WordPress in Gefahr – cyon-Kunden sicher

Zur Zeit sorgt wieder eine Sicherheitslücke für Schlagzeilen, die Millionen von WordPress-Installationen für eine mögliche feindliche Übernahme öffnet.

Das Wichtigste vorweg: Unsere in diesem Jahr eingeführte Web Application Firewall (WAF) spielt ihre Stärke voll aus und schliesst diese Lücke für alle cyon-Kunden bereits serverseitig.

Wir verteidigen Ihr WordPress vor der aktuellen Sicherheitslücke.

Wir verteidigen Ihr WordPress vor der aktuellen Sicherheitslücke. Bildquelle.

Dennoch ist es wie immer ratsam, seine Installation aktuell zu halten und auf die inzwischen erschienene Version 4.2.2 von WordPress zu aktualisieren.

Lücke im Default-Theme Twenty Fifteen

Die gefundene XSS-Lücke findet sich im mitgelieferten Theme Twenty Fifteen, was praktisch jede Installation von WordPress verwundbar macht – auch wenn ein anderes Theme aktiv ist.

Die Lücke tritt auch an anderen Stellen auf, z.B. im beliebten Plugin Jetpack.

Bei der Sicherheitsfirma Sucuri, den Entdeckern der Lücke, finden sich weitere technische Hintergründe. Deutsche Quellen sind beispielsweise heise online oder Golem.de.

E-Mailprogramm einrichten wie von Zauberhand

Ein neues E-Mailkonto im gewünschten Programm einzurichten kann schnell mal zu einer frustrierenden Angelegenheit werden. Wie lautet der Benutzername? Und der Mailserver? POP3 oder IMAP? Verschlüsseln oder nicht? Fragen über Fragen, die den Geduldsfaden arg strapazieren können.

Wir haben uns hingesetzt und überlegt, wie wir dieses frustrierende Erlebnis für unsere Kunden lösen können. Herausgekommen ist unser neuer E-Mail-Zauberer, auf welchen wir zugegebenermassen ziemlich stolz sind und der Ihnen diese lästige Arbeit endlich abnimmt.

Vergessen Sie die technischen Details

Schlagen Sie sich nicht mit Servernamen oder Ports herum. Alles was der E-Mailzauberer wissen muss, ist die einzurichtende E-Mailadresse. Der Rest passiert wie von Zauberhand.

Geben Sie Ihre E-Mailadresse an und wählen Sie das gewünschte Programm.

Geben Sie Ihre E-Mailadresse an und wählen Sie das gewünschte Programm.

Outlook und Thunderbird: Check ✔️

Für die E-Mailprogramme von Microsoft und Mozilla geschieht die automatische Konfiguration sogar ohne E-Mailzauberer. Die Programme verfügen über eine Funktion welche versucht, die richtigen Einstellungen direkt vom Anbieter der E-Mailadresse zu beziehen. Dieses Verfahren wird von uns vollständig unterstützt. Wer mehr über diese Funktion erfahren möchte, findet unter dem Stichwort Autodiscover (Microsoft) bzw. Autoconfig (Mozilla) alle Details.

Apple Mail und iOS: Check ✔️

Apple löst das automatische Einrichten einer E-Mailadresse über sogenannte Profile. Unser E-Mailzauberer bietet Ihnen das passende Profil direkt zur Installation an. Alles was Sie tun müssen, ist mit Safari und Ihrem iPad, iPhone oder Mac unseren E-Mailzauberer zu starten. Mit einem Mac funktioniert natürlich auch jeder andere Browser – das Profil muss dann mit einem Doppelklick geöffnet werden.

Auf Apple-Geräten lassen sich  E-Mailkonten dank Profilen ganz einfach konfigurieren.

Auf Apple-Geräten lassen sich E-Mailkonten dank Profilen ganz einfach konfigurieren.

Falls Sie iCloud nutzen und die E-Maileinstellungen synchronisieren (standardmässig aktiviert), wird ein installiertes Profil auf allen Ihren Geräten automatisch aktiv. Einmal einrichten – auf jedem Gerät sofort nutzen: So einfach geht das.

