Updates und Upgrades bei WordPress, Joomla und Drupal

Updating https://www.flickr.com/photos/gaborhojtsy/2881056175/ (CC BY-SA 2.0)

Updating https://www.flickr.com/photos/gaborhojtsy/2881056175/ (CC BY-SA 2.0)

Kurzer Blick in die harte Realität gefällig?

Joomla

Das Projekt Joomla hat in den letzten 10 Jahren vier grosse Versionslinien des Systems veröffentlich (2005: Version 1.0, 2008: Version 1.5, 2012: Version 2.5 und ebenfalls 2012 der Version 3.x). Nur die letzte Version (3.x) wird noch supported, also mit Sicherheitsupdates versehen. Innerhalb des 3er Zweigs werden aber nicht alle Versionen supported, sondern nur die Versionen 3.4.x und grösser. Die Version 3.4.0 wurde im Februar 2015 veröffentlicht.
Heute sind wir bei Version 3.4.8, der achten Version innerhalb eines Jahres.

WordPress

WordPress hat ebenfalls vier grosse Versionen (2004: Version 1.0, 2005: Version 2.0, 2010: Version 3 und 2014 die Verson 4.0). Nur die letzte Version (4.x) wird supported. Innerhalb des 4er Zweigs werden aber nicht alle Versionen supported, sondern nur die Versionen 4.4.x und grösser. Die Version 4.4.0 wurde im Dezember 2015 veröffentlicht.
Heute sind wir bei Version 4.4.1, der ersten Version ein paar Tage nach Release des Major Updates.

Drupal

Drupal hat bereits 8 grosse Versionen veröffentlicht (2001: Version 1.0, 2.0 und 3.0, 2002: Version 4.0, 2007: Version 5.0, 2008: Version 6.0, 2011: Version 7.0, 2015: Version 8.0).
Die letzte Version 7.x und die aktuelle Version 8.x werden supported, also mit Sicherheitsupdates versehen.
Der Support für Drupal 6 läuft in ein paar Wochen aus.

Was ist der Unterschied zwischen Update und Upgrade

Als Update wird meist eine Version bezeichnet, die sicherheitsrelevante Änderungen enthält und je nach Philosophie des Projektes, auch Wartungsänderungen und neue Features. Die Updatezyklen werden kürzer, die Updates selbst aber einfacher.

Unter Upgrade versteht man einen Major Versionssprung, der oft mit Inkompatibilitäten daherkommt und daher im professionellen Umfeld Geld kostet. Die Bereitschaft für solche Upgrades ist bei vielen Firmen oft gering.

Major-Upgrades fallen alle paar Jahre an.

Was kann schon passieren?

Jede Website wird mehrmals täglich von automatisierten Programmen aufgerufen. Das können „gute“ und natürlich auch „schlechte“ Programme sein. Die Unterscheidung ist nicht leicht. Wenn wir die grossen Suchmaschinenspider mal zu den „Guten“ zählen, dann sind die „Bösen“ solche Programme, die mit einem fiesen Ziel das Netz scannen.

Ein typisches Ziel wäre: das Content Management System X in der Version Y, die eine Sicherheitslücke enthält.

Also nicht nur Joomla, WordPress und Drupal sind betroffen, sondern natürlich auch Typo3 und all die anderen.
Ist eine bestimmte Version eines CMS anfällig für eine „Verletzung“, so wird es verletzt werden!
Die Frage ist nicht, ob es passiert, sondern einzig und allein wann es passiert!

Sicherheitslücken werden heute bereits Stunden nach Erscheinen eines Updates aktiv gescannt und ausgenutzt. Das bedeutet, du hast wenig, bzw. keine Zeit ein Update zu testen. Soll ich schnell updaten und eine Fehlfunktion der Seite riskieren oder abwarten und „verletzbar“ sein? Es gibt keine pauschale Antwort für dieses Dilemma, sondern du mußt das Risiko für dich abwägen.

Man geht davon aus, dass weit mehr als die Hälfte aller installierten Content-Management-Systeme nicht auf dem neuesten Stand sind!

Ich bin bei einem sicheren Hoster, der regelt das für mich

Jein 🙂

Zunächst mal das Ja: Wir beobachten die Situation natürlich auch und schauen nach verletzlichen Skripten.
Wir können auch allgemeine Massnahmen vornehmen, die bestimmte Filter setzen und die gröbsten Schäden verhindern. Wir nutzen beispielsweise Web Application Firewalls, Botnet Protection Tools, ModSecurity Rules, Greylists von negativ aufgefallenen IP-Adressen und weitere „Helferlein“.

Angriffsversuche
Angriffsversuche

Wir spielen auch im Web Hosting Bereich automatisch dringende Security Updates ein, die du dann in deinem cPanel verfolgen kannst (Patchman). In diesem Bereich kannst du auch selbst deine Website scannen. Das System ist auch auf dedizierten Servern auf Anfrage nutzbar (kostenpflichtig).

Patchman
Patchman

Dein Hosting ist also zunächst einmal in sicheren Händen bei uns!

Aber: Es gibt auch ein grosses Nein, weil es mittlerweile „Angriffsformen“ gibt, die nicht allgemein verhinderbar sind, beispielsweise drive-by-downloads.

Website Updates und Upgrades haben einem Zusammenhang mit Geschäftserfolg und Reputation!

Stell‘ dir vor, auf deiner