Endlich Schluss mit Sicherheitslücken: Wir patchen automatisch

← zurück zum Blog

Sie mussten es vielleicht auch schon mit Schrecken feststellen: Fremde haben sich Zugriff zu Ihrer Website verschafft, Schadsoftware hochgeladen und wenn es ganz blöd kam, auch noch Ihr Webhosting für den Versand von Spam missbraucht. Ein solches Szenario ist heutzutage (leider) nicht aussergewöhnlich.

Der mit Abstand häufigste Grund dafür, weshalb es überhaupt so weit kommen kann: Sicherheitslücken in Content-Management-Systemen, Plugins und Themes.

Wir schliessen Sicherheitslücken automatisch

Wir legen ab heute einen Schutzmantel über unsere Webhosting-Server, der Ihre CMS-Installationen im Auge behält und bekannte Sicherheitslücken automatisch schliesst. Dank zielgenauen Patches merken die Besucher Ihrer Website nichts davon.

Automatische E-Mails und eine übersichtliche Verwaltung im my.cyon-Konto sorgen dafür, dass Sie immer wissen, wie es um die Sicherheit Ihrer Website steht. Geniessen Sie also lieber das schöne Wetter anstatt sich mit Sicherheitslücken, gehackten Websites oder sogar einem gesperrten Webhosting herumzuschlagen.

Wir schützen Ihre Website, geniessen Sie den Sommer.

Wir schützen Ihre Website, geniessen Sie den Sommer.

Das Rundum-Sorglos-Paket

Falls sich doch einmal Schadsoftware (sogenannte Malware) auf Ihrem Webhosting befindet, müssen Sie sich ebenfalls keine Sorgen machen. Das neue System schliesst nicht nur Sicherheitslücken, sondern verschiebt auch Malware automatisch in Quarantäne. Das Risiko, dass sich Besucher auf Ihrer Website ungewollte Software einfangen oder Ihr Webhosting Teil eines Botnetzes wird, sinkt damit drastisch.

Zu guter Letzt informieren wir Sie auch, wenn auf Ihrem Webhosting veraltete Applikationen installiert sind. So können Sie rechtzeitig dringend nötige Updates einspielen und bleiben Angreifern immer einen Schritt voraus.

Beliebte CMS besonders gefährdet

WordPress und Joomla sind die beiden beliebtesten Content-Management-Systeme unserer Kunden. Das macht diese Systeme auch für Angreifer attraktiv. Nebst den beiden Favoriten schliesst unser System ausserdem Sicherheitslücken in Drupal und osCommerce. Weitere Applikationen werden folgen.

Für viele Applikationen erhalten Sie bereits jetzt automatisch eine E-Mail, falls eine veraltete Version auf Ihrem Webhosting installiert ist. Die jeweils aktuellste Liste der unterstützten Applikationen finden Sie in unserem Supportcenter: Für welche Applikationen werden Sicherheitslücken automatisch geschlossen?

Mausklick – Problem gelöst

Höchste Zeit, die betroffenen Applikationen zu aktualisieren.

Höchste Zeit, die betroffenen Applikationen zu aktualisieren.

Ab Dienstag 21.04.2015 werden Sicherheitslücken automatisch geschlossen. Wagen Sie bis dahin schon einmal einen Blick auf die neue Funktion, die Sie im my.cyon-Konto unter «Sicherheit» finden und schliessen Sie allfällige Sicherheitslücken mit einem Klick auf «Patchen». Im Fall der Fälle lässt sich der Patch übrigens genau so einfach wieder rückgängig machen.

Update vom 17. April 2015

Wir haben uns die zahlreichen Rückmeldungen zu Herzen genommen und den Funktionsumfang erweitert. Ab sofort kann das automatische Patchen um zwei Wochen verzögert werden. Die Benachrichtigungen erfolgen weiterhin per sofort, damit man stets über neue Sicherheitslücken informiert wird.

Zudem ist es in diesem Modus möglich, das Patchen von bestimmten Dateien gänzlich zu deaktivieren.

72 Kommentare

  1. Danke! Ich weiss, warum ich bei cyon bin und es auch bleiben werde.

  2. Danke für die super Erweiterung. Das ist eine durchaus nützliche Ergänzung. Ich bin einmal mehr froh, cyon.ch weiterempfehlen und für Kunden-Hostings verwenden zu dürfen :-)

  3. sehr gut, fehlt nur noch contao :)

  4. Super Service! Ihr hebt euch von der Konkurrenz ab / einfach topp!!

  5. Bravo. Ihr seid die Allerbesten. Wenn es euch nicht gäbe, müsste man euch erfinden. Weiter so.

  6. Sorry aber ich muss da wiedersprechen.
    Ist sicher gut gemeint aber Zwang ist nie gut!

    Einige unsere Kunden wollen vertsändlicherweise die Kontrolle behalten. Könnt Ihr garantieren, dass wenn ab dem 21.4. (was schon bald ist) nach dem automatischen Schliessen der Lücken die Joomla Seiten inkl. aller Erweiterungen reibungslos mit allen Funktionen weiterlaufen? Und wer prüft das? Wer übernimmt die Verantwortung wenn Probleme auftreten was wie ich sicher bin, früher oder später vorkommen wird?
    Was passiert wenn ein Patch rückgängig gemacht wird? Wird dieser dann nach einiger Zeit wieder automatisch installiert? Fragen über Fragen ….