Verschlüsselte Verbindung für alle: Check ✔️

Mit dem E-Mailzauberer liefern wir eine wichtige Komponente gleich mit: Verschlüsselte Verbindungen. Alle Programme, die Sie mit dem E-Mailzauberer konfigurieren, kommunizieren über eine sichere Verbindung mit dem Server.

Wo der E-Mailzauberer nicht automatisiert helfen kann, weil zum Beispiel das E-Mailprogramm nicht unterstützt wird, wird das Einrichten dennoch leichter: Tragen Sie als Posteingangs- und Postausgangsserver einfach überall mail.cyon.ch ein. Meldungen, dass das Zertifikat nicht mit dem Hostnamen übereinstimmt, gehören damit der Vergangenheit an.

Möchten Sie unseren E-Mailzauberer gleich ausprobieren? Hier geht’s lang: www.cyon.ch/support/mailwizard

Warum sind Sicherheitslücken eigentlich so gefährlich?

Seit letzter Woche sagen wir Sicherheitslücken ganz direkt den Kampf an. Dank dem neuen System können Sicherheitslücken nicht nur erkannt sondern auch sofort mit einem passenden Patch gestopft werden. So haben Angreifer keine Chance mehr, verwundbare Websites für ihre Zwecke zu missbrauchen.

Freude und Skepsis

Unsere Ankündigung, bekannte Sicherheitslücken nun automatisch den Garaus zu machen, hat so einiges an Reaktionen generiert. In den Kommentaren des Blogbeitrags finden sich erfreute aber auch besorgte Meinungen.

Viele positive Rückmeldungen haben wir per E-Mail erhalten. Generell wird geschätzt, dass eine oft aufwendige und bisher manuelle Arbeit nun durch den Computer ausgeführt wird.

Eine Menge Sicherheitslücken geschlossen

Die zahlreichen Reaktionen haben uns gezeigt, dass das Thema Sicherheit einen grossen Stellenwert besitzt. Und das ist auch gut so, denn Sicherheitslücken können enorme Schäden verursachen.

Zwischenzeitlich konnten wir insgesamt 164’425 Sicherheitslücken feststellen, welche nun dank dem neuen System keine Gefahr mehr darstellen. Knapp 20% aller gescannten Webhosting-Kunden waren durch eine Sicherheitslücke gefährdet.

Bis jetzt ist uns übrigens kein einziger Fall bekannt, bei dem es nötig war, einen angewandten Patch rückgängig zu machen.

Die Top-3 der Fragen zum neuen System

Aus den zahlreichen Rückmeldungen haben sich drei Fragen herauskristallisiert, die nach unserer Ankündigung noch unklar waren:

  • Wie werden Sicherheitslücken erkannt?
    Die Erkennung von Sicherheitslücken erfolgt über sogenannte Hashes von Dateien. So wird sichergestellt, dass nur unveränderte Dateien von Applikationen gepatcht werden. Manuelle Anpassungen bleiben also unberührt.

  • Wie wird gepatched?
    Die Patches werden «zielgenau» angebracht. Es werden also weder Updates gefahren noch einzelne Dateien überschrieben sondern nur diese Stellen im Code geändert, welche eine Sicherheitslücke schliessen.

  • Woher kommen die Patches?
    Die Patches kommen in der Regel direkt von den Herstellern der jeweiligen Applikationen. In Einzelfällen werden Patches auch selbst geschrieben, wenn z.B. eine Lücke bereits ausgenutzt wird und der Hersteller noch keinen Patch bereitgestellt hat.

Sie finden im passenden Supportcenter-Artikel ausserdem weitere Antworten auf häufig gestellte Fragen: Wie funktioniert das automatische Schliessen von Sicherheitslücken?

