Security umfasst bei SEYBOLD alle Maßnahmen, die für den Betrieb der Website notwendig sind. Das sind sowohl wiederkehrende Updates als auch das Beseitigen von Malware- oder sonstigen Angriffen. Der technische Bereich gliedert sich als Maintenance unterhalb des Sichtbarkeitsmanagements ein und bildet die Grundlage für die technische Funktionalität der Sichtbarkeit

WordPress Security: Dringendes Update auf 4.7.2 empfohlen

Ein Sicherheitsrelease, empfohlen für alle vorherigen Versionen, ist die Version WordPress 4.7.2, die ab sofort verfügbar ist.

WordPress-Versionen 4.7.1 und früher sind von drei Sicherheitsproblemen betroffen:

  • Der Zugriff auf Taxonomiebegriffe wird selbst Benutzern zur Verfügung gestellt, die dazu keine Berechtigung haben. Nutzen Sie Taxonomiebegriffe für SEO, sind darüber Begriffe platzierbar, die Negatives SEO erlauben.
  • WP_Query ist anfällig für eine SQL-Injection (SQLi), wenn Sie unsichere Daten übergeben. Zwar ist der WordPress-Kern nicht direkt anfällig für dieses Problem, aber gerade jetzt sollten nur Themes aus vertrauenswürdigen Quellen verwendet werden. Viele Theme-Hersteller haben auf dieses Problem nicht reagiert (!!). Plugins und Themes könnten daher versehentlich Sicherheitsanfälligkeiten verursachen.
  • Eine Cross-Site-Scripting-Sicherheitsanfälligkeit (XSS) wurde in der Posts-List-Tabelle entdeckt.

Klicken Sie auf „jetzt aktualisieren“, um die automatische Hintergrundaktualisierung von WordPress zu nutzen, wenn Sie sicher sind, dass alle Plugins und Themes mit dieser Version kompatibel sind. Alternativ sprechen Sie Ihren Dienstleister an, damit dieser die Kompatibilitäten prüfen kann.

Gerne übernimmt dies auch unser „Technical Department“ von BeeHosted für Sie.

WordPress 4.7.2 (bzw. die jeweils aktuellste Version) finden Sie hier.

 

Weitere Informationen:

Problemloses Upgrade für WordPress

34 Tipps für optimierte WordPress Security

Was Google über Sie weiß: Prüfen Sie Ihren digiralen Fußabdruck

Google Dashboard: Der Gesamtüberblick über Ihr Google-Konto

Einen Einblick in alle Informationen, die Google über Sie gespeichert hat, finden Sie im Dashboard.

Google Dashboard - Das weiß Google über Sie

Google weiß dabei nicht nur, welche Konten und Webseiten mit Ihrem Profil verbunden sind, sondern auch, wie viele Musiktitel Sie in Play Musik gespeichert haben und welche Titel Sie wie oft anhören. Oder wie viele Apps aus dem Playstore installiert wurden und welche die neueste App ist. Wo Sie wann waren und wie lange.

 

Google Preferences:
In diese Kategorien steckt Google Ihr Profil

Das Grundprofil, das Google von Ihnen hat beinhaltet zahlreiche Informationen wie z.B. das Alter, Geschlecht und Ihre Interessen. Mit diesen gesammelten Daten werden für Sie relevante Anzeigen in den Suchergebnissen und Apps ausgespielt. Google Preferences finden Sie hier.

 

Google Search History:
ALLE Suchbegriffe, nach denen Sie je gesucht haben

Jede einzelne Suche, ob via Voice oder via Browser, speichert Google an. Dazu werden die Anzeigen addiert, auf die Sie geklickt haben. Die Google Search History finden Sie hier.

Google Activity:
ALLE Geräte, die Sie mit Google nutzen

Google kennt jedes Gerät und jede IP-Adresse, von der aus Sie angemeldet sind. Über diese Funktion findet man auch einfach Missbrauch, wenn plötzlich eine Nutzung aus dem Ausland auftaucht, daher ist es empfehlenswert sich diese Informationen anzuschauen.

 

Google Permissions:
Diesen Add-Ons haben Sie den Zugriff auf Ihr Konto erlaubt

Berechtigungen für Dritt-Produkte und Apps können hier eingesehen werden. Jede Berechtigung kann an dieser Stelle leicht widerrufen werden. Die Liste zeigt alle Erweiterungen, die einen Zugriff auf Ihre Daten haben.

 

Google Location History:
Alle Orte, die Sie bereist haben

Wer ein Android-Smartphone nutzt, übermittelt seine Standortdaten an Google. Google weiß so sehr genau, wo Sie sind, wie lange Sie sich dort aufhalten und kann entsprechende Rückschlüsse ziehen. Wer sich zwei Stunden in einem Restaurant aufhält, hat dort vermutlich gegessen. Diese Einstellung kann unterbunden werden.

