Kritische Sicherheitslücke in Joomla aufgetaucht: Kundenwebsites gepatcht

Gestern, den 14.12.2015, ist das beliebte Content-Management-System Joomla in Version 3.4.6 erschienen.

Die neue Version schliesst eine kritische Sicherheitslücke, von der alle Joomla-Versionen zwischen 1.5 und 3.4.5 betroffen sind. Die Anweisung der Joomla-Entwickler ist eindeutig: Updaten auf Version 3.4.6!

Joomla-Bug

Alle Joomla-Versionen von 1.5 – 3.4.5 sind von einer kritischen Sicherheitslücke betroffen.

Gemäss den Sicherheitsexperten von Sucuri wird die Lücke bereits aktiv ausgenutzt und hat durch ihre hohe Verbreitung das Potential, enormen Schaden anzurichten. Die Lücke erlaubt es, beliebige Befehle auszuführen und so beispielsweise die Inhalte der Website zu verändern oder zu löschen.

Wir haben vergangene Nacht alle betroffenen Installationen auf unseren Servern automatisch gepatcht und sämtliche Lücken geschlossen. Für cyon-Kunden ist die Gefahr von Angriffen mittels der bekannt gewordenen Sicherheitslücke vorerst gebannt. Wir empfehlen trotzdem, das Update auf Version 3.4.6 sobald wie möglich vorzunehmen. Für offiziell nicht mehr unterstützte Versionen werden Hotfixes bereitgestellt.

Weitere deutschsprachige Informationen zur Sicherheitslücke finden Sie unter anderem bei heise.

Update vom 22.12.2015

Das Joomla-Team hat eine neue Version 3.4.7 nachgereicht, da sich die in Version 3.4.6 geschlossene Lücke bei älteren Versionen von PHP weiterhin ausnutzen liess (vgl. z.B. heise). Auf unseren Servern sind flächendeckend neuere Versionen von PHP im Einsatz, womit die Gefahr grundsätzlich gebannt ist. Dennoch empfehlen wir ein Update auf die neueste Version 3.4.7.

Jetzt kann’s losgehen: PHP 7.0 ist da

Der 3. Dezember 2015 war ein ereignisreicher Tag. Zum einen startete die Zertifizierungsstelle Let’s Encrypt in die öffentliche Beta-Phase, zum anderen wurde die erste stabile Version von PHP 7 veröffentlicht.

PHP 7 ist da!

PHP 7 ist da! (Quelle: Ben Scholzen)

Bereits die Release-Candidate-Versionen des neusten PHP-Ablegers konnten Sie bei uns testen. Wir liessen es uns darum nicht nehmen, auch die Version 7.0.0 gleich am ersten Tag anzubieten.

3x schneller als PHP 5.6

Wir testeten im August, ob PHP 7 den versprochenen Geschwindigkeitszuwachs auch tatsächlich aufs Parkett legen kann. PHP 7 kann sich sehen lassen: Die getestete WordPress-Installation konnte dank PHP 7.0 dreimal mehr Anfragen verarbeiten, als im gleichen Zeitraum mit PHP 5.6.

PHP 7: Dreimal schneller als PHP 5.6.

PHP 7: Dreimal schneller als PHP 5.6.

Ist mein CMS PHP 7-kompatibel?

Mit dem Erscheinen der ersten stabilen Version von PHP 7.0 stellt sich die Frage, welche Content-Management-Systeme mit der neuen Version zurechtkommen. Unter den fünf beliebtesten Systemen unserer Kunden zeigt sich folgendes Bild:

  • Contao ist ab Version 3.5.5 vollständig PHP 7-kompatibel.
  • Drupal 8, die kürzlich erschienene Version des beliebten Systems, ist PHP 7-kompatibel.
  • Joomla wird ab Version 3.5 bereit für PHP 7 sein und ist für Mitte Februar 2016 angekündigt.
  • Typo 3 ist passend mit der Version 7 LTS gerüstet für PHP 7.
  • WordPress dürfte ab Version 4.4 vollständig kompatibel sein, eine offizielle Information fehlt jedoch.