    • Moe, danke für Deinen Kommentar. Ich bin froh, dass Du das Thema aufbringst.

      Wir möchten, dass Du die Kontrolle behältst. Deshalb wirst Du über jeden Patch transparent informiert und kannst diesen im Ernstfall auch rückgängig machen. Das System schliesst ganz gezielt die gefundene Sicherheitslücke und aktualisiert nicht einfach die komplette Datei, das Plugin oder sogar den Core. Das garantiert, dass die betroffene Website auch mit der geschlossenen Sicherheitslücke einwandfrei funktioniert. Wenn Du einen Patch rückgängig machst, wird dieser selbstverständlich nicht wieder automatisch angewendet.

      Sicherheitslücken sind Gift für Deine Website. Wird eine Sicherheitslücke einmal ausgenutzt, musst Du konsequenterweise das ganze CMS neu aufsetzen, da Du Dir nie sicher sein kannst, ob nicht noch irgendwo Schadcode abgelegt wurde. Darum ist es so wichtig, Sicherheitslücken schnellstmöglich zu schliessen.

      • Sorry aber ich muss da trotzdem wiedersprechen.

        Es sollte anders laufen: Die Liste mit den Sicherheitslücken anzeigen ist super und auch diese mit einen Klick schliessen zu können wenn ich denn will auch gut. Aber dass ihr die Patches zwangsweise automatisch installiert ist nicht gut. Ich bin mir zu 100% sicher dass dies zu Problemen führen wird. Wenn ihr das nicht so seht, habt ihr womöglich noch nicht viel am Joomla Core gearbeitet.

        Ich kann dann u.U. nachher mühsam den problematischen Patch suchen gehen. Wir haben für kritische Sites extra eine 2. geschützte Installation um Patches/Updates zu testen!

        Wenn ich weiter drüber nachdenke: Es ist m.E. nicht gut dem Webmaster bzw. Programmierer die Verantwortung annehmen zu wollen. Nach unserer Erfahrung werden die schlimmsten Sicherheitsprobleme durch Erweiterungen verursacht und ich kann mir nicht vorstellen dass ihr dies auch alle prüfen bzw. fixen könnt zumal wir in der Regel nur kostenpflichtige nutzen. Die Folge wird sein: Viele kümmern sich dann einfach nicht mehr um die Securtiy was dann noch viel schlimmerer Probleme verursachen kann bzw. wird. Habt ihr das bedacht??

        M.E. ist die Idee gut aber die Umsetzung schiesst über das Ziel hinaus bzw. ist nicht wirklich durchdacht.

        Nebenbei:
        Aktuell laufen die Telefon bei uns deswegen heiss. Wir betreuen ca. 25 Joomla Installation bzw. Kunden mit Joomla. Ca. 3/4 davon (noch) bei cyon und der Tenor ist klar: Wir möchten das lieber nicht automatisch haben!
        Müssen jetzt auch die Wochenplanung anpassen. Die viele Kunden von uns erwarten nächste Woche Stand-by für etwaige Probleme zu sein. Die Vorlaufzeit ist echt zu kurz!
        P.S.. Ich spreche zu 100% von Joomla andere CMS unterstützen wir derzeit nicht.

        • Ich kann Deine Verunsicherung verstehen, die Gefahr, die von Sicherheitslücken ausgeht, darf aber nicht unterschätzt werden.

          Es sollte anders laufen: Die Liste mit den Sicherheitslücken anzeigen ist super und auch diese mit einen Klick schliessen zu können wenn ich denn will auch gut. Aber dass ihr die Patches zwangsweise automatisch installiert ist nicht gut. Ich bin mir zu 100% sicher dass dies zu Problemen führen wird. Wenn ihr das nicht so seht, habt ihr womöglich noch nicht viel am Joomla Core gearbeitet.

          Das stimmt, Arbeiten am Joomla Core gehört nicht zu unseren Kernkompetenzen. Deshalb stammt die von uns eingesetzte Lösung von Experten, die sich tagtäglich mit den unterstützen Content-Management-Systemen befassen.