Sämtliche Standorte können in der Google Location History eingesehen und exportiert werden.

 

Google Takeout:
Alle persönlichen Daten kopieren und sichern

Die große Datenkrake Google bietet die Möglichkeit, alle persönlichen Daten von den Google-Servern zu kopieren. Dazu gehören Emails, Bookmarks (Lesezeichen), Kontakte, You-Tube-Videos, Fotos, Kontakte und zahlreiche weitere Google lässt euch alle persönlichen Daten von den Servern kopieren: Lesezeichen, E-Mails, Kontakte, Profilinformationen, YouTube-Videos, Fotos, Fitnessdaten, Bücher, Musik und vieles mehr.

Die Daten können hier heruntergeladen werden.

 

Google Support:
Daten aus Google löschen lassen

Wer Daten in Google findet, die dort nicht sein sollen, kann deren Löschung beantragen. Vor allem bei rechtlichen Problemen und persönlichen Gründen ist dies sehr sinnvoll. Eine Löschung von Informationen können Sie hier beantragen.

Webseiten mit verdächtigen Inhalten, wie z.B. Malware können bei Google mit diesem Formular gemeldet werden.

Problemloses Upgrade für WordPress

Wordpress-Logo

Quelle: wordpress.org

WordPress ist einerseits das beliebteste, durch die weite Verbreitung aber auch das am meisten angegriffene CMS.

Regelmäßige Updates sind deshalb nicht nur Pflicht, sondern erleichtern auch ein Upgrade, das umso problematischer wird, je mehr Abstand zwischen den Versionen liegt.

wordpress-1415678_1920

Die größten Probleme bei WordPress-Migrationen sind von Version 2.x auf 3.x bzw 4.x zu erwarten – auch im Hinblick auf das Webhosting.

Ab Version 3.5.2 empfiehlt sich die Verwendung des DUPLICATOR Plugins für WordPress, um eine komplette Kopie der Website herzustellen, die dann auf einem separatem System installiert werden kann.

Bei Versionen kleiner 3.5.2 sollte die Datenbank gesichert werden (z.B. über PHPMyAdmin einen entsprechenden SQL-Dump zu erstellen (Schritt für Schritt Anleitung findet sich auf Youtube, zum Beispiel hier) und die Dateien mittels FTP auf die Testumgebung zu übertragen.

Für den Ablauf des Upgrades sollte ein Standard-Theme eingeschaltet werden, also ein Thema, das in der Regel mit der bestehenden Version ausgeliefert wird und damit sicher kompatibel ist. Ebenfalls sollten alle Plugins deaktiviert werden.

Wurde das Thema nicht speziell für das Unternehmen angefertigt, sondern ein vorhandenes Thema umgestaltet, dann müssen die Änderungen gesichert werden, so dass diese nach der Aktualisierung des Themas wieder Verwendung finden.

Gerade die Vielzahl von Plugins für etablierte Systeme wie Joomla, Drupal oder WordPress führen oft zu einer extremen Häufung verwendeter Erweiterungen. Es müssen also alle Erweiterung daraufhin überprüft werden, in welcher Version sie verwendet werden dürfen. Bei WordPress ist das mittlerweile kein Problem mehr, da auf der Pluginseite bereits die Kompatibilität angezeigt wird.

WordPress Compatibility

WordPress zeigt die Kompatibilität zwischen den Versionen für Programm und Plugin an.

Die kompatible Version des Plugins sollte heruntergeladen werden, um sie zu einem späteren Zeitpunkt für die Aktualisierung bereitzuhalten.

Sofern nicht die neueste WordPress-Version verwendet werden kann, bietet das Archiv auch ältere Versionen an.

Nach diesen Vorbereitungen können auf dem Kopie-System die folgenden Dateien und Verzeichnisse gelöscht werden:

Verzeichnisse: wp-admin, wp-includes (aber nicht das Verzeichnis wp-content, da sich hier die Inhalte befinden)

Dateien: alle außer wp-config.php und .htaccess (und natürlich die sitemap.xml und robots.txt auch nicht löschen)

Sicherheitsschlüssel

Bevor die neue Version installiert werden kann, sollte geprüft werden, ob die Anzahl der Sicherheitsschlüssel in der wp-config.php exakt der Anzahl der Sicherheitsschlüssel der neuen Version entspricht. Wenn nicht, müssen die acht Zeilen aus der wp-config-sample.php in die wp-config.php eingefügt werden. Noch besser wäre es, eigene Schlüssel zu generieren.

Bei einem Upgrade von 2.x auf 4.x empfehlen sich gegebenfalls Zwischenschritte (von 2.8.4 auf 2.9, dann auf 3.0.4, dann auf 3.1.3 etc.), um einen Stand zu erreichen, von dem aus problemlos ein Upgrade durchgeführt werden kann.