Mögliche Stolpersteine: Plugins und Themes

Die meisten Content-Management-Systeme funktionieren mit PHP 7 prima. Probleme könnten jedoch Plugins und Themes bereiten, die nicht mehr unterstützen Code verwenden. PHP 7 wurde von Grund auf neu geschrieben und ist deshalb in einigen Teilen nicht abwärtskompatibel. Mit unserem PHP-Versionsmanager wechseln Sie jederzeit bequem zwischen den verfügbaren Versionen und können so testen, ob Ihre Website, deren Plugins und Themes auch mit der neusten PHP-Version funktionieren.

Übrigens: Wir werden die aktuelle PHP-Standardversion im kommenden Januar von 5.5 auf 5.6 heben. Eine gute Gelegenheit sich PHP 7.0 genauer anzuschauen und allfällig veraltete Systeme bereits jetzt auf den neusten Stand zu bringen. PHP 7.0 wird bei uns bis November 2018 verfügbar sein.

Let’s Encrypt ist da: Kostenlose SSL-Zertifikate für alle

Das verändert alles: In knapp mehr als einem Jahr hat es die kostenlose Zertifizierungsstelle Let’s Encrypt geschafft, den öffentlichen Betrieb aufzunehmen. Kostenlose SSL-Zertifikate werden so zum Allgemeingut. Ein wichtiger Schritt in der Internet-Geschichte, steht der flächendeckenden Verbreitung von verschlüsselten Verbindungen im Web damit doch nichts mehr im Weg.

Dank Let's Encrypt gibt's jetzt kostenlose SSL-Zertifikate für alle.

Dank Let’s Encrypt gibt’s jetzt kostenlose SSL-Zertifikate für alle.

Kostenlose SSL-Zertifikate per Knopfdruck aktivieren

Wir hatten es angekündigt: Wir bieten Ihnen ab sofort die Zertifikate von Let’s Encrypt an. Gratis versteht sich. In gewohnter cyon-Manier aktivieren Sie die kostenlosen SSL-Zertifikate bequem via Knopfdruck im my.cyon.

Ein Klick und das kostenlose SSL-Zertifikat von Let's Encrypt installiert.

Ein Klick und das kostenlose SSL-Zertifikat von Let’s Encrypt ist installiert.

Mit Zertifikaten von Let’s Encrypt ist nicht nur die Kommunikation zwischen Ihrer Website und Besuchern bestens abgesichert. Dank aktiviertem SSL-Zertifikat profitieren Ihre Besucher bei uns auch automatisch vom modernen und schnelleren HTTP/2-Protokoll. Zudem wertet Google verschlüsselte Verbindungen als positives Signal für Suchergebnisse.

Mitgebrachte SSL-Zertifikate komfortabel verwalten

Falls Sie eigene SSL-Zertifikate, wie z.B. Wildcard- oder EV-Zertifikate, installieren möchten, haben wir ebenfalls etwas für Sie. Ab dem Angebot Webhosting Double steht Ihnen automatisch die Option «Externe SSL-Zertifikate» zur Verfügung. Erstellen Sie Certificate Signing Requests (CSR) und installieren Sie extern bezogene Wildcard- oder EV-Zertifikate komfortabel in Ihrem my.cyon-Konto.

Externe SSL-Zertifikate lassen sich genauso bequem verwalten.

Externe SSL-Zertifikate lassen sich genauso bequem verwalten.

Let’s Encrypt + cyon = ❤️

Let’s Encrypt, das ist für uns eine Liebesgeschichte. Bereits bei der Ankündigung des Projekts vor über einem Jahr war uns klar: Da müssen wir mitmachen.

Let’s Encrypt hat sich zum Ziel gesetzt, HTTPS im Web zum neuen Standard zu machen. Um dieses Ziel zu erreichen, bietet Let’s Encrypt nicht nur kostenlose SSL-Zertifikate an, sondern hat mit dem sogenannten ACME-Protokoll gleich noch neue technische Grundlagen für eine vollautomatisierte Abwicklung von SSL-Zertifikaten gelegt.

