Photographer: Don McCullough License: Attribution License: http://creativecommons.org/licenses/by/2.5/

Joomla, WordPress, Typo3 Update – Warum ist das so wichtig?

Warum ist das Update eines Content Management Systems, wie z.B. Joomla, WordPress, Typo3 und anderen so wichtig?

Für viele Unternehmen ist der Ausflug in die Webwelt (leider) noch immer ein übles Muss. „Man muss halt dabei sein, bei dem Internet“, so denken viele. Selbst im Mittelstand, wie ich durch eine umfassende Recherche von ca. 4000 Webauftritten des süddeutschen Mittelstands teilweise mit großer Überraschung feststellte.

Es gibt mittelständische Unternehmen, die vertrauen doch tatsächlich auf DIY-Baukästen oder aber arbeiten mit hoffnungslos veralteten Versionen des Content Management Systems.

Gerade aber dieses CMS ist das Herzstück des Internetauftritts. Wird dieses nicht gepflegt, können Sicherheitslücken, die jedes Softwaresystem hat, nicht gestopft werden.

Die heutigen Systeme erfahren spätestens alle drei Monate ein umfangreiches Update. Sei das Typo3 oder WordPress, das spielt dabei keine Rolle. Sehr häufig werden auftretende Sicherheitslücken dabei geschlossen.

Mit dem Einsatz von Plugins und AddOns erhöht sich die Gefahr, auf dem eigenen System eine Sicherheitslücke zu beherbergen.

Untersuchung von ca. 4000 Webseiten zeigt veraltete und unsichere Systeme - kostenloser Download

17% aller installierten CMS haben auf den ersten Blick Security-Probleme, 21% der installierten CMS sind veraltet…. Das sind die Ergebnisse der SEYBOLD STUDIE MITTELSTAND. Diese Studie können Sie herunterladen unter: https://seybold.de/studie-2014-mittelstand-sichtbarkeit-fehleranfaellige-webseiten/ (oder einem Klick auf diese Grafik)

Ob Google derzeit eine Bewertung des veralteten Systems in das Ranking einfließen lässt, ist nicht bekannt. In jedem Fall ist es für Google sehr einfach, veraltete System zu erkennen.

Im Rahmen der SEYBOLD STUDIE MITTELSTAND 2014 haben wir über 3.800 Systeme analysiert. Erschreckender Weise sind 17% mit offensichtlichen Sicherheitsproblemen behaftete Systeme und 21% der Systeme total veraltet. 11% sind Agentur CMS, also verschleiert. Welche Probleme hier lauern, kann man nur erahnen. Lediglich 34% der Systeme sind aktuell bzw. 17% statisch. Das heißt, dass dort eine Anfälligkeit reduziert ist.

Das heißt aber auch, dass fast die Hälfte aller Systeme kleinere bis schwerwiegend große Sicherheitslücken aufweisen.

So hackt man Joomla

Das Negativ-Beispiel Joomla ist eines, das mir persönlich immer wieder begegnet. Sei es dadurch, dass ein verzweifelter Betreiber einer Website mich kontaktiert: „Hilfe, Strato schaltet mein System ab, weil sogar meine Backups verseucht sind. Mir ist einfach nicht aufgefallen, dass meine Joomla-Webseite übernommen wurde…“

Die Wiederherstellungskosten für einen solchen Fall belaufen sich schnell in mehreren Tausend Euro.

Schwachstellen finden bei Joomla

Der klassische Fall: Joomla 1.5 läuft auf einer Vielzahl von Unternehmenswebseiten, die bereits vor Jahren installiert wurden. Sehr selten haben diese Systeme ein Update oder Security Patch erhalten.

Lesen Sie auch  34 Tipps für optimierte WordPress Security

Ein solches System ausfindig zu machen, ist sehr einfach. Es muss lediglich Google dazu verwendet werden, diese Version auf einem System ausfindig zu machen.

Die Vielzahl der Joomla-Installationen nutzen bestenfalls Joomla 1.5.26. Warum ist schnell erklärt: Das Update von Joomla 1.5.26 auf Joomla 2.5 ist ein sehr aufwändiges und nicht einfaches. Erfahrung vorausgesetzt wird es trotzdem nicht günstig. Und günstig ist das Zauberwort bei den meisten Unternehmen, die Joomla installiert haben.

Günstig ist tödlich.

Joomla 1.5.26 hat zahlreiche Sicherheitslücken. Eine davon ist der TinyMCE-Editor, der verwendet wird, um die Inhalte der Webseite zu schreiben.

Unternehmensseiten, die also eine solche veraltete Version nutzen, laufen Gefahr, dass die Seite gehackt wird. Derzeit passiert das noch immer bei Joomla – Tag für Tag und wiederholt. (Quelle: itoctopus – Is Joomla 1.5.26 still secure?)

security Issues bei WordPress Joomla Typo3 und anderen

Seit Jahren gibt es Suchmaschinen, die nur darauf ausgelegt sind, die Schwachstellen von Systemen zu sammeln. Und dabei rede ich nicht nur von Schwachstellen in Content Management Systemen wie Joomla, WordPress oder Typo3.