Dann wird die neue Version installiert indem die Systemdateien via FTP auf den Webspace geladen werden. Eine Aktualisierung der WordPress-Datenbank wird über http://www.namedersite.de/wp-admin/upgrade.php vorgenommen.

wordpress

Im Idealfall ist das Backend jetzt erreichbar und es können die einzelnen Plugins hochgeladen und anschließend eines nach dem anderen aktiviert werden. Nach jeder Aktivierung sollte geprüft werden, ob WordPress noch funktioniert oder Fehlermeldungen ausgibt. Inkompatibilitäten zwischen den Plugins können nicht ausgeschlossen werden.

Erst wenn alle Plugins funktionieren, wird zuletzt das Theme aktualisiert und aktiviert – jetzt wird erkennbar, ob am Theme noch wichtige Änderungen vorgenommen werden müssen oder ob das fertig für den produktiven Einsatz ist.

Das fertige System kann wieder via Duplicator auf das Produktivsystem transferiert werden.

sicherheitsluecke-in-xtcommerce-veyton

Sicherheitslücke in xtCommerce – Dringendes Hotfix für Online Shop

Die Shopsoftware xt:Commerce/Veyton ist wieder einmal mit einer Sicherheitslücke in den Nachrichten.

Jedes Jahr mindestens einmal gibt es eine größere Sicherheitslücke bei diesem System.

2012 konnten beliebige Scripte in den Code eingeschossen werden.2013 war es eine persistente XSS Lücke und ein CSRF-Problem, mit dem ein Angreifer den Shop kapern konnte. Anfang 2014 waren 230.000 Kunden vor allem aus Deutschland und Österreich betroffen, als Kundendaten geklaut wurden, die aufgrund einer SQL-Injection-Schwäche in der Sofortkauffunktion abgegriffen werden konnten.

2015 ein weiterer Sicherheitshinweis auf ein schwerwiegendes Security-Problem mit der Version 4.1.00, das über einen Hotfix geschlossen werden musste (mit zahlreichen Problemen beim fixen, wie z.B. weißen Seiten nach dem Update und so weiter).

Jetzt 2016 hat xtCommerce in der Version 4.x wieder mal ein großes Sicherheitsrisiko, das in Verbindung mit einer möglichen Übernahme des Systems einhergeht. Spekulationen zufolge hängt das zusammen mit der Anforderung eines neuen Passworts über das System.

Details werden aus Sicherheitsgründen derzeit nicht veröffentlicht, aber alle Anwender sind angehalten bei den Versionen 4.1.00, 4.1.10 und 4.2.00 entsprechende Updates vorzunehmen.
Dieser Patch hat sehr hohe Priorität und sollte dringend von jedem xt:Commerce Anwender eingespielt werden:
Version 4.2.0
Version 4.1.1
Version 4.1.0

 

sicherheitsluecke-in-xtcommerce-veyton

WordPress Stored XSS Sicherheitslücke schließen

WordPress – Stored XSS – Dringende Sicherheitsupdates – jetzt durchführen

Administratoren des Content Management Systems WordPress sind derzeit im Dauerstress. Die Updates geben sich im Moment die Klinke in die Hand. Gerade erst kam das Update auf WordPress 4.2, das wichtige Sicherheitsupdates enthielt, kaum kommt wenige Tage später das Update auf 4.2.1, das weitere Sicherheitslöcher stopft.

Welche Gefahren drohen bei WordPress derzeit?

WordPress ist mit über 6 Millionen Installationen weltweit das meistgenutzte Content Management System. Das bringt mit sich, dass zahlreiche Angriffsversuche auf dieses System unternommen werden.

Eine neu entdeckte Sicherheitslücke ermöglicht das Einschleußen von JavaScript-Code über die Kommentarfunktion mit Hilfe von Stored Cross Site Scripting (Stored XSS). Darunter versteht man eine HTML-Injektion, mit deren Hilfe Daten verändert werden können.

Die am weitesten verbreitete Angriffspunkte bieten Kommentarfunktionen und Eingabeformulare einer Website.

Wenn sich nun ein Administrator in das System einloggt und sich eine mit schadhaftem Code versehene Nachricht außerhalb des Administrations-Backends anzeigen lässt, kann das Administrationskonto übernommen werden – ein Angreifer erhält die komplette (!!) Kontrolle über die WordPress Installation.

 

 

Das Update auf 4.2 wurde gemacht. Bin ich sicher?

Nein. Das Update auf 4.2.1 muss separat eingespielt werden.

 

Welche Möglichkeiten gibt es, solche Gefahren schnell in den Griff zu bekommen?