          Wenn ich weiter drüber nachdenke: Es ist m.E. nicht gut dem Webmaster bzw. Programmierer die Verantwortung annehmen zu wollen. Nach unserer Erfahrung werden die schlimmsten Sicherheitsprobleme durch Erweiterungen verursacht und ich kann mir nicht vorstellen dass ihr dies auch alle prüfen bzw. fixen könnt zumal wir in der Regel nur kostenpflichtige nutzen. Die Folge wird sein: Viele kümmern sich dann einfach nicht mehr um die Securtiy was dann noch viel schlimmerer Probleme verursachen kann bzw. wird. Habt ihr das bedacht??

          Wir hätten es am liebsten, wenn alle Webmaster und Programmierer ihre Systeme selbst schützen und immer auf dem neusten Stand halten. Leider ist das Wunschdenken und selbst erfahrenen Kunden gehen Sicherheitslücken durch die Lappen. Wird eine Lücke ausgenutzt, sind die Auswirkungen extrem und andere Kunden werden in Mitleidenschaft gezogen. Deshalb ist es so wichtig, Sicherheitslücken so schnell wie möglich zu schliessen.

          Lass uns den Rest doch direkt per E-Mail besprechen, wir finden garantiert eine passende Lösung. Wir melden uns.

    • Das ist auch aus meiner Sicht ein berechtigter Einwand. Wir haben etwa 70 Websites bei Euch am Start. Mit zahlreichen eigenen Entwicklungen und Modifikationen. Ein Core Update bei Drupal ist immer eine heikle Sache, erfordert saubere Kontrolle und im Notfall ein Roll-back.

      • Ja, Updates sind heikel. Wir machen aber keine Updates, sondern patchen gezielt Sicherheitslücken in einer betroffenen Datei. So ist nicht mit Problemen zu rechnen.
        Als zusätzliche Option haben wir nun noch die Funktionen „Verzögertes Patchen“ und „Ignorieren“ nachgereicht, womit nun alle Wünsche erfüllt sein sollten.

  7. Echt genial. Danke!!
    Ist jedes mal wenn Schulferien sind ein Thema denn da haben offensichtlich einige „Döfis“ nichts anders zu tun. Schade wenn man dann auch Ferien machen möchte … Da passt das Bild des Artikels und den Super Service perfekt.

    Aber achtet darauf … nicht jede Installation erträgt ein 0815 Uptade wenn am Core was verändert wurde das der Kunde braucht oder die Entwickler noch nicht behoben haben.

    • Ja, die Angreifer schlagen immer dann zu, wenn man in den Ferien ist. Vermutlich ein ungeschriebenes Gesetz in der Szene :)

      Aber achtet darauf … nicht jede Installation erträgt ein 0815 Uptade wenn am Core was verändert wurde das der Kunde braucht oder die Entwickler noch nicht behoben haben.

      Es gehört zu den Hauptzielen unserer Lösung, dass die angewandten Patches das System nicht beeinträchtigen und die Website wie gewohnt funktioniert. Wurde eine Sicherheitslücke gepatched, sollte immer ein manuelles Update gemacht werden. Darauf weisen wir in unseren automatischen Benachrichtigungen auch immer hin.

  8. Genial!!! War eine gute Entscheidung, Euch für meine Kunden-Hostings auszuwählen. Vielen Dank!

  9. liebe cyonlerInnen

    herzlichen dank für euren immer super service. ich bin seit anfang sehr zufrieden & empfehle euch allen herzlichst weiter.

    wünsche wunderbare frühlingszeit!

  10. Die Idee ist gut. Aber ich hoffe doch sehr, dass nicht plötzlich eine „alte“ Joomla-Installation ein Update kriegt, obwohl das ganz bewusst noch so belassen wurde.

    Und ganz schnell ist das System auch nicht: Habe eine Joomla-Installation von 3.2 irgendwas über Installatron rasch geupdated, aber sie wird unter dem Sicherheitszentrum als noch immer veraltet dargestellt.

    • Das System macht keine Updates, sondern schliesst nur ganz gezielt Sicherheitslücken. Wenn Du bewusst eine veraltete Joomla-Installation betreibst, solltest Du Dir immer auch den damit verbundenen Gefahren bewusst sein. Der Aufwand eine verseuchte Installation wieder flott zu kriegen ist, nach unserer Erfahrung, in jedem Fall aufwendiger als regelmässige Updates zu fahren.

      Und ganz schnell ist das System auch nicht: Habe eine Joomla-Installation von 3.2 irgendwas über Installatron rasch geupdated, aber sie wird unter dem Sicherheitszentrum als noch immer veraltet dargestellt.

      Die Informationen werden zur Zeit einmal täglich aktualisiert. Das wird in Zukunft noch besser, versprochen.

  11. Wer erstellt die Patches. Sind das Cyon Mitarbeiter oder ein eingekauftes Produkt?

    • Die Patches stammen aus den offiziellen Quellen der jeweiligen Content-Management-Systeme. Die von uns eingesetzte Lösung ist eingekauft.