Sicherheitslücken aufspüren mit Shodan

Die Suchmaschine Shodan ist für alle, die bei Google nicht das finden, was sie suchen. Google interessiert sich für URLs. Shodan für die mit dem Internet verbundener Geräte und Dienste. Solche Informationen sammelt Shodan. Jeden Monat über 500 Millionen Informationen (!!)

Dazu gehören Home-Systeme, Ampelanlagen, Sicherheitskameras, aber auch so obskure Dinge, wie Kontrollsysteme für einen Wasser-Fun-Park, eine Tankstelle, den Weinschrank eines Hotels oder eines Krematoriums.

Jedes Gerät ist häufig aus Bequemlichkeit (und zu Servicezwecken) mit dem Internet verbunden – und dadurch ist es anfällig für Hacker-Angriffe.

Über die bei Shodan gefundenen Informationen lassen sich Autowaschanlagen ein- und ausschalten, Eishockey-Spielflächen kurz vor dem Spiel abtauen, sogar ganze Verkehrskontrollsysteme ausschalten – bis hin zu den mit dem Internet verbundenen Fahrzeugen und Flugzeugen. Nicht auszudenken, welche Art von Unfällen und Terror in Zukunft auf uns warten. (Vgl.: CNN Money: Shodan – The scariest search engine on the Internet)

Wie kommt es dazu, dass solche Sicherheitslücken nicht geschlossen werden?

Bei Geräten (z.B. auch CNC Maschinen etc.) ist der Servicegedanke im Vordergrund. Man denkt nicht daran, dass man Probleme bekommen könnte. Und genau das ist auch das Problem bei Joomla-Unternehmensseiten.

Die Unternehmen denken nicht daran, dass sie im Zentrum eines Angriffs stehen könnten. Der Webauftritt wurde damals einfach „günstig“ realisiert, weil man „eben im Internet sein muss“. 

Lesen Sie auch  Ranking Faktor Backlinks

Die Webseiten sind zum Teil mehr als fünf Jahre alt. Eigentlich haben sie sich als Werbemittel schon lange, lange bezahlt gemacht. Trotzdem scheut man das Relaunch, weil mit Kosten verbunden, die aber gerade nicht ins Budget passen. Marketing passt nie ins Budget. Passen aber Sicherheitsprobleme ins Budget?

Würde man ein Fahrzeug mit steckendem Schlüssel und laufendem Motor stehen lassen, die Fahrertür weit geöffnet und innen behaglich einladend geheizt?

Nein.

Warum sorgen dann Unternehmen nicht dafür, ihr veraltetes System auf den aktuellen Stand zu bringen?

Weil sie es nicht wissen. Man muss nur in Shodan nach Joomla-Exploits suchen und findet sie, die Sicherheitslücken. Einschließlich der Informationen, wo man den Hebel ansetzen muss, um ein solches System zu knacken. Dort finden sich sechs Bildschirmseiten voll mit Sicherheitslücken nur für Joomla 1.5! 

Eine Umfrage von Kaspersky Labs gemeinsam mit B2B International ergab, dass mittelständische Unternehmen mit rund 41.000 Euro Kosten pro Schaden verursachendem Angriff rechnen müssen. Dabei wurden von der Studie lediglich die direkten Kosten herangezogen (Schließung der Sicherheitslücke, Einschränkung bei der Geschäftstätigkeit, Beseitigung der Störung durch interne und externe Spezialisten) sowie Kosten für präventive Maßnahmen zur Vermeidung ähnlicher Vorfälle. (Quelle: Kaspersky)

Es ist nicht nur Joomla, das Sicherheitslücken aufweist. Die Anzahl alter Systeme mit WordPress, Typo3, Contenido, Contao (TypoLight) und anderen Systemen steht dem in nichts nach. Freilich ist die Anzahl der unsicheren CMS bei Joomla besonders groß, eben weil das Update auf die nächste Version so aufwändig ist.

Im Rahmen eines Security-Updates auf die nächste Version kann also direkt auch darüber nachgedacht werden, die Seite zu erneuern, vielleicht sogar endlich für mobile Endgeräte auszulegen und neue Features und Dienstleistungen zu integrieren.

Es sollte gemacht werden.

Wer Interesse an der Studie hat oder nach dem Lesen dieses Artikels sein System entsprechend untersucht haben möchte, der wende sich gerne an mich.

Link: SEYBOLD STUDIE 2014 MITTELSTAND
Link: Kontakt zu SEYBOLD

follow me

Ralf Seybold

Sichtbar statt SEO.

Inhaber bei SEYBOLD - Agentur für Sichtbarkeit, Begründer des Sichtbarkeitsmanagements, IT Professional seit 1989, Internet Professional seit 1998

Top 100 SEO Dienstleister

Autor verschiedener Publikationen, regelmäßig Experte bei IMPULSE - Das Unternehmermagazin, Experte bei Website Boosting,

Verschiedene Preise und Auszeichnungen für Dienstleistungen und Produkte

Verfügbar als Consultant, Dienstleister und fürSeminare, Vorträge
follow me

Letzte Artikel von Ralf Seybold (Alle anzeigen)