Gerade für kleine und mittelständische Unternehmen bedeutet die permanente Pflege der Seiten einen großen (vor allem zeitlichen) Aufwand. Mit entsprechenden Serviceverträgen, wie auch wir diese anbieten, kann schnell auf solche Updates reagiert werden. Das ist vor allem immer dann sinnvoll (und wichtig), wenn eine Vielzahl von Plugins und AddOns verwendet werden. Der zeitliche Faktor ist immens wichtig, denn eine übernommene Website kostet mehr (Geld, Reputation).

 

Ist nur das CMS von solchen Problemen betroffen?

Prinzipiell ist der KERN des Content Managementsystems noch die sicherste Komponente. Je nachdem, wie viele AddOns, Plugins oder spezielle Themes installiert sind, können vermehrt weitere Sicherheitslücken auftreten. Daher ist es ratsam, nicht jedes Theme zu verwenden, sondern sich ein professionell genutztes Theme entweder programmieren zu lassen (kleinere Verbreitungsmenge, kleinere Angriffsfläche) oder aber auf professionell erstellte Frameworks zurück zu greifen, die den Vorteil bieten, dass solche Angriffsflächen schnell (durch den Anbieter) repariert sind und zur Verfügung gestellt werden.

Für Dauersparer eher schwierig… denn plötzlich kostet Website Geld… und Sicherheit ist nicht umsonst.

 

Bitte reagieren Sie schnell und dringend auf die Updates. Auch ein Update der Theme-Hersteller, die bereits per E-Mail ihre Kunden informieren, ist wichtig.

 

 

 

Website gehacked? So werden sie wieder sichtbar

Gerade über den Zeitraum einer längeren Ferienzeit werden Internetseiten gerne gehacked oder aber für die Verbreitung von Viren und Spam „freigeschaltet“ mit der Absicht, die übernommene Website möglichst lange nutzen zu können (z.B. Weihnachtszeit: Hier wird oft erst nach dem 7. Januar bemerkt, dass eine Website bereits vor Heiligabend übernommen wurde, siehe auch diesen Artikel über Website-Hacking).

 

Wie weiß man, ob eine Website gehackt wurde?

Wenn im Zusammenhang mit der Website einer dieser Punkte auffällt, ist die Wahrscheinlichkeit, dass die Unternehmensseite gehackt wurde, sehr hoch.

Ihre Website wurde gehackt, Quelle Google

Ihre Website wurde gehackt. Quelle Google: http://www.google.com/webmasters/hacked/

Meist kann man selbst nicht erkennen, dass die Website von Cyber-Kriminellen manipuliert wurde, doch jeder, der die betreffende Website besucht, kann infiziert und geschädigt werden. Wenn ein Hacker eine solche Seite infiziert hat, kann diese zur Versendung von Spam genutzt werden. „Wenn Hacker beispielsweise eine Website mit Schadcode infiziert haben, der Tastenanschläge auf den Computern der Website-Besucher aufzeichnen kann, und der Website-Inhaber hat diese Aktion nicht bemerkt, können die Hacker Anmeldedaten für Online-Banking oder finanzielle Transaktionen stehlen.“ (Quelle: Google)

Was soll man tun, wenn eine Seite gehackt wurde?

Zunächst gilt es herauszufinden, wie und warum die Website gehackt wurde.  Das ist ausschlaggebend, um herauszufinden, wie die Vorgehensweise zur Wiederherstellung der Website und Entfernung der Warnung für die Nutzer in Google & Co beseitigt werden kann.

Wie umfangreich die Wiederherstellungszeit ist, hängt vom Ausmaß des Schadens ab. Viele Hoster bieten einen Backup-Service an. Möglicherweise gilt dieser Punkt als erster Ansatz für die Wiederherstellung.

Website offline nehmen und Hoster kontaktieren

Nehmen Sie Website vom Netz (temporarily offline) mit einem entsprechenden Hinweis. Dies kann z.B. der Maintenance-Modus des CMS sein oder – besser noch – eine Manuell erstellte Warnung. Sämtliche Verbindungen zum verseuchten Inhalt sollte unterbunden werden. Informieren Sie dann unbedingt Ihren Hoster, damit dieser geeignete Maßnahmen ergreifen kann.

Identifizieren der Schwachstelle

Grundsätzlich ist es wichtig, festzustellen, wie und wo der Hacker die Seite infizieren konnte. Hat der Hacker die FTP-Daten? Nutzte er eine Schwachstelle, weil das Unternehmen eine mega-veraltete Version des CMS benutzt? Aus der Analyse dieses Punktes ergibt sich der Plan zur Wiederherstellung.

Möglicherweise haben Sie aber auch eine Warnmeldung in Google Webmaster Tools erhalten, dann sind dort oft die betroffenen Bereiche bereits identifiziert.