  12. Ich finde es gut, wobei ich auch die Einwände verstehe. Und ich weiss wovon ich spreche. Haben eben einen Hack auf mehreren Seiten bereinigen müssen (nicht auf cyon), der über WordPress oder einem WP-Plugin eingespielt worden ist. Obwohl wir eigentlich dachten alle Updates und Patches eingespielt zu haben und immer die aktuellste WP Version verwendet.
    Mein Fazit daraus: Nie mehr CMS, oder wenn dann nur was unbekanntes oder noch besser und „State-of-the-art“ – ONE-PAGE-Templates, Code von Hand stricken und gut ist.
    Aber für alle „normalen“ 0815 Anwender sicher eine sehr sinnvolle Neuerung. Denn wie schnell übersieht man einen Sicherheitsupdate oder ist anderweitig abwesend und genau in diesem Moment hat irgend so ein Depp nichts besseres zu tun.
    Und nun noch ein schon lange fälliges Kompliment an den Support „SEHR GUT und KOMPETENT“ und auch ein Lob für das myCyon Interface (EINFACH und ÜBERSICHTLICH). Ihr bleibt bei mir die Nummer 1 der Hosting Anbieter in der Schweiz. Weiter so.

  13. noch was: wir können jetzt unsere Testinstallation die bei cyon laufen wohl auch alle spülen da diese auch automatsch gepacht werden.

    Teilweise laufen diese Testinstallationen im Hostingpaket des Kunden, in einer Subdomain oder in einem von unseren cyon Hostingpaketen.
    Diese Testinstallation sind (bzw. waren da wir diese bereits zu transferieren beginnen) alle per Hypertext Access (.htaccess) geschützt. und sind eben genau dazu da Patches und Updates vorgängig zu testen :(.

    Weiter: es gibt bei allen Systemen (seien das OS, CMS oder was auch immer) immer mal wieder Sicherheitspatches die neben dem Fix zum Teil neue eklatante Löcher öffnen und wieder zurückgezogen werden. Wie handelt ihr das?

    Alles in allem ist das wirklich viel zu kurzfristig und nicht durchdacht!

  14. Danke, nein. Ich möchte auch keine automatischen Updates. Ihr könnt mir gerne eine Email mit den aktuellen Lücken schicken, aber dann überlasst das updaten bitte mir! Automatische Updates führen immer wieder zu Problemen, ich mache das lieber selber. So habe ich die Kontrolle und behalte den Überblick. Genau deswegen bin ich schliesslich bei cyon.

    • Wir führen keine automatischen Updates durch, sondern schliessen gezielt bestehende Sicherheitslücken. Diese Patches stammen aus offiziellen Quellen und beeinträchtigen die Funktionalität der Website nicht. Ausgenutzte Sicherheitslücken haben so weitreichende Folgen, dass ein Zuwarten beim Patchen fahrlässig ist. Im Notfall lässt sich ein Patch unkompliziert rückgängig machen, eine ausgenutzte Sicherheitslücke leider nicht.

      • darum macht man Backups und in unserem Fall jeweils mehrere Generationen. Das Argument passt so nicht sorry ….

        • Wenn in den vorhandenen Backups bereits Schadcode vorhanden ist, was dann? Ein Szenario welches wir leider nur allzu oft beobachten.

  15. Und ja: So eine kurzfristige Ansage halte ich auch nicht für wirklich durchdacht…

  16. Hallo,

    wir sind mit dem Service von Cyon absolut unzufrieden. Über Monate hinweg hatten wir tägliche Mail-Blocks (konnten keine Mails versenden) weil ein Cyon Server auf einer Blackliste war. Wir haben dies immer gemeldet (über 10 Mal) und wurden vertröstet. Manchmal ging es mehr als ein Tag bis wir wieder Mails versenden konnten. Für ein Business ist Mail absolut fundamental und schon nach dem 3-ten Block sollte ein Hoster eine permanente Lösungen finden!

    Wäre Cyon nicht von Basel wären wir schon längst bei einem anderen Hoster!

    Wird es nun besser durch die Änderungen? Ich glaub kaum. Joomla und co. sind Coderiesen und voll mit Bugs, zudem dauert es bis es einen Fix gibt immer mehrer Tage. Besser wäre ein kompletter Ban für schrottige CMS!

    • Mit automatischen Patches können wir genau dieses Problem an der Wurzel packen. Sicherheitslücken sind der Grund Nummer Eins für gehackte Websites und Schadsoftware, die für den Versand von Spam genutzt wird. Ich gehe also stark davon aus, dass die Massnahme Früchte tragen wird.

      • Das Problem rührt eher daher, dass Ihr die Mail-Infrastruktur mit der Hosting-Infrastruktur gekoppelt habt.