Die Ausstellung und Erneuerung von SSL-Zertifikaten war bisher eher Frust als Lust. Mit ein Grund, warum wir bis anhin selbst keine SSL-Zertifikate angeboten haben. Dank Let’s Encrypt hat diese Durststrecke nun ein Ende, weshalb wir das Projekt auch finanziell unterstützen. Schön zu sehen, dass andere Schweizer Unternehmen unserem Beispiel gefolgt sind und Let’s Encrypt ebenfalls sponsern. Damit stammt fast ein Drittel der Let’s Encrypt-Sponsoren aus der Schweiz.

Blick in die Zukunft

Damit wir dem Ziel, alle Websites dieser Welt mit HTTPS auszustatten, ein Stück näher kommen, werkelt unser Entwicklungsteam kräftig an weiteren Funktionen, die Ihnen das Leben in Sachen SSL-Zertifikaten noch einfacher machen werden. Mit unserem «SSL-Autopiloten» wird sogar der obligate Knopfdruck für die Aktivierung von Let’s Encrypt-Zertifikaten entfallen.

Loggen Sie sich jetzt in Ihr my.cyon-Konto ein und aktivieren Sie Let’s Encrypt-Zertifikate für Domains und Subdomains. Alle Vorteile, die kostenlose SSL-Zertifikate bieten, haben wir im neuen Bereich Sicherheit auf unserer Website zusammengestellt.

Kostenlose SSL-Zertifikate: Die drei häufigsten Fragen

Ab 3. Dezember ist es endlich soweit: Let’s Encrypt geht an den Start. Seit wir die Zusammenarbeit mit der kostenlosen Zertifizierungsstelle angekündigt haben, erreichen uns viele Anfragen zum Thema. Die drei häufigsten Fragen zu Let’s Encrypt beantworten wir im heutigen Blogpost.

Kostenlose SSL-Zertifikate sind bald der neue Standard.

Kostenlose SSL-Zertifikate sind bald der neue Standard.

Let’s Encrypt-Zertifikate sind nur 90 Tage lang gültig. Muss ich ständig mein Zertifikat verlängern lassen?

Let’s Encrypt nennt selbst zwei Gründe für den 90-Tage-Turnus.

1.
Ihr Let’s Encrypt-Zertifikat wird von uns völlig automatisch verlängert. Die kurze Laufzeit von SSL-Zertifikaten fördert diese Automatisierung. Es ist an der Zeit, dass Verschlüsselung vereinfacht und automatisiert wird. Nur so kann die Verbreitung von verschlüsselter Kommunikation vorangetrieben werden.
2.
Wird ein Zertifikat missbraucht oder ein privater Schlüssel entwendet, ist dies dank der kurzen Laufzeit der Zertifikate maximal 90 Tage möglich. Zwar bestehen Mechanismen, um im Ernstfall Zertifikate für ungültig zu erklären. Diese sind aber in den meisten Anwendungen schlecht integriert, weshalb diese sogenannte «Certificate-Revocation» in Fachkreisen kritisch beäugt wird.

Können jetzt auch Kriminelle ihre Phishing-Sites verschlüsseln? Bringen SSL-Zertifikate dann noch Vorteile?

Let’s Encrypt hat ausführlich zum Thema Stellung genommen und erklärt, was die Zertifizierungsstelle gegen Missbrauch von SSL-Zertifikaten unternimmt.

Zertifizierungsstellen eignen sich grundsätzlich schlecht, um im Kampf gegen Phishing und Malware eine führende Rolle einzunehmen. Die grosse Anzahl an verschiedenen Zertifizierungsstellen führt dazu, dass sich Kriminelle immer das schwächste Glied in einem solchen Verbund aussuchen. Let’s Encrypt gehört dank Transparenz und Offenheit bestimmt nicht zu den bevorzugten Zielen böswilliger Angreifer, die im Versteckten operieren. Nichtsdestotrotz hat Let’s Encrypt Prüfmechanismen eingebaut, die unter anderem auf die Google Safe Browsing API zurückgreifen. Den Browserherstellern kommt in dieser Frage eine ganz zentrale Rolle zu. Positiv, dass mit Mozilla einer der grössten Browserhersteller zu den treibenden Kräften hinter Let’s Encrypt gehört.