Prüfen, ob es unverseuchte Backups gibt

Gibt es Datensicherungen? Sind diese Virenfrei bzw. bei welchem Stand kann „sicher“ gesagt werden, dass es sich um einen schadfreien Stand der Website handelt?

Achtung! Es ist notwendig sowohl die Dateien, als auch die Datenbank zu prüfen. Möglicherweise wurde schadhafter Code in die Datenbank injiziert. Das ist sehr aufwändig, aber unbedingt notwendig, um Schwachstellen zu beseitigen.

Viren- oder Trojaner-Befall der eigenen Systeme beseitigen

Scannen Sie alle in Frage kommenden Systeme mit einem neuen, bislang noch nicht genutzten Anti-Virus-Software-Produkt. Ihre bisherige Antivirus-Software konnte nicht warnen, deshalb eine neue Software. Ein Scan sollte auf allen Systemen durchgeführt werden. Besonders die Systeme mit Online-Zugang, Banking, Bedienungsterminals für die Website und so weiter, sollten ganz besonders berücksichtigt werden.

Prüfung wie Google

Die www-Version der Website und die nicht-www-Version der Website sollte überprüft werden. Während http://domain.de und http://www.domain.de so scheinen, als wären es die selben Seiten, unterscheidet Google hier zwischen der „Root-Domain“ (http://domain.de) und der „Subdomain“ (http://www.domain.de).
Eine Überprüfung der Seite, so wie sie durch Google gescannt wird, ist notwendig. Das geht über die Webmaster-Tools (fetch as Google-Tool).

Mit dieser Maßnahme kann der „Aufenthaltsort“ des schadhaften Codes auf der Website gefunden werden.

Meist nutzen Hacker die .htaccess Datei, um Besucher von Suchmaschinen kommend, auf bestimmte Inhalte zu lenken. Auffällig könnte der folgende Code in einer .htaccess-Datei sein (Quelle: Beispiele von gehackten Seiten in Google Webmasterblog):

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_USER_AGENT} (google|yahoo|msn|aol|bing) [OR]
RewriteCond %{HTTP_REFERER} (google|yahoo|msn|aol|bing)
RewriteRule ^([^/]*)/$ /main.php?p=$1 [L]
</IfModule>

Änderung aller Passworte

Alle Zugriffe zur Website sollten verändert werden, ebenso Ihre Zugänge zu allen sonstigen Produkten, wie Banking, Social Media-Sites (Facebook, Twitter, Google) und alle wichtigen internen Passwörter. Änderung Sie auch die Zugriffscodes auf Hardware, wie z.B. interne Rooter oder Proxy-Server.

Entfernung des schadhaften Codes

Gibt es kein Backup, das eingespielt werden kann, muss der schadhafte Code manuell entfernt werden.

Jetzt sollte das Content Management System auf die neueste Version upgedated werden und die Schwachstellen, die dem Hacker Angriffsmöglichkeiten geboten haben, beseitigt werden. Zukünftig MUSS die Website gepflegt und gewartet werden. Meist benötigt es bei vielen Unternehmen genau einen solchen Vorfall, bevor tatsächlich die Notwendigkeit für solche Maßnahmen Geld auszugeben, erkannt wird.

Website zur Überprüfung an Google melden

Wenn Sie eine Benachrichtigung in den Webmaster Tools erhalten haben, kann jetzt über diese eine Prüfung der Website beantragt werden. In der Regel geschieht dies innerhalb weniger Stunden und dann erhalten Sie eine entsprechende Bestätigung von Google.

Phisihing-Prüfungstool

Es ist auch möglich, das entsprechende Tool von Google zu verwenden, mit dem ein Bericht erstellt wird, dass die Webseite wieder sicher besucht werden kann. https://www.google.com/safebrowsing/report_error/

 

Sicherheitsmaßnahmen für die Zukunft

Um künftige Infizierungen vermeiden zu können, sollte entsprechende Maßnahmen getroffen werden.

  • Vermeiden Sie das FTP-Protokoll. Bei diesem wird weder das Passwort verschlüsselt, noch der übertragene Inhalt. Verwenden Sie stattdessen das SFTP-Protokoll.
  • Prüfen Sie die Berechtigungen bei wichtigen Dateien, wie z.B. .htaccess, config.php und anderen. Solche Dateien können immer Anlaufstelle sein für neue Hacks, wenn diese Dateien lesbar oder schreibbar sind.
  • Überprüfen Sie regelmäßig die Benutzer der Administrativen Oberfläche nach seltsamen (oder neuen) Benutzern, die ggf. Ihre Website modifizieren könnten.
  • Gewöhnen Sie sich an den Gedanken, dass eine regelmäßige Pflege Ihrer Website zwar Geld kostet, aber dringend notwendig ist, wie die Hauptuntersuchung Ihres Autos. Nach diesem Vorfall sollten Sie gelernt haben, dass es wesentlich teurer ist, eine gehackte Website wieder zum Laufen zu bringen, ganz geschweige vom Reputationsverlust und den entgangenen Geschäften.