        • Das hat Vor- und Nachteile und wird mittelfristig voraussichtlich entkoppelt. Weitere Problempunkte wie Malware und Phishing werden damit aber nicht aus der Welt geschafft.

  17. Ich will keinen automatischen Update. Wo kann ich diesen abstellen?

  18. auch wenn ich hier kritisiere; bitte verwechselt nicht Updates mit Sicherheitspatches und letzteres wird sich wohl nicht deaktivieren lassen wenn ich die GL richtig verstanden habe….

  19. Cyon macht einfach sehr viel fürs Geld. Wenn mal etwas nicht „haut“, ist der perfekte Service auch noch da. Dank an Andreas im Speziellen.

    LG Kurt

  20. Ich muss mich den kritischen Kommentaren hier leider anschliessen. Gut gemeint, aber nicht durchdacht. Wenn ein Hoster beginnt in den Dateien auf meinem shared serverspace (egal ob Code eines CMS oder was anderes) herumzufummeln, dann bin ich weg. Als Option, die ich einstellen kann, von mir aus. Bei über my.cyon.ch installierte Apps von mir aus. Aber nicht defaultmässig und nicht nach dem Motto „Wir machen einfach mal und du kannst es ja wieder rückgängig machen.“. Ich miete hier Webspace und nicht WordPress cloud hosting. Wenn ich das will gehe ich zu WordPress.com

    • Wir haben uns gut überlegt ob es richtig ist, Dateien unserer Kunden anzufassen und die Entscheidung ist nicht einfach.

      Auf einem Webhosting-Server, der von mehreren Kunden geteilt wird, ist es aus unserer Sicht schwierig zu sagen: “Das ist meine Sicherheitslücke, die geht niemanden etwas an”. Eine Sicherheitslücke ist nicht irgend ein kosmetisches Problem sondern hat das Potential, enormen Schaden für alle Kunden auf dem Server anzurichten. Der Klassiker ist Spamversand über eine Sicherheitslücke, welcher zur Folge hat, dass die IP des Servers auf einer Blacklist landet und den Mailverkehr für alle Kunden massiv einschränkt. Natürlich werden wir in einem solchen Fall alarmiert und wir suchen die Ursache und wechseln die IP vorübergehend aus, doch auch eine kurze Störung kann sehr ärgerlich sein.

      An dieser Stelle ist noch einmal zu betonen, dass wir keine Updates durchführen, sondern gezielt eine Schwachstelle in einer Datei mit dem entsprechenden Patch beheben. Das kann zum Beispiel das Ausbessern eines simplen Tippfehlers sein.

      Unter dem Strich sind wir also der Ansicht, dass es auf einem gemeinsamen Server kein “Recht auf eine Sicherheitslücke” gibt, da man diese Verantwortung dafür schlicht nicht tragen kann.

      Dennoch haben wir uns die Rückmeldungen natürlich zu Herzen genommen. Wer Modifikationen unsererseits ausschliessen will, kann nun ein verzögertes Patchen aktivieren und hat dann 14 Tage Zeit, gefundene Sicherheitslücken zu beheben. Auch können in diesem Modus einzelne Dateien gänzlich von dem automatischen Patchen ausgeschlossen werden.

  21. Fragen
    1. Kann dieses Patchen für eigen installierte CMS (nicht über den Installer) aktiviert werden, ist das evtl. bereits automatisch aktiviert?
    Falls ja: wie erkennt ihr eigens installierte CMS?

    • Das System erkennt auch installierte CMSe, die nicht über das Scriptcenter installiert wurde. Du kannst bereits jetzt in Deinem my.cyon-Konto unter «Sicherheit» nachschauen, ob möglicherweise Sicherheitslücken auf Deinem Webhosting gefunden wurden.

  22. Ich schliesse mich den kritischen Kommentatoren an. Hier unser Argument: wer professionell programmiert, entwickelt nicht auf dem Webserver, sondern auf einem Test- oder Staging-System. Beim Publishen werden alle Daten vom Test-/Staging-System auf den Webserver hochgeladen. Wenn jetzt Cyon auf dem Webserver Änderungen vornimmt, werden diese beim nächsten Publish einfach überspielt, sprich rückgängig gemacht (eine gepatchte Sicherheitslücke wäre also wieder offen).
    Funktioniert etwas auf dem Webserver nach einem Cyon-Patch nicht mehr, wird es schwierig… Der Entwickler prüft alles auf seinem Test-/Staging System, kann den Fehler nicht nachvollziehen. Spielt alles nochmals hoch. Es funktioniert wieder alles, bis Cyon wieder den Patch drüber kopiert. Wer haftet jetzt für die zusätzlich entstandene Arbeit? Wenn Cyon Anpassungen vornimmt, müsste Cyon auch Haftung übernehmen…
    Von mir aus also ganz klar: Das Feature muss optional sein. Für mich wäre es gangbar, wenn Cyon Hostings, welche mit bekannten Sicherheitslücken behaftet sind, nach einer Vorwarnung sperrt. So haben professionelle Entwickler eine Möglichkeit, eine Sicherheitslücke in Eigenregie nachhaltig zu stopfen.