Von der Verschlüsselung von Kommunikation einmal abgesehen, bringen SSL-Zertifikate auch Geschwindigkeitsvorteile. HTTP/2, die neue, schnelle Version des Verbindungsprotokolls für Websites, wird von Browsern nämlich nur über verschlüsselte Verbindungen genutzt. Dass Google die Verschlüsselung von Websites als positiven Faktor in sein Suchresultate einfliessen lässt, ist ebenfalls nicht zu verachten.

Sind kostenpflichtige SSL-Zertifikate sicherer?

In technischer Hinsicht unterscheiden sich kostenlose Zertifikate wie jene von Let’s Encrypt und Zertifikate, die viele hundert Franken pro Jahr kosten, in keinster Weise. Die Kommunikation zwischen Website und Browser ist mit beiden Zertifikaten genau gleich sicher verschlüsselt.

SSL-Zertifikate werden jedoch in drei Klassen unterteilt, die sich in gewissen Merkmalen unterscheiden:

  • Domain-Validated-Zertifikate (DV)
  • Organisation-Validated-Zertifikate (OV)
  • Extended-Validated-Zertifikate (EV)

Let’s Encrypt stellt DV-Zertifikate aus, bei denen geprüft wird, ob der Zertifikate-Antragssteller die Kontrolle über die zu sichernde Domain beweisen kann. Dieser Vorgang lässt sich vollständig automatisieren, trotzdem waren DV-Zertifikate bis anhin (mit Ausnahmen) kostenpflichtig und in den meisten Fällen überteuert. Ein DV-Zertifikat beweist dem Website-Besucher, dass er sich auf der Website befindet, die er besuchen wollte. Dazu ist im Zertifikat die Domain hinterlegt, zu der die Kommunikation verschlüsselt wird. Browser signalisieren die so verschlüsselte Verbindung mit einem Schloss-Symbol.

Bei der Ausstellung von OV- und EV-Zertifikaten prüft die Zertifizierungsstelle zusätzliche Informationen über den Zertifikatbesitzer, zum Beispiel ob dieser im Handelsregister eingetragen oder die angegebene Telefonnummer erreichbar ist. OV-Zertifikate enthalten denn auch nicht nur die gesicherte Domain sondern weitere Informationen zur Organisation, der das Zertifikat gehört. EV-Zertifikate werden in Browsern zusätzlich mit visuellen Merkmalen wie einem grünen Balken dargestellt.

Bonusfrage: Wäre nicht «TLS-Zertifikate» der korrekte Begriff?

Doch, denn die Bezeichnung SSL ist eigentlich hoffnungslos veraltet. Das SSL-Protokoll (Secure Sockets Layer) wurde bereits 1999 durch TLS (Transport Layer Security) abgelöst. Konsequenterweise müssten wir also von TLS-Verschlüsselung und TLS-Zertifikaten sprechen.

Das Thema wird bei uns im Team heiss diskutiert. Wir haben uns vorerst darauf geeinigt, weiterhin den Begriff SSL-Zertifikate zu verwenden. Dieser Begriff ist etabliert und für die meisten Leute verständlicher, wie die vergangenen 16 Jahre bewiesen haben.

Wenn Sie mit uns in Kontakt stehen, dürfen Sie SSL-Zertifikate ungeniert TLS-Zertifikate nennen. Dem entsprechenden Mitarbeiter wird das mit Bestimmtheit ein Lächeln ins Gesicht zaubern ;)

5 Gründe, warum ein Flat-File-CMS die bessere Wahl als WordPress und Co. sein kann

Vor einiger Zeit haben wir Ihnen drei Flat-File-CMSe vorgestellt. Aber warum sollte man überhaupt ein Flat-File-CMS einsetzen? Wir haben fünf Gründe zusammengetragen, die für den Vorzug gegenüber herkömmlichen, datenbankbasierten Content-Management-Systemen sprechen.