 

Was tun, wenn trotz Bestätigung der Beseitigung schadhaften Codes noch immer in den Suchergebnissen auf eine infizierte Website hingewiesen wird?

Auch Google macht Fehler und hat das sogar selbst festgestellt. John Mueller (Google) schreibt auf seiner Google+ Website, dass es verschiedentlich zu Falschklassifizierungen von Webseiten gekommen ist. (Quelle: Website gehackt? Dokument von Google)

In einem solchen Fall kann über ein Antrag direkt bei Google die Beseitigung dieser Falschklassifizierung beantragt werden. Das entsprechende Dokument findet sich hier: https://docs.google.com/forms/d/11ja4RG490nWbbcHdn-g22l5kBsrRJjn3mbHzjcnHcYY/viewform

 

Anlaufstellen für Hilfe:

 

(Beitragsbild ist eine Montage aus einem Bild von Schorndorf und dem Raumschiff aus ID4, Bildrechte am Raumschiff bei Centropolis Entertainment)

Fernwartung

Für den Fall, dass wir via Fernzugriff Informationen mit Ihnen teilen müssen, starten Sie bitte mit dem Button unten die Fernwartung.

Wir werden Sie im Anschluß nach Ihrer ID-Fragen.

 

Weihnachten 2014 – HACKERALARM

Weihnachten2014 – Hackerangriff unterm Weihnachtsbaum. Während andere selig ruhn, werden Trojaner, Spam und Viren verbreitet.

Welches ist die beste Jahreszeit für Hacker und Spammer? Richtig, die Weihnachtszeit.

Pünktlich zur Weihnachtszeit wurden wieder zahlreiche Websites gehackt und über die so übernommenen Webseiten SPAM verteilt (oder schlimmeres).

Bereits am 16.12. hatte T3N gewarnt. SOAKSOAK befällt zahlreiche WordPress-Installationen, aber auch zahlreiche andere Systeme sind so hoffnungslos veraltet, dass es nur eine Frage der Zeit ist, bis dieses Systeme geknackt und übernommen sind.

In der Mittelstandsstudie von SEYBOLD – Agentur für Sichtbarkeit, die bereist im September/Oktober ca. 4000 Unternehmen des Mittelstands untersucht hat, wurde bereits berichtet, dass 17% aller untersuchten Webseiten große Sicherheitslücken besitzen.
(Die Studie kann hier heruntergeladen werden: Mittelstandsstudie 2014 Webnotstand)

Pünktlich zum 19. Dezember haben wir die Agentur geschlossen, um bis zum 7. Januar als Agentur für Sichtbarkeit einfach mal UNSICHTBAR zu sein, zu relaxen und zu entspannen.

Leider ist aber die beste Jahreszeit für Hacker und Spammer eben genau diese Zeit:

Weihnachten: IT-Abteilung im Urlaub, Unternehmensführung im Urlaub, Webseiten werden schlecht oder gar nicht überwacht, Spezialisten für IT-Sicherheit und Web-Sichtbarkeit sind in Urlaub… Das ist die beste Zeit. Idealerweise können solche Systeme zwischen dem 20.12. und dem 07.01. meistens unbemerkt für die Verbreitung von Viren, Backdoors, Trojanern und Spam verwendet werden. Den Unternehmen fällt das erst auf, wenn diese wieder aus dem Urlaub zurück sind… und selbst dann haben die bösen Wichte noch Stunden oder Tage, bis das System abgeschaltet oder wieder auf dem aktuellen, gesicherten Stand ist…

Folglich: Es hat nur kurz gedauert bis der Urlaub unterbrochen werden musste, denn über Weihnachten haben wir zwei Kunden von Malware-Attacken befreien müssen: Eine WordPress-Installation und eine Joomla-Installation. Teurer Einsatz im Vergleich zu regelmäßigen Updates und Security-Patches. Auch hier kann ich meine Kunden nicht im Stich lassen, trotz Weihnachtsgans und fröhlichen Kinderaugen…

Nur… Das ist weder normal noch selbstverständlich. Deshalb ist es wichtig, dass Sie unter dem Jahr bereits für aktuelle und sichere Systeme sorgen… Ich wüsste da ja auch schon einen Ansprechpartner 🙂

Es zeigt sich leider immer mehr, dass ein frühzeitiges Einhalten der Updatepfade immer wichtiger wird. Umso wichtiger für das neue Jahr: Alle Plugins und Content Management Systeme sollten up-to-date gehalten werden. Oder besser noch: Gleich rechtzeitig einen Pflegevertrag mit einem Spezialisten vereinbaren.