    • Das System informiert automatisch und transparent über jeden erfolgten Patch. Damit lässt sich jederzeit nachvollziehen, welche Sicherheitslücke in welcher Datei geschlossen wurde.

      Der Entwickler prüft alles auf seinem Test-/Staging System, kann den Fehler nicht nachvollziehen. Spielt alles nochmals hoch. Es funktioniert wieder alles, bis Cyon wieder den Patch drüber kopiert. Wer haftet jetzt für die zusätzlich entstandene Arbeit? Wenn Cyon Anpassungen vornimmt, müsste Cyon auch Haftung übernehmen…

      Die Frage lässt sich meiner Meinung nach auch umgekehrt stellen: Wer haftet für ausgenutzte Sicherheitslücken und deren Auswirkungen? Die daraus resultierenden Schäden und Aufwände sind immens. Mit automatischen Patches lassen sie sich vermeiden.

      Wir haben uns aber die Rückmeldungen zu Herzen genommen und soeben eine neue Funktion aktiviert, mit der sich automatische Patches verzögern und einzelne Dateien vom Patchen ausschliessen lassen.

  23. Muss mich da auch Kritisch äussern.
    Ich denke da an die jüngsten Probleme mit dem Installatron. Installatron hat ja auch eine auto-update Funktion. Wenn man vergisst diese auszuschalten läuft plötzlich nach einem auto-update die Seite nicht mehr. Zum glück macht der Installatron vorher ein Backup, welches man dann manuell zurückspielen kann, aber Kunde ist trotzdem verärgert und die Zeit die man damit verschwendet wäre sinnvoller einsetztbar.
    Hände weg von automatischen Updates!

    • Ja, bei automatischen Updates muss man sicher vorsichtig sein, wenn man Änderungen am Core vorgenommen hat. Unser System macht aber keine Updates, sondern patcht gezielt direkt im Code. So kann davon ausgegangen werden, dass nichts kaputt geht.

  24. Gott sei dank, ist Cyon nicht nur ein zuverlässiger Partner, sondern auch stets um bestmöglichen Kundendienst und Engagement für Sicherheit bemüht! Bleibe darum dabei und fühle mich behütet… Da bei uns schon eingebrochen wurde um mlaware zu versenden und daher Cyon unsere sites abschaltete, um nicht andere Kunden zu schädigen, hatte unser armer Verein Panik, dass viele unserer unikaten Artikel ins virtuelle Nirwana entschwinden. Bereits haben wir angefangen, die Artikel runterzuladen, sie neu zu umbrechen und zu bebildern, um sie dann als Druck zu erhalten. Auch das kostet Geld, zumal es sich bereits um rund 1300 Artikel handelt und jeder neue Umbruch rund zwei Stunden und mehr Arbeit kostet – unbezahlt… Merci Cyon-Team!

  25. Sehe hier Kritik an der neuen Patch Strategie.

    Kann nur sagen das ein Bekannter der ebenfalls ein Cyon Account, hat schon 2 mal ein Einbruch und Kompromittierung seiner Webseiten ertragen musste, inklusive Datendiebstahl und stundenlanger Aufräumarbeiten.
    Der Angriff erfolgte höchstwahrscheinlich über Sicherheitslücken in Worldpress oder Plugins dazu.
    Ich sehe auch auf meiner kleinen Webseite die ich bei Cyon betreibe permanent automatisierte Angriffe vor allem auf Worldpress. (Die Seite läuft ohne SQL und ist deshalb weniger anfällig.)
    Einige Male habe ich sogar nicht automatisierte Angriffe beobachten können.
    Falls ein Angriff gelungen ist, bewirkt das dann auch dass Cyon IPs auf Blocklisten landen und es dann wieder lange dauert bis sie da wieder entfernt werden.

    Habe selbst auch viele Sicherheitslücken zB in chCounter entdeckt, der leider auch nicht mehr weiter entwickelt wird. Und für chCounter gibts zB ein WP-Plugin.

    Ich weis nicht wie Paches aufgespielt werden so das keine Konflikte mit möglicherweise selbst angepassten Codes entstehen.
    Mühsam wäre es nur wenn ein Patch Dateien überschreibt oder kaputt macht die man selbst manuell angepasst/weiterentwickelt/gepatcht hat.
    Cyon könnte ja das Vorgehen bei einem automatisierten Patch genauer beschreiben. (Werden zB Hashes der Dateien verwendet um alle veröffentlichten Versionen zu prüfen und nur unveränderte Codes gepatscht? Überschreibt ein Patch die ganze Datei oder wird eine Patching Software verwendet die nur Codezeilen verändert?)