Was Sicherheitslücken anrichten können

Sicherheitslücken können mehr als nur einen bitteren Beigeschmack haben. (Bildquelle)

Sicherheitslücken können mehr als nur einen bitteren Beigeschmack haben. Bildquelle

Sicherheitslücken sind gefährlich, das lässt sich nicht wegdiskutieren. Aber warum eigentlich? Und wieso sollte ich davon betroffen sein? Dieses reale Beispiel soll ein wenig Licht ins Dunkle bringen:

Ursache

Im Dezember 2014 sorgte die sogenannte SoakSoak-Attacke für Aufregung. Die Sicherheitslücke in einem WordPress-Plugin war von vielen Website-Betreibern unentdeckt geblieben und dann in einem relativ koordinierten Angriff ausgenutzt worden.

Wirkung

Die Sicherheitslücke erlaubte es Angreifern, Schadcode in die betroffene Installation zu schleusen und so jeden Besucher der Website potentiell zu gefährden. Den genauen Angriffs-Vektor, den sich die Angreifer dabei zu Nutze gemacht hatten, haben die Spezialisten von Sucuri im Detail beschrieben.

Zum Teil waren Websites innert Sekunden erneut mit Schadcode infiziert worden, nachdem der ursprüngliche Code entfernt worden war. In solchen Fällen half dann nur noch die komplette Neuinstallation des betroffenen Content-Management-Systems.

Nachwehen

Gehackte Websites sind vor allem für deren Betreiber eine mühsame Angelegenheit. Aber auch unbeteiligte Dritte können von solchen Angriffen in Mitleidenschaft gezogen werden. Seien dies andere Kunden auf dem gleichen Server oder die Besucher einer betroffenen Websites, denen beim Aufruf Schadsoftware untergejubelt wird.

Hashtag #cmsnews

Das Fazit ist klar: Mit Sicherheitslücken ist nicht zu spassen. Aktualisieren Sie Ihr Content-Management-System deshalb regelmässig manuell oder nutzen Sie automatische Sicherheits-Updates, die viele Content-Management-Systeme inzwischen von Haus aus mitbringen.

Möchten Sie wissen, wenn für Ihr Lieblings-CMS eine neue Version erschienen ist? Folgen Sie uns auf Twitter, wo wir unter dem Hashtag #cmsnews über neue Versionen der beliebtesten CMS berichten.

Neue Domains im Mai: Zwei Tage die man sich merken sollte

Im Mai beginnt für insgesamt fünf neue Domainendungen die General Availability-Phase, sprich die Endungen gelangen in den öffentlichen Verkauf. Praktischerweise verteilen sich die Starts auf zwei Tage im Mai. Dabei sollten Sie sich vor allem den 20.05.2015 im Kalender anstreichen, wenn gleich vier neue Domainendungen ins Rennen gehen.

Startdaten der neuen Domainendungen im Mai

20.05.2015

Domain CHF EUR USD GBP
.bingo 59.90 45.90 61.90 37.90
.chat 39.90 29.90 41.90 25.90
.style 39.90 29.90 41.90 25.90
.tennis 59.90 45.90 61.90 37.90

27.05.2015

Domain CHF EUR USD GBP
.apartments 59.90 45.90 61.90 37.90

Wichtige Hinweise

Alle Preise gelten für eine Vertragsdauer von einem Jahr. Preisänderungen und Irrtum sind vorbehalten. Der verbindliche Preis wird Ihnen während einer Bestellung angezeigt.

Am angegebenen Datum beginnt die sogenannte General Availability-Phase, in der die Domains frei registriert werden können. Die meisten Domains werden um 17:00 Uhr Schweizer Zeit (CET) aktiviert. Die genaue Uhrzeit wird Ihnen am Tag der Verfügbarkeit auf unserer Domainseite angezeigt.

Bei der Registrierung gilt das Prinzip «First come – first served». Zögern Sie also nicht, Ihre Lieblings-Domains gleich ab Verfügbarkeit zu registrieren, bevor jemand anderes schneller ist.