 

Photographer: Don McCullough License: Attribution License: http://creativecommons.org/licenses/by/2.5/

Joomla, WordPress, Typo3 Update – Warum ist das so wichtig?

Warum ist das Update eines Content Management Systems, wie z.B. Joomla, WordPress, Typo3 und anderen so wichtig?

Für viele Unternehmen ist der Ausflug in die Webwelt (leider) noch immer ein übles Muss. „Man muss halt dabei sein, bei dem Internet“, so denken viele. Selbst im Mittelstand, wie ich durch eine umfassende Recherche von ca. 4000 Webauftritten des süddeutschen Mittelstands teilweise mit großer Überraschung feststellte.

Es gibt mittelständische Unternehmen, die vertrauen doch tatsächlich auf DIY-Baukästen oder aber arbeiten mit hoffnungslos veralteten Versionen des Content Management Systems.

Gerade aber dieses CMS ist das Herzstück des Internetauftritts. Wird dieses nicht gepflegt, können Sicherheitslücken, die jedes Softwaresystem hat, nicht gestopft werden.

Die heutigen Systeme erfahren spätestens alle drei Monate ein umfangreiches Update. Sei das Typo3 oder WordPress, das spielt dabei keine Rolle. Sehr häufig werden auftretende Sicherheitslücken dabei geschlossen.

Mit dem Einsatz von Plugins und AddOns erhöht sich die Gefahr, auf dem eigenen System eine Sicherheitslücke zu beherbergen.

Untersuchung von ca. 4000 Webseiten zeigt veraltete und unsichere Systeme - kostenloser Download

17% aller installierten CMS haben auf den ersten Blick Security-Probleme, 21% der installierten CMS sind veraltet…. Das sind die Ergebnisse der SEYBOLD STUDIE MITTELSTAND. Diese Studie können Sie herunterladen unter: https://seybold.de/studie-2014-mittelstand-sichtbarkeit-fehleranfaellige-webseiten/ (oder einem Klick auf diese Grafik)

Ob Google derzeit eine Bewertung des veralteten Systems in das Ranking einfließen lässt, ist nicht bekannt. In jedem Fall ist es für Google sehr einfach, veraltete System zu erkennen.

Im Rahmen der SEYBOLD STUDIE MITTELSTAND 2014 haben wir über 3.800 Systeme analysiert. Erschreckender Weise sind 17% mit offensichtlichen Sicherheitsproblemen behaftete Systeme und 21% der Systeme total veraltet. 11% sind Agentur CMS, also verschleiert. Welche Probleme hier lauern, kann man nur erahnen. Lediglich 34% der Systeme sind aktuell bzw. 17% statisch. Das heißt, dass dort eine Anfälligkeit reduziert ist.

Das heißt aber auch, dass fast die Hälfte aller Systeme kleinere bis schwerwiegend große Sicherheitslücken aufweisen.

So hackt man Joomla

Das Negativ-Beispiel Joomla ist eines, das mir persönlich immer wieder begegnet. Sei es dadurch, dass ein verzweifelter Betreiber einer Website mich kontaktiert: „Hilfe, Strato schaltet mein System ab, weil sogar meine Backups verseucht sind. Mir ist einfach nicht aufgefallen, dass meine Joomla-Webseite übernommen wurde…“

Die Wiederherstellungskosten für einen solchen Fall belaufen sich schnell in mehreren Tausend Euro.

Schwachstellen finden bei Joomla

Der klassische Fall: Joomla 1.5 läuft auf einer Vielzahl von Unternehmenswebseiten, die bereits vor Jahren installiert wurden. Sehr selten haben diese Systeme ein Update oder Security Patch erhalten.

Ein solches System ausfindig zu machen, ist sehr einfach. Es muss lediglich Google dazu verwendet werden, diese Version auf einem System ausfindig zu machen.

Die Vielzahl der Joomla-Installationen nutzen bestenfalls Joomla 1.5.26. Warum ist schnell erklärt: Das Update von Joomla 1.5.26 auf Joomla 2.5 ist ein sehr aufwändiges und nicht einfaches. Erfahrung vorausgesetzt wird es trotzdem nicht günstig. Und günstig ist das Zauberwort bei den meisten Unternehmen, die Joomla installiert haben.

Günstig ist tödlich.

Joomla 1.5.26 hat zahlreiche Sicherheitslücken. Eine davon ist der TinyMCE-Editor, der verwendet wird, um die Inhalte der Webseite zu schreiben.