    Cyon könnte auch ein .htaccess Beispiel veröffentlichen, welches einige Angriffe blockt (falls so was nicht schon existiert)
    zB <? oder ../ sollten eigentlich nie in einem HTTP_USER_AGENT auftauchen,
    oder Zugriffe von libwww Python-urllib und Indy Library brauch glaube ich auch niemand auf seiner Seite.

    Kunden könnten dann selbst entscheiden ob sie das .htaccess teilweise oder ganz einbauen, oder auch nicht.
    (Und so eine Datei wäre sicher auch ein gutes Beispiel für nicht-experten.)

    • Merci für den ausführlichen Erfahrungsbericht. Es wird nur unveränderter Code gepatcht und nicht die ganze Datei ersetzt sondern nur die betroffene Stelle berührt.
      Mit der neuen Verzögerungs- und Ignorierfunktion sind wir den Wünschen nun nachgekommen.

  26. Wieso erscheint mein Kommentar nicht?

    • Hallo Herr Lang. Ihr Kommentar war aus unserer Sicht reine Werbung für einen unserer Mitbewerber. Deshalb haben wir den Kommentar nicht veröffentlicht. Vielen Dank für Ihr Verständnis.

      • Alles klar! Tut mir leid dass ich der Name einer Mitbewerber von euch erwähnt habe. Wenn man nicht mal das machen kann finde ich es schon ein bisschen traurig.

        Ich habe überhaupt keine Interesse Werbung für Firmen zu machen. Ich wollte einfach sagen dass es andere guten Hosters in Basel gibt und zwar an Stefan Bühlmann wo erwähnt hat dass cyon ist von Basel. Aber eben cyon ist nicht der einzige Hoster aus Basel…

        Ich hoffe dieses Kommentar wird nicht wieder gelöscht. Ich erwähne hier schlussendlich keine andere Firma!

  27. Also ich für meinen Teil finde diese Funktionalität super. Die Vorteile überwiegen meiner Meinung nach den Nachteilen.

    Was mir aktuell fehlt ist die Möglichkeit, den Scanner neu anzuwerfen. Oder alternativ dazu einen Hinweis, dass die Liste mit den Sicherheitslücken nicht sofort aktualisiert wird.

    • Merci für Dein Feedback. Die Möglichkeit, manuell einen Scan zu starten, wird in den kommenden Wochen noch folgen. Einen entsprechenden Hinweis werden wir einbauen.

  28. Habe mir die neuen Funktionen unter my.cyon angeschaut. Soweit ist es sicherlich lobenswert, dass Cyon bei den Sicherheitslüken Hand bietet, diese einfacher zu schliessen. Dies vor allem, da nicht jeder ein „Vollprofi“ im CMS-Core ist.

    Etwas verwirrlich ist allerdings die Info im rechten Bereich:

    1 Ihrer 2 Joomla-Installationen ist veraltet und muss aktualisiert werden.
    Wenn ich nun noch die Details abrufe, steht da:
    Veraltet 2.5.5 /home/haltiner/public_html/
    Aktuell 3.4.1 /home/haltiner/public_html/

    Nun ist es jedoch so, dass es früher eine 2.5.xx Installation gegeben hatte, welche dann aber per Updatepaket über den Installer des CMS und periodisch mittels der Updatefunktion im Backend von Joomla, bis auf die aktuelle Version aktualisiert wurde.
    Aus dieser Auswertung muss ich daher annehmen, dass die Uptates von Joomla selbst einige „Dateileichen“ auf dem Server zurücklassen, welche dann natürlich von mir als Laie/Hobby-Webmaster nicht mehr unterhalten und geprüft werden.
    Mir drängt sich daher noch ein weiterer Aspekt zur Schliessung der Sicherheitslücken auf. Nämlich die Möglichkeit der Bereinigung der erwähnten Überbleibsel einer schon längst nicht mehr verwendeten CMS-Installation , ohne dabei die gesamten CMS-Installationen löschen zu müssen um danach ein neues Gesamtpaket auf zu spielen.

    • Die Erkennung der installierten Applikationen ist derzeit leider noch ungenau. Wir haben einen entsprechenden Hinweis angebracht und arbeiten an einer Verbesserung. Ich gehe nicht davon aus, dass noch Dateileichen zurückgelassen wurden und empfehle, vorläufig noch abzuwarten.

  29. Ich schliesse mich den Bedenkne zahlreicher Cyönler hier an. An Kundendateien rumzumachen, ohne Auftrag, das geht gar nicht.

    Wenn wir dann noch eine Mail erhalten, wo über ein veraltetes Joomla 2.5xx gesprochen wird, wo doch die Joomla Hard-Core Entwickler vom aktiven Einsatz der 3er Version abraten (siehe VirtueMart Entwicklerseite), da sehr viel noch nicht geanu definiert ist oder laufend wieder geändert wird, muss ich mich über die Idee hier einfach so mal ein paar Patches einzubringen, doch sehr wundern.

