Sicherheit Archive - Seite 4 von 19

3. Februar 20203. Februar 2020

goneo ist erneut Top20 Provider in Deutschland – laut Hosttest

goneo Hosttest Top 20 Provider Januar 2020

Das unabhängige Vergleichportal Hosttest, in der Tech-Szene bekannt für die Verfügbarkeitsmessungen von Servern, ermittelt aus diversen Kriterien wie Verfügbarkeit, Profilabruf und Bewertungen monatlich einen Score für jeden untersuchten Hostingprovider. Auf Grundlage dieses Scorings stellt Hosttest eine monatlich aktualisierte Top20-Liste zusammen.

Auch bei den Verfügbarkeitsmessungen (um die 3.000 einzelne Tests in 30 Tagen) konnte goneo erneut punkten. Die getesteten Server waren zu 100 Prozent erreichbar.

Ergebnis von ca. 3.000 Einzeltests (Aufruf einer URL alle 15 Minuten mit positiver Server-Response. Der Test von hosttest.de gilt als einer der umfangreichst und aussagekräftigsten im deutschsprachigen Raum. Zum Profil von goneo: https://www.hosttest.de/webhoster/goneo

Die sogenannte Verfügbarkeit ist ein Kriterium, das die Zuverlässigkeit eines Dienstes widerspigelt. Idealerweise sind Server durchgängig an sieben Tagen in der Woche durchgehend für 24 Stunden erreichbar. Grundsätzlich gibt es die Möglichkeit, dass Server ausfallen, etwa durch Überlastung (zu viele Zugriffe) oder durch Absturz des Betriebssystem oder Hardwarekomponenten wie I/O-Controller, HD, SSD- Speicher, RAM-Defekte oder Stromausfall. Diese Risiken lassen sich durch gezieltes Qualitätsmanagement minimieren, u.a. durch klare Software-Release-Policies, proaktive Serverwartungen, die bei goneo in Zyklen organisiert sind oder durch Redundanz wie dem Einsatz von RAID-Spiegelungen. Zusätzlich fährt goneo tägliche Backups, um im Falle von Havarien Destaster-Recoveries zu ermöglichen.

31. Januar 202031. Januar 2020

Magento: Adobe rät zum Update

Auch für diverse Versionen der E-Commerce-Software Magento sind Updates verfügbar. Damit sollen, so Adobe (mittlerweile im Besitz der Magento-Software) kritische Lücken geschlossen werden. Unter Magento gibt es mittlerweile Versionen, die weiter unter Open-Source-Lizenzen herausgegeben werden, aber auch proproetäre Closed-Source-Versionen.

Als Angriffsvektoren werden bei Adobe im Security Bulletin Deserialisierung, Cross-Site-Scripting, SQL-Injection und Path-Traversal genannt.

Betroffen sind die Open-Source-Versionen 2.3.3 (und früher), 2.2.10 (und früher), die Community Edition 1.9.4.3 sowie sowie auch die proprietären Releases Magento Commerce mit gleichen Versionsnummern (2.3.3, 2.2.10) und die Enterprise Edition 1.14.4.3. Für die genannten Releases gibt es Updates, wobei dafür die Releasenummern in der letzten Stelle jeweils um 1 weiter gezählt wurden.

27. Januar 202027. Januar 2020

PHP 7.4 bei goneo ab Anfang März 2020

Für die Kalenderwoche 10 / 2020 planen wir bei goneo ein umfangreiches Update aller Server, auf denen die Websites unserer Kunden untergebracht sind. Mit diesem Wartungszyklus wird neben vielen Aktualisierungen diverser Softwarekomponenten auch PHP 7.4 bei goneo implementiert. Ab dann wird PHP 7.4 verfügbar sein.