Unternehmensseiten, die also eine solche veraltete Version nutzen, laufen Gefahr, dass die Seite gehackt wird. Derzeit passiert das noch immer bei Joomla – Tag für Tag und wiederholt. (Quelle: itoctopus – Is Joomla 1.5.26 still secure?)

security Issues bei WordPress Joomla Typo3 und anderen

Seit Jahren gibt es Suchmaschinen, die nur darauf ausgelegt sind, die Schwachstellen von Systemen zu sammeln. Und dabei rede ich nicht nur von Schwachstellen in Content Management Systemen wie Joomla, WordPress oder Typo3.

Sicherheitslücken aufspüren mit Shodan

Die Suchmaschine Shodan ist für alle, die bei Google nicht das finden, was sie suchen. Google interessiert sich für URLs. Shodan für die mit dem Internet verbundener Geräte und Dienste. Solche Informationen sammelt Shodan. Jeden Monat über 500 Millionen Informationen (!!)

Dazu gehören Home-Systeme, Ampelanlagen, Sicherheitskameras, aber auch so obskure Dinge, wie Kontrollsysteme für einen Wasser-Fun-Park, eine Tankstelle, den Weinschrank eines Hotels oder eines Krematoriums.

Jedes Gerät ist häufig aus Bequemlichkeit (und zu Servicezwecken) mit dem Internet verbunden – und dadurch ist es anfällig für Hacker-Angriffe.

Über die bei Shodan gefundenen Informationen lassen sich Autowaschanlagen ein- und ausschalten, Eishockey-Spielflächen kurz vor dem Spiel abtauen, sogar ganze Verkehrskontrollsysteme ausschalten – bis hin zu den mit dem Internet verbundenen Fahrzeugen und Flugzeugen. Nicht auszudenken, welche Art von Unfällen und Terror in Zukunft auf uns warten. (Vgl.: CNN Money: Shodan – The scariest search engine on the Internet)

Wie kommt es dazu, dass solche Sicherheitslücken nicht geschlossen werden?

Bei Geräten (z.B. auch CNC Maschinen etc.) ist der Servicegedanke im Vordergrund. Man denkt nicht daran, dass man Probleme bekommen könnte. Und genau das ist auch das Problem bei Joomla-Unternehmensseiten.

Die Unternehmen denken nicht daran, dass sie im Zentrum eines Angriffs stehen könnten. Der Webauftritt wurde damals einfach „günstig“ realisiert, weil man „eben im Internet sein muss“. 

Die Webseiten sind zum Teil mehr als fünf Jahre alt. Eigentlich haben sie sich als Werbemittel schon lange, lange bezahlt gemacht. Trotzdem scheut man das Relaunch, weil mit Kosten verbunden, die aber gerade nicht ins Budget passen. Marketing passt nie ins Budget. Passen aber Sicherheitsprobleme ins Budget?

Würde man ein Fahrzeug mit steckendem Schlüssel und laufendem Motor stehen lassen, die Fahrertür weit geöffnet und innen behaglich einladend geheizt?

Nein.

Warum sorgen dann Unternehmen nicht dafür, ihr veraltetes System auf den aktuellen Stand zu bringen?

Weil sie es nicht wissen. Man muss nur in Shodan nach Joomla-Exploits suchen und findet sie, die Sicherheitslücken. Einschließlich der Informationen, wo man den Hebel ansetzen muss, um ein solches System zu knacken. Dort finden sich sechs Bildschirmseiten voll mit Sicherheitslücken nur für Joomla 1.5! 

Eine Umfrage von Kaspersky Labs gemeinsam mit B2B International ergab, dass mittelständische Unternehmen mit rund 41.000 Euro Kosten pro Schaden verursachendem Angriff rechnen müssen. Dabei wurden von der Studie lediglich die direkten Kosten herangezogen (Schließung der Sicherheitslücke, Einschränkung bei der Geschäftstätigkeit, Beseitigung der Störung durch interne und externe Spezialisten) sowie Kosten für präventive Maßnahmen zur Vermeidung ähnlicher Vorfälle. (Quelle: Kaspersky)

Es ist nicht nur Joomla, das Sicherheitslücken aufweist. Die Anzahl alter Systeme mit WordPress, Typo3, Contenido, Contao (TypoLight) und anderen Systemen steht dem in nichts nach. Freilich ist die Anzahl der unsicheren CMS bei Joomla besonders groß, eben weil das Update auf die nächste Version so aufwändig ist.

Im Rahmen eines Security-Updates auf die nächste Version kann also direkt auch darüber nachgedacht werden, die Seite zu erneuern, vielleicht sogar endlich für mobile Endgeräte auszulegen und neue Features und Dienstleistungen zu integrieren.

Es sollte gemacht werden.

Wer Interesse an der Studie hat oder nach dem Lesen dieses Artikels sein System entsprechend untersucht haben möchte, der wende sich gerne an mich.

Link: SEYBOLD STUDIE 2014 MITTELSTAND
Link: Kontakt zu SEYBOLD