Neue Versionen angekündigt: Serverupdates eine Woche später (Start nun am 17.Mai 2016)

Wir hatten für nächste Woche (9. bis 12.Mai 2016) Updates unserer Server angekündigt. Es handelt sich um ein Updatepaket, das neue Versionen enthält, die wir gesammelt einspielen wollen, um Downtimes möglichst gering zu halten. Aus aktuellem Anlass – es sind bereist wieder neue, als wichtig einzustufende Updates angekündigt – planen wir um. Die Arbeiten finden aus diesem Grund eine Woche später statt und beginnen am 17.Mai 2016. Am 20.Mai 2016 soll alles erledigt sein.
Auch das neue Updatepaket werden wir ausführlich testen, so dass keine Inkompatibilitäten auftreten dürften. Eine Vorbereitung von Ihrer Seite ist nicht erforderlich. Der einzige unmittelbar spürbare Effekt dieses Updatezyklus sollte eine kurze Nichtverfügbarkeit der Webseiten sein, die auf dem gerade bearbeiteten Server untergebracht sind. Dies ist das Resultat eines nicht vermeidbaren Neustart des Servers.

WordPress: xmlrpc.php Schnittstelle deaktivieren oder nicht?

Wer sich ab und an die Logfiles, die der Webserver schreibt, ansieht, dem fällt auf, dass eine Datei Namens xmlrpc.php oft zu den Dateien gehört, die am meisten abgerufen werden. Diese Datei bietet einige Methoden, mit denen Inhalte in einem WordPress-Blog erstellt oder verändert werden können. Wie die Login-Prozedur ist auch diese Schnittstelle ein begehrtes Ziel für Brute-Force-Attacken. Einige empfehlen, die Datei einfach zu blockieren, doch dann schneidet man einige Funktionen, die externe Tools bieten, ab.
„WordPress: xmlrpc.php Schnittstelle deaktivieren oder nicht?“ weiterlesen

DROWN zeigt es erneut: Serverupdates sind mehr als ein Luxus

Ein Managed Server kann vor unangenehmen Situationen schützen. Erst kürzlich ist ein Sicherheitsproblem gefunden worden, das als DROWN-Attacke durch die einschlägige Presse gegangen ist. Das Bundesamt für Sicherheit in der Informationstechnologie hat eine Liste von verletzbaren Servern zusammengestellt. Viele IP-Adressen waren darauf zu finden.
„DROWN zeigt es erneut: Serverupdates sind mehr als ein Luxus“ weiterlesen

Malware auf Webseiten – ein wachsendes Problem weltweit

Als Hoster, auf dessen Servern Zig-Tausende von Webseiten liegen, kennen wir natürlich das Problem gefährlicher Webseiten sehr gut. Jeden Tag erreichen uns Anfragen hilfesuchender User, die feststellen mussten, dass ihre Seite gehackt worden ist. Im Transparenzbericht von Google finden sich auf interessante Zahlen zur weltweiten Dimension des Problems.
„Malware auf Webseiten – ein wachsendes Problem weltweit“ weiterlesen

Shared oder dediziert? Welche Servervariante ist die richtige?

server racks on data center

Wir werden oft gefragt, wo denn der wichtigste Unterschied zwischen einem Shared Hosting Paket und einem eigenen Server (einem dedizierten Server) liegt.

Kurz gesagt: Der Mieter eines eigenen Servers nutzt die gesamte Maschine alleine. Das schlägt zwar mit höheren Kosten zu Buche, ist aber für viele Anwendungsgebiete das Mittel der Wahl. Als Betreiber einer Website oder Webanwendung bist du sicher, dass die Seite schnell und sicher läuft.

Für Webanwendungen, Blogs oder Onlineshops ist ein eigener Server sicher eine echte Option. Und wenn dieser Server vom Anbieter verwaltet wird, ist der Umgang damit auch nicht schwieriger als der eines kleinen Webhosting-Pakets. Diese dedizierten Server, um die goneo sich kümmert, sind die Managed Server.

„Shared oder dediziert? Welche Servervariante ist die richtige?“ weiterlesen

Datensicherheit: White Hat Hacker sollen Sicherheitslöcher finden

Datensicherheit ist ein bisschen wie Umweltschutz: Finden wir Anwender eigentlich alle gut, aber wenn es um die eigene Bequemlichkeit geht, ist die Motivationsgrenze schnell erreicht. So fahren wir eben lieber Sonntag Morgen mit dem Auto zum Bäcker anstatt den beschwerlichen, längeren, aber eben auch ökologisch sinnvolleren Fußweg auf uns zu nehmen.
Und in Sachen Datensicherheit gilt: Ehrlicherweise muss man eben sagen, dass wir all unsere Passwörter etwas komplexer gestalten könnten. Wir könnten die Daten auf der Festplatte verschlüsseln, und die Zugangsdaten öfter mal ändern. Tun wir aber nicht. Komfort und Bequemlichkeit siegen leider zu oft.
Tröstlich ist nur: Es geht vielen Leuten so und es gibt hochqualifizierte Spezialisten, für die Systemsicherheit oberste Priorität hat.
„Datensicherheit: White Hat Hacker sollen Sicherheitslöcher finden“ weiterlesen

Neue Sicherheitspatches für Magento schließen teils kritische Lücken

Wie unter anderem heise.de berichtet, sind aktuelle Sicherheitspatches für das Onlineshop-System Magento erschienen. Die Sammlung an Patches mit der Bezeichnung SUPEE-7405, die direkt auf der Seite von Magento heruntergeladen werden kann, schließt auch Lücken, die als kritisch eingestuft worden sind. Angreifer können per Cross Site Scripting (XSS) Schadcode einschleusen und die Website kapern.
Daher empfiehlt Magento nun ausdrücklich die Verwendung der Versionen 1.9.2.3 (Community Edition, CE) beziehungsweise 1.14.2.3 (Enterprise Edition, EE). Die Versionen vorher sind von den Lücken betroffen.
Die anderen Sicherheitslücken, die durch SUPEE-7405 mitgeschlossen werden, sind zwar weniger drastisch, verdienen aber ebenso Aufmerksamkeit, damit Angreifer keine DDoS Attacken ausführen oder Userdaten einsehen können.

Sicherheitsupdate für Joomla – sehr wichtig

Wenn Sie Joomla einsetzen, führen Sie unbedingt sofort ein Update aus. Nutzen Sie die Version 3.4.6, mit der eine Sicherheitslücke gestopft wird. Auch die von goneo als clickStart Version eingesetzte Variante ist nun die mit der Versionsnummer 3.4.6.
Alte Versionen ab 1.5 sind durch die aktuell entdeckte Sicherheitslücke ebenfalls verwundbar. Es gibt Sicherheitspatches für Versionen, die End of Life – Status (EOL) haben, also nicht mehr weiterentwickelt werden. Diese sollte man als Seitenbetreiber, der Joomla einsetzt, dringend sofort einspielen.
In einer Ankündigung der Entwickler von Joomla heißt es, durch einen Fehler bei der Filterung von Browserinformationen kann fremder Code zur Ausführung gebracht werden. Die Dringlichkeit ist auf „hoch“ eingeschätzt worden.