Kurzer Blick in die harte Realität gefällig?
Joomla
Das Projekt Joomla hat in den letzten 10 Jahren vier grosse Versionslinien des Systems veröffentlich (2005: Version 1.0, 2008: Version 1.5, 2012: Version 2.5 und ebenfalls 2012 der Version 3.x). Nur die letzte Version (3.x) wird noch supported, also mit Sicherheitsupdates versehen. Innerhalb des 3er Zweigs werden aber nicht alle Versionen supported, sondern nur die Versionen 3.4.x und grösser. Die Version 3.4.0 wurde im Februar 2015 veröffentlicht.
Heute sind wir bei Version 3.4.8, der achten Version innerhalb eines Jahres.
WordPress
WordPress hat ebenfalls vier grosse Versionen (2004: Version 1.0, 2005: Version 2.0, 2010: Version 3 und 2014 die Verson 4.0). Nur die letzte Version (4.x) wird supported. Innerhalb des 4er Zweigs werden aber nicht alle Versionen supported, sondern nur die Versionen 4.4.x und grösser. Die Version 4.4.0 wurde im Dezember 2015 veröffentlicht.
Heute sind wir bei Version 4.4.1, der ersten Version ein paar Tage nach Release des Major Updates.
Drupal
Drupal hat bereits 8 grosse Versionen veröffentlicht (2001: Version 1.0, 2.0 und 3.0, 2002: Version 4.0, 2007: Version 5.0, 2008: Version 6.0, 2011: Version 7.0, 2015: Version 8.0).
Die letzte Version 7.x und die aktuelle Version 8.x werden supported, also mit Sicherheitsupdates versehen.
Der Support für Drupal 6 läuft in ein paar Wochen aus.
Was ist der Unterschied zwischen Update und Upgrade
Als Update wird meist eine Version bezeichnet, die sicherheitsrelevante Änderungen enthält und je nach Philosophie des Projektes, auch Wartungsänderungen und neue Features. Die Updatezyklen werden kürzer, die Updates selbst aber einfacher.
Unter Upgrade versteht man einen Major Versionssprung, der oft mit Inkompatibilitäten daherkommt und daher im professionellen Umfeld Geld kostet. Die Bereitschaft für solche Upgrades ist bei vielen Firmen oft gering.
Major-Upgrades fallen alle paar Jahre an.
Was kann schon passieren?
Jede Website wird mehrmals täglich von automatisierten Programmen aufgerufen. Das können „gute“ und natürlich auch „schlechte“ Programme sein. Die Unterscheidung ist nicht leicht. Wenn wir die grossen Suchmaschinenspider mal zu den „Guten“ zählen, dann sind die „Bösen“ solche Programme, die mit einem fiesen Ziel das Netz scannen.
Ein typisches Ziel wäre: das Content Management System X in der Version Y, die eine Sicherheitslücke enthält.
Also nicht nur Joomla, WordPress und Drupal sind betroffen, sondern natürlich auch Typo3 und all die anderen.
Ist eine bestimmte Version eines CMS anfällig für eine „Verletzung“, so wird es verletzt werden!
Die Frage ist nicht, ob es passiert, sondern einzig und allein wann es passiert!
Sicherheitslücken werden heute bereits Stunden nach Erscheinen eines Updates aktiv gescannt und ausgenutzt. Das bedeutet, du hast wenig, bzw. keine Zeit ein Update zu testen. Soll ich schnell updaten und eine Fehlfunktion der Seite riskieren oder abwarten und „verletzbar“ sein? Es gibt keine pauschale Antwort für dieses Dilemma, sondern du mußt das Risiko für dich abwägen.
Man geht davon aus, dass weit mehr als die Hälfte aller installierten Content-Management-Systeme nicht auf dem neuesten Stand sind!
Ich bin bei einem sicheren Hoster, der regelt das für mich
Jein 🙂
Zunächst mal das Ja: Wir beobachten die Situation natürlich auch und schauen nach verletzlichen Skripten.
Wir können auch allgemeine Massnahmen vornehmen, die bestimmte Filter setzen und die gröbsten Schäden verhindern. Wir nutzen beispielsweise Web Application Firewalls, Botnet Protection Tools, ModSecurity Rules, Greylists von negativ aufgefallenen IP-Adressen und weitere „Helferlein“.
Wir spielen auch im Web Hosting Bereich automatisch dringende Security Updates ein, die du dann in deinem cPanel verfolgen kannst (Patchman). In diesem Bereich kannst du auch selbst deine Website scannen. Das System ist auch auf dedizierten Servern auf Anfrage nutzbar (kostenpflichtig).
Dein Hosting ist also zunächst einmal in sicheren Händen bei uns!
Aber: Es gibt auch ein grosses Nein, weil es mittlerweile „Angriffsformen“ gibt, die nicht allgemein verhinderbar sind, beispielsweise drive-by-downloads.
Website Updates und Upgrades haben einem Zusammenhang mit Geschäftserfolg und Reputation!
Stell‘ dir vor, auf deiner Website wird eine JavaScript Datei von einem anderen Server geladen. Das ist oftmals völlig normal und gewünscht, um eine bestimmte Funktionaltiät anzubieten (z.B. Slideshow, JS-Framework). Ein Link auf eine „böse“ JavaScript Datei kann deine Website aber auch als „Wirt“ benutzen um etwas über die Browser deiner Besucher zu verbreiten. Das heisst, der Besucher deiner Website lädt die JavaScript Datei von einem anderen Server (nichts ahnend) auf seinem Computer, Tablet oder Telefon.
Je nach Software Versionen auf den Endgeräten kann es dann zu mehr oder weniger grossen Problemen bei den Besuchern deiner Website kommen.
Krasses Beispiel gefällig? Mit dem Angler Expoit Kit kann Ransomware, also Erpressungs-Software, installiert werden, die Dateien auf dem Zielsystem verschlüsselt. Wer (als Besucher deiner Website) seine eigenen Daten zurück haben möchte, muss zahlen.
Jede Website dieser Welt kann theoretisch so etwas enthalten (Beispiel), auch deine Website!
Es ist dein Geschäft und deine Reputation, die im Fall des Falles dabei zumindest nicht profitieren.
Was kann ich tun?
Jedes Content-Management-System ist in seiner aktuellen Version sicher, alle älteren Versionen sind unsicher, ALLE!
Welche Version nutze ich?
Jedes System zeigt seine Version irgendwo an.
In Joomla steht die Versionsnummer auf jeder Seite im Administrationbereich in der Fusszeile.
In WordPress wird die aktuelle Version hinter dem Link Updates angezeigt (/wp-admin/update-core.php). WordPress verweist dabei seit längerer Zeit bereits auf die „latest version“, also die letzte Version.
In Drupal findet man die Version im Statusbericht, Menu Berichte -> Statusbericht (/admin/reports/status).
Alle Projekte verfügen über Benachrichtigungsmechanismen innerhalb der installierten Systeme, beispielsweise eine E-Mail an den Administrator, wenn ein Update verfügbar ist. Ausserdem bieten sie unterschiedliche Mechanismen auf den entsprechenden Projekt Websites (Announcements, Mailing Listen, RSS-Feeds, E-Mail Benachrichtigungen, Twitter, u.v.a.m) an die du in deinem eigenen Interesse nutzen solltest!
Links:
- Drupal Security Announcements: https://www.drupal.org/security
- Joomla Annoucements: https://www.joomla.org/announcements/release-news.html
- WordPress: https://wordpress.org/
tl;dr: Website Updates und Upgrades stehen in Zusammenhang mit deiner Reputation und deinem Geschäftserfolg.
Schreibe einen Kommentar