können nun gefiltert werden
  • Gleichnamige Thumbnail-Uploads überschreiben nun keine existierenden Dateien mehr
  • Bilder im PNG-Format werden von einer automatischen Skalierung nach Upload ausgenommen.
  • Die Administration der E-Mail-Prüfung bezieht sich nun auf die Userangaben, nicht auf die hinterlegte Variable für die Website.

Wenn die automatische Updatefunktion nicht abgeschaltet ist, werden existierende WordPress-Installationen dieses Release automatisch einspielen. Wer sichergehen will, überprüft auf dem WordPress-Dashboard die Installation. Dort lässt sich ein Updatelauf jederzeit auch manuell anstoßen.

Nun folgt eine weiteres „Maintenance Update“, wie wordPress.org sich ausdrückt, mit der Nummer 5.3.2:

  • get_feed_build_date() korrigiert fehlerhafte Daten besser
  • Bei Uploads ist die Handhabung bei Namenskolissionen von Dateien verbessert worden (in wp_unique_filename() )- Probleme traten wohl auf, wenn Groß- und Kleinschreibung verwendet wurde, aber das Dateisystem dies nicht unterscheidet.
  • Im Media-Manager wurde ein Problem in Verbindung mit PHP-Warnmeldungen in wp_unique_filename() gelöst (wenn das Zielverzeichnis nicht lesbar ist)
  • Ein Farbschemaproblem, das in Verbindung mit Buttons in der .active class auftrat, ist korrigiert
  • Bei wp_insert_post() wird der Unterschied zweier Versionen (bei Veröffentlichungsterminen in der Zukunft) nun korrekt berechnet.

Schütze dich: Zwei-Faktor-Authentifizierung für das goneo-Kundencenter

2fa goneo kundencenter

Ab sofort können goneo-Kunden den Zugriff auf das wichtige Kundencenter doppelt schützen. Zusätzlich zur Eingabe eines Passworts fragt das System nach einem weiteren Code, der auf einem anderen Kanal übermittelt wird, nämlich von einer App. Das schützt den Zugang vor böswilligen, unberechtigten Zugriffen.

„Schütze dich: Zwei-Faktor-Authentifizierung für das goneo-Kundencenter“ weiterlesen

Vorsicht Phishing Mails

Achtung, Phishingmails unterwegs.

Es mehren sich die Anfragen von Kunden bei uns wegen E-Mails, die auf angeblich eingegangene Nachrichten im goneo-Postfach hinweisen. Der Empfänger wird aufgefordert einem Link zu folgen, der über diverse Weiterleitung auf fremde und offensichtlich gehackte Server leitet. Dort soll der User sich identifizieren, um seine angeblich eingegangenen Nachrichten zu lesen.

Diese Mails stammen nicht von goneo. Wir bitten alle, die eine solche Mail erhalten haben, diese als Spam zu behandelt und den enthaltenen Links nicht zu folgen.

Unser Kundendienst verfolgt die Angelegenheit, um den Missbrauch zu unterbinden.

goneo clickStart Updates für WordPress, Joomla, ownCloud, Drupal, Prestashop

Update clickstart Anwendungen

goneo clickStart ist das Feature, mit dem unsere Webhosting- und Serverkunden in wenigen Minuten die aktuellste Version beliebter und häufig verwendeter Open-Source-Amwendungen aufsetzen können.

Das erspart das Herunterladen, Entpacken und grundsätzliche Konfigurieren. Natürlich kann die Anwendung an die eigenen Bedürfnisse noch angepasst werden und ein manuelles Installieren ist ohnehin möglich. Oft bietet die Nutzung von clickStart aber eine willkommene Abkürzung.

„goneo clickStart Updates für WordPress, Joomla, ownCloud, Drupal, Prestashop“ weiterlesen

Wichtig: PHP 5.6 bei goneo nur noch bis 31.7.2019

Im Juli endet die Unterstützung für PHP 5.6 bei goneo.

Wer als Kunde von goneo noch eine oder mehrere Websites mit PHP 5.6 betreibt, sollte jetzt handeln. PHP 5.6 hat seit Jahresende 2018 den Status end of life. Das bedeutet: Die Herausgeber werden den Entwicklungszweig 5 nicht mehr weiterverfolgen und keine weiteren Versionen unter PHP 5 herausgeben.

„Wichtig: PHP 5.6 bei goneo nur noch bis 31.7.2019“ weiterlesen

Schütze dich auch vor schädlichen PDF-Anhängen

Fast jeder hat in vergangenen Spam-Wellen schon Mails mit einem Anhang erhalten. Die Betreffzeile suggeriert oft, dass es sich um eine Bestätigung für eine Bestellung handelt, deine eingegangene Zahlung oder Kontobelastung.