Ein Flat-File-CMS wie Grav ist blitzschnell installiert.

Ein Flat-File-CMS wie Grav ist blitzschnell installiert.

1. Geschwindigkeit

Mit Systemen, die nur auf Dateien basieren, muss der Webserver nicht auf Inhalte aus einer Datenbank warten. Das macht die meisten Flat-File-Systeme von Haus aus schneller als ihre datenbankbasierten Pendants. Nicht verwunderlich, dass die besten Caching-Lösungen für WordPress und Co. im Grunde nichts anderes machen, als statische Dateien aus den Datenbankinhalten zu generieren.

2. Sicherheit

Mit fehlender Datenbank fällt auch ein verbreiteter Angriffsvektor weg: SQL-Injections. Das kann ein Sicherheitsvorteil gegenüber datenbankbasierten Systemen sein. Schlussendlich kommt es aber hier auf die Codequalität eines Systems an, egal ob dieses datei- oder datenbankbasiert ist.

Flat-File-Systeme sind ausserdem noch lange nicht so verbreitet wie z.B. die Top-5-CMS unserer Kunden. Deshalb sind keine grossangelegten Angriffe auf Flat-File-CMSe zu erwarten – zumindest vorerst.

3. Einfaches Setup, auch lokal

Zugegeben, auf einem unserer Webhosting-Pakete ist es dank dem Scriptcenter kinderleicht, datenbankbasierte Systeme zu installieren. Lokal sieht die Sache anders aus. Zwar existieren Tools, die es einem einfach machen, ein Entwicklungssetup aufzubauen. Aber wer schonmal datenbankbasierte Systeme lokal aufgesetzt und das System dann auf ein Webhosting kopiert hat, weiss wie kompliziert diese Aufgabe sein kann.

Mit einem Flat-File-CMS müssen lediglich die Dateien des Systems auf ein Webhosting kopiert werden. Das Hantieren mit Datenbanken und Einstellungen entfällt.

4. Versionskontrolle und Backups

Ohne den Faktor Datenbank lässt sich eine Website viel einfacher per Git verwalten. Dem Kunden gefällt die neuste Version des Designs nicht? Eine Änderung erzeugt Fehler? Springen Sie einfach einen Commit zurück.

Backups lassen sich ebenfalls problemlos erstellen. Laden Sie das komplette Verzeichnis, in welchem sich Ihr Flat-File-CMS befindet, einfach per FTP herunter. Zudem lässt sich dieser Vorgang bestens automatisieren.

5. Simplizität

Verglichen mit den alteingesessenen Content-Management-Systemen sind Flat-File-CMSe weniger komplex und bieten einen beschränkteren Funktionsumfang. Damit sind sie zwar nicht für jeden Einsatzzweck geeignet. Für gefühlte 95% aller privaten und KMU-Websites reichen die Funktionen eines Flat-File-Systems allerdings völlig.

Welches Flat-File-CMS ist das richtige für mich?

Haben wir Ihr Interesse an einem Flat-File-CMS geweckt? Dann brauchen Sie jetzt nur noch das passende System zu wählen. Auf flatphile.co und in dieser Liste bei GitHub finden Sie eine grosse Auswahl an Content-Management-Systemen, die ohne Datenbank auskommen.

Mir persönlich hat es zurzeit das System Grav angetan, wie so oft ist das aber reine Geschmackssache. Falls Sie ganz generell auf der Suche nach einem alternativen System zu WordPress und Co. sind, finden Sie in unserem Blogbeitrag 5 Content-Management-Systeme, die Sie vielleicht noch nicht kennen weitere Inspiration. Viel Spass beim Testen :)

Seite 5 von 96« Erste...34567...102030...Letzte »