20. Januar 202021. Januar 2020

Sicherheitsprobleme mit WordPress-Plugins „DatabaseReset“, „WP Time Capsule“, „Infinite WP“

Verschiedene Quellen berichen aktuell von mindestens drei Sicherheistlücken in drei verschiedenen, oft eingesetzten WordPress-Plugins: DatabaseReset, WP Time Capsule und Infinite WP. Wer diese verwendet, sollte schnell updaten.

17. Dezember 201919. Dezember 2019

Deshalb brauchst du das Update auf WordPress 5.3.1 … nein 5.3.2 ! (aktualisiert)

WordPress hat Release 5.3.1 veröffentlicht. Viele Probleme wurden korrigiert. — Sicherheits-Update: Stelle sicher, dass deine WordPress-Installation nun die Releasenummer 5.3.1 hat.

Ganze 46 Bugfixes und Patches sind in das WordPress-Release 5.3.1 eingeflossen. Nun ist nur eineinhalb Tage später gleich das nächste Update mit der Nummer 5.3.2 hinterhergeschoben worden. Wichtig sind in 5.3.1 vier korrigierte Sicherheitsprobleme:

User ohne entsprechende Berechtigung konnten einen Post „sticky“ machen, so dass dieser stets oben angezeigt wurde. Dies war über die REST API mnöglich.
Cross-Site-Scripting (XSS)-Angriffe waren mit „well-crafted“, also entsprechend präparierten Links möglich.
Das wp_kses_bad_protocol() hat ein Update erfahren und wurde gegen Angriffe gehärtet.
Mit dem Block Editor und gespeicherten Inhalten waren unter Umständen ebenfalls XSS-Angriffe machbar.

Ansonsten gab es auch einige Fixes, die eher in die Kategorie „Stabilisierung“ fallen und nicht sicherheitsrelevant sind:

Verbesserung bei der Verwaltung von Form (Höhen- und Anordnungs-Kontrolle)
Ergänzung des entsprechenden Dashboard -Widgets durch einen Links zur Verwaltung eines alternativen Farbschemas (bessere Zugänglichkeit)
Lösung von Javascript-Problemen bein Edge-Scrolling
Bei gebundleten Themes kann man nun entscheiden, ob die Autoreninfos (Bio) angezeigt werden sollen.
Das Javascript-basierte smooth Scrolling wurde nun auf CSS umgestellt.
Beseitigung von CSS-Darstellungsproblemen bei Einbettungen von Instagram-Elementen
Verbesserung der Berechnung und Darstellung von nicht-GMT-Datenangaben
Stabilisierung der make get_permalink()-Funktion bei Zeitzonenänderungen in PHP
Entfernung von CollegeHumor (oEmbed Provider) – diesen Service gibt es nicht mehr
Update der sodium_compat-Bibliothek (Krypto-Funktionen in PHP)
Verbesserung bei Site Health: Die Intervalangaben für Erinnerungen per Mail können nun gefiltert werden
Gleichnamige Thumbnail-Uploads überschreiben nun keine existierenden Dateien mehr
Bilder im PNG-Format werden von einer automatischen Skalierung nach Upload ausgenommen.
Die Administration der E-Mail-Prüfung bezieht sich nun auf die Userangaben, nicht auf die hinterlegte Variable für die Website.

Wenn die automatische Updatefunktion nicht abgeschaltet ist, werden existierende WordPress-Installationen dieses Release automatisch einspielen. Wer sichergehen will, überprüft auf dem WordPress-Dashboard die Installation. Dort lässt sich ein Updatelauf jederzeit auch manuell anstoßen.

Nun folgt eine weiteres „Maintenance Update“, wie wordPress.org sich ausdrückt, mit der Nummer 5.3.2:

get_feed_build_date() korrigiert fehlerhafte Daten besser
Bei Uploads ist die Handhabung bei Namenskolissionen von Dateien verbessert worden (in wp_unique_filename() )- Probleme traten wohl auf, wenn Groß- und Kleinschreibung verwendet wurde, aber das Dateisystem dies nicht unterscheidet.
Im Media-Manager wurde ein Problem in Verbindung mit PHP-Warnmeldungen in wp_unique_filename() gelöst (wenn das Zielverzeichnis nicht lesbar ist)
Ein Farbschemaproblem, das in Verbindung mit Buttons in der .active class auftrat, ist korrigiert
Bei wp_insert_post() wird der Unterschied zweier Versionen (bei Veröffentlichungsterminen in der Zukunft) nun korrekt berechnet.