Endlich Schluss mit Sicherheitslücken: Wir patchen automatisch

Sie mussten es vielleicht auch schon mit Schrecken feststellen: Fremde haben sich Zugriff zu Ihrer Website verschafft, Schadsoftware hochgeladen und wenn es ganz blöd kam, auch noch Ihr Webhosting für den Versand von Spam missbraucht. Ein solches Szenario ist heutzutage (leider) nicht aussergewöhnlich.

Der mit Abstand häufigste Grund dafür, weshalb es überhaupt so weit kommen kann: Sicherheitslücken in Content-Management-Systemen, Plugins und Themes.

Wir schliessen Sicherheitslücken automatisch

Wir legen ab heute einen Schutzmantel über unsere Webhosting-Server, der Ihre CMS-Installationen im Auge behält und bekannte Sicherheitslücken automatisch schliesst. Dank zielgenauen Patches merken die Besucher Ihrer Website nichts davon.

Automatische E-Mails und eine übersichtliche Verwaltung im my.cyon-Konto sorgen dafür, dass Sie immer wissen, wie es um die Sicherheit Ihrer Website steht. Geniessen Sie also lieber das schöne Wetter anstatt sich mit Sicherheitslücken, gehackten Websites oder sogar einem gesperrten Webhosting herumzuschlagen.

Wir schützen Ihre Website, geniessen Sie den Sommer.

Wir schützen Ihre Website, geniessen Sie den Sommer.

Das Rundum-Sorglos-Paket

Falls sich doch einmal Schadsoftware (sogenannte Malware) auf Ihrem Webhosting befindet, müssen Sie sich ebenfalls keine Sorgen machen. Das neue System schliesst nicht nur Sicherheitslücken, sondern verschiebt auch Malware automatisch in Quarantäne. Das Risiko, dass sich Besucher auf Ihrer Website ungewollte Software einfangen oder Ihr Webhosting Teil eines Botnetzes wird, sinkt damit drastisch.

Zu guter Letzt informieren wir Sie auch, wenn auf Ihrem Webhosting veraltete Applikationen installiert sind. So können Sie rechtzeitig dringend nötige Updates einspielen und bleiben Angreifern immer einen Schritt voraus.

Beliebte CMS besonders gefährdet

WordPress und Joomla sind die beiden beliebtesten Content-Management-Systeme unserer Kunden. Das macht diese Systeme auch für Angreifer attraktiv. Nebst den beiden Favoriten schliesst unser System ausserdem Sicherheitslücken in Drupal und osCommerce. Weitere Applikationen werden folgen.

Für viele Applikationen erhalten Sie bereits jetzt automatisch eine E-Mail, falls eine veraltete Version auf Ihrem Webhosting installiert ist. Die jeweils aktuellste Liste der unterstützten Applikationen finden Sie in unserem Supportcenter: Für welche Applikationen werden Sicherheitslücken automatisch geschlossen?

Mausklick – Problem gelöst

Höchste Zeit, die betroffenen Applikationen zu aktualisieren.

Höchste Zeit, die betroffenen Applikationen zu aktualisieren.

Ab Dienstag 21.04.2015 werden Sicherheitslücken automatisch geschlossen. Wagen Sie bis dahin schon einmal einen Blick auf die neue Funktion, die Sie im my.cyon-Konto unter «Sicherheit» finden und schliessen Sie allfällige Sicherheitslücken mit einem Klick auf «Patchen». Im Fall der Fälle lässt sich der Patch übrigens genau so einfach wieder rückgängig machen.

Update vom 17. April 2015

Wir haben uns die zahlreichen Rückmeldungen zu Herzen genommen und den Funktionsumfang erweitert. Ab sofort kann das automatische Patchen um zwei Wochen verzögert werden. Die Benachrichtigungen erfolgen weiterhin per sofort, damit man stets über neue Sicherheitslücken informiert wird.

Zudem ist es in diesem Modus möglich, das Patchen von bestimmten Dateien gänzlich zu deaktivieren.

Seite 5 von 88« Erste...34567...102030...Letzte »