Mail mit drohendem oder extrem vielversprechendem Betreff?
Klicke nicht sofort auf den Mailanhang! Zähle erst langsam rückwärts: 10…0

In vielen Fällen handelte es sich um Anhänge mit Dateien im Word-„docx“-Format. Diese Anhänge sind toxisch, denn solche Word-Dateien können Makros enthalten, die auf dem Computer, auf dem sie geöffnet werden, ausgeführt werden. Zwar warnt die Word-Anwendung vor solchen Dateien, doch leider ist man als User schnell geneigt, diese Warnung zu ignorieren und einen fatalen Klick zuviel auszuführen.

„Schütze dich auch vor schädlichen PDF-Anhängen“ weiterlesen

Promi-Doxing 2019: Welche Lerneffekte wir daraus gewinnen können

2019 ist erst ein paar Tage alt und schon gab es einen heftigen Datenschutzskandal. Darüber reden wir in Podcast-Episode 63, vor allem über Möglichkeiten, was du persönlich unternehmen kannst, um deine Daten und auch die anderer Leute besser zu schützen.

Überprüfe doch mal, ob deine E-Mailadresse vielleicht auch schon im einen oder anderen Datenleak aufgetaucht ist: 
https://haveibeenpwned.com/

Schon im Dezember (2018) hat jemand über Twitter geleakte Informationen, sensible personenbezogene Daten gestreut.  Betroffen sind über 900 Politiker aller Ebenen, also Abgeordnete, Funktionsträger in Parteien, aber auch Künstler, Youtubestars, Medienleute in unterschiedlichem Maß. 

Neues WordPress-Update beseitigt endlich Mediamanagement-Sicherheitsproblem

Im Artikel „WordPress lässt Lücke ungepatcht“ beschrieben wir ein Sicherheitsproblem, das eine Software-Security-Firma vor etwas mehr als einem halben Jahr an das WordPress-Security-Team gemeldet hat: Wenn jemand einen Autor-Account nutzen kann, kann man durch gezielte Manipulation der Datenbank in Zusammenhang mit Vorschaubildern („Thumbs“) Dateien löschen, die sich außerhalb des Mediaverzeichnisses befinden.
So könnte man etwa die wp-config.php-Datei entfernen und WordPress zu einer Neuinstallation zwingen. Damit wäre es möglich eine Datenbankverbindung anzugeben, die man als Angreifer selbst unter Kontrolle hat. So übernimmt man dann den Serveraccount, auf dem WordPress läuft.
Diese Privacy Escalation ist aber nur für User möglich, die Zugang als Autor haben, also mindestens die Rechte besitzen, Mediendateien hochzuladen, zu löschen und zu bearbeiten.
In den letzten 24 Stunden hat WordPress nun eine Version 4.9.7 ausgerollt, so dass viele Installationen heute ein automatisches Update vermeldet haben. Daneben sind nach Angaben verschiedener Onlinemedien weitere siebzehn Bugs behoben worden.
Wer in WordPress die automatische Updatefunktion deinstalliert hat, sollte nun die Routine selbst anwerfen und das System aus Sicherheitsgründen auf den neusten Stand bringen.
Als neuen Funktion, die auch für reine Bediener interessant sein könnte, erlaubt WordPress 4.9.7 nun im Adminmenü der Widgets, basale HTML-Tags in Sidebar-Descriptions zu verwenden.

Sicherheit: WordPress lässt Lücke ungepatcht

Es ist eine Lücke in aktuellen WordPress-Versionen bekannt geworden, die bereits vor sechs Monaten entdeckt worden ist. Damit können unter Umständen Fremde Dateien in einer Installation löschen, auch kritische Dateien wie zum Beispiel .htaccess, index.php oder auch die wichtige wp-config.php. Im letzteren Fall führt WordPress praktisch eine Neuinstallation aus, die dann manipuliert werden kann. Für das Problem gibt es keine Lösung von WordPress, nur einen Hotfix einer Sicherheitsfirma.  „Sicherheit: WordPress lässt Lücke ungepatcht“ weiterlesen

Erneut Updates für virtuelle Server

Es scheint sich ein Trend abzuzeichnen, dass sich gerade für servernahe Software wie Betriebssysteme, Module und ähnliche Komponenten die Zeit zwischen zwei Updates beziehungsweise Releases verkürzt.
Eben erschien aktualisierte Software für virtuelle Server so dass in diesem Fall nun  Servereinheiten gewartet werden müssen, mit denen goneo die Produktreihen „goneo Webserver Business“ und „goneo Webserver“ realisiert.
Wir möchten diese Updates kurzfristig einspielen, legen aber die Arbeiten gezielt in eine auslastschwache Zeit.
Der Termin für diese Maßnahmen ist Sonntag, 6.5.2018. Unsere Teams nehmen die Arbeiten in der Zeit von 3:00 Uhr bis 5:00 Uhr vor.
Eine Folge ist, dass jeder virtuelle Server wird kurzzeitig nicht zu erreichen sein wird.Wir rechnen mit einer Nichterreichbarkeitsdauer von je 20 bis 30 Minuten. Die E-Mail-Kommunikation über die Mailserver von goneo ist davon nicht betroffen.