31. Oktober 201931. Oktober 2019

Schütze dich: Zwei-Faktor-Authentifizierung für das goneo-Kundencenter

Ab sofort können goneo-Kunden den Zugriff auf das wichtige Kundencenter doppelt schützen. Zusätzlich zur Eingabe eines Passworts fragt das System nach einem weiteren Code, der auf einem anderen Kanal übermittelt wird, nämlich von einer App. Das schützt den Zugang vor böswilligen, unberechtigten Zugriffen.

30. September 201925. Oktober 2019

Vorsicht Phishing Mails

Es mehren sich die Anfragen von Kunden bei uns wegen E-Mails, die auf angeblich eingegangene Nachrichten im goneo-Postfach hinweisen. Der Empfänger wird aufgefordert einem Link zu folgen, der über diverse Weiterleitung auf fremde und offensichtlich gehackte Server leitet. Dort soll der User sich identifizieren, um seine angeblich eingegangenen Nachrichten zu lesen.

Diese Mails stammen nicht von goneo. Wir bitten alle, die eine solche Mail erhalten haben, diese als Spam zu behandelt und den enthaltenen Links nicht zu folgen.

Unser Kundendienst verfolgt die Angelegenheit, um den Missbrauch zu unterbinden.

11. Juli 201911. Juli 2019

goneo clickStart Updates für WordPress, Joomla, ownCloud, Drupal, Prestashop

goneo clickStart ist das Feature, mit dem unsere Webhosting- und Serverkunden in wenigen Minuten die aktuellste Version beliebter und häufig verwendeter Open-Source-Amwendungen aufsetzen können.

Das erspart das Herunterladen, Entpacken und grundsätzliche Konfigurieren. Natürlich kann die Anwendung an die eigenen Bedürfnisse noch angepasst werden und ein manuelles Installieren ist ohnehin möglich. Oft bietet die Nutzung von clickStart aber eine willkommene Abkürzung.

4. März 20192. August 2019

Wichtig: PHP 5.6 bei goneo nur noch bis 31.7.2019

Im Juli endet die Unterstützung für PHP 5.6 bei goneo.

Wer als Kunde von goneo noch eine oder mehrere Websites mit PHP 5.6 betreibt, sollte jetzt handeln. PHP 5.6 hat seit Jahresende 2018 den Status end of life. Das bedeutet: Die Herausgeber werden den Entwicklungszweig 5 nicht mehr weiterverfolgen und keine weiteren Versionen unter PHP 5 herausgeben.

27. Februar 201927. Februar 2019

Schütze dich auch vor schädlichen PDF-Anhängen

Fast jeder hat in vergangenen Spam-Wellen schon Mails mit einem Anhang erhalten. Die Betreffzeile suggeriert oft, dass es sich um eine Bestätigung für eine Bestellung handelt, deine eingegangene Zahlung oder Kontobelastung.

Mail mit drohendem oder extrem vielversprechendem Betreff?
Klicke nicht sofort auf den Mailanhang! Zähle erst langsam rückwärts: 10…0

In vielen Fällen handelte es sich um Anhänge mit Dateien im Word-„docx“-Format. Diese Anhänge sind toxisch, denn solche Word-Dateien können Makros enthalten, die auf dem Computer, auf dem sie geöffnet werden, ausgeführt werden. Zwar warnt die Word-Anwendung vor solchen Dateien, doch leider ist man als User schnell geneigt, diese Warnung zu ignorieren und einen fatalen Klick zuviel auszuführen.