    Wir werden unsere Seiten auf jeden Fall auf andere Server verschieben und hier nur noch einen Entwicklungsplatz stehen lassen.

    Sorry, aber unseren Kunden können wir das nicht rüberbringen, da nützen alle gutgemeinten Antworten nicht viel.

  30. Ich bitte Sie höfflichst, dass es möglich sein muss das automatische Patchen zu deaktivieren. Da sowieso jedes Hosting in einem eigenen Container läuft, sollte das Problem ja nur für einen selber auftreten.
    Ich Hilfe selber ein bisschen an Joomla mit und patche meine Seiten manchmal selber um nicht zu warten zu müssen bis die nächste stabile Version erscheint. Wie wird eine Joomla Installation erkennt? Über das Tools Center?

    • Wir haben diese Funktion nachgereicht. Sie ist im Menüpunkt „Sicherheit“ in der rechten Sidebar ganz unten zu finden.

      Nicht alles auf dem Server ist in einem Container. Wenn z.B. der Server auf einer RBL landet, betrifft das alle Kunden auf dem Server.

  31. Was passiert wenn man einen Patch reverted? Bekommt man nach dem nächsten Scan wieder die Meldung, dass eine Sicherheitslücke besteht?

    Dank der Sicherheits-Übersicht habe ich wieder mal mein Hosting aufgeräumt :-)

    • Nein, wird ein Patch reverted, wird diese Datei von weiteren Prüfungen ausgenommen.

      Dank der Sicherheits-Übersicht habe ich wieder mal mein Hosting aufgeräumt :-)

      Das freut uns natürlich :)

  32. Guten Tag zusammen,

    meiner Meinung nach eine gute Ergänzung eurer Services. Genial ist ausserdem, dass ihr gleich auf die Feedbacks eurer Kunden reagiert und u.a. die Verzögerung eingebaut habt.

    Wie sieht es aber aus, wenn z.B. WordPress nicht über euer Scriptcenter sondern manuell installiert wird? Im Sicherheitsregister von my.cyon steht dann lediglich, dass aktuell keine Applikation installiert ist, die von euch überwacht wird. So wie ich es verstehe gehen euch da einige Installationen durch die Lappen. Oder ist dies so gewollt?

    Cheerio

    • Danke für die Rückmeldung.
      Der Weg der Installation spielt keine Rolle, es werden alle Dateien gescanned. Die Anzeige der Installationen ist noch mangelhaft, da arbeiten wir daran. Sicherheitslücken gibt es in deinem Fall offenbar kein. Good job :)

  33. Super Sache das Ganze!
    Kann es jedoch sein, dass neu die Post und Get Method auf potentiellen Schadcode geprüft werden?
    Für einen Kunden ist en GUI impelentiert, welches die Bearbeitung von tpl (bzw. txt)-Dateien erlaubt. Jedoch kommt neuerdings nurnoch eine 403 Seite sobald HTML-Code via Post-Method abgesendet wird.

    • Danke. Der 403-Fehler dürfte unabhängig sein und mit unserer Web Application Firewall zusammenhängen. Du kannst uns kurz die Domain mitteilen, dann whitelisten wir die entsprechende Regel für Dich.

  34. Grundsätzlich gute Idee…
    Wann aktiviert ihr diese Funktion auch auf den Cloud Server (Speedserver)?

    • Es ist noch nicht ganz klar, wann Speedserver diese Funktion erhalten. Bei den Agencies kommt sie in den nächsten paar Wochen. Falls du diesbezüglich Wünsche und Anregungen hast, kannst du dich gerne auch kurz per E-Mail melden.

  35. Hi All

    Echt Ihr seid wirklich die coolsten…
    Ich habe echt noch nie was besseres gesehen. Der Support ist genial
    die Tools wirklich zu gebrauchen und Ihr habt sehr sehr geile Ideen.

    Weiter so

    Gruss
    Frank

  36. Super Sache. Ist auch etwas für Magento geplant? Ein Update ist immer eine Riesenbaustelle… ohne Sicherheitslücken könnte man das eine oder andere einfach vergessen :)

  37. Werden eigentlich auch manuel installierte WordPress/Joomla etc. Instanzen automatisch gepatched?

Kommentar hinzufügen

Ihre E-Mailadresse wird nicht veröffentlicht.
Auszufüllende Felder sind mit einem * gekennzeichnet.

*
*
*
Einfache HTML Anweisungen wie a, strong, blockquote etc. sind möglich.

Hinweis

Wir behalten uns vor, Spam-, beleidigende oder anderweitig unpassende Kommentare zu entfernen.

← zurück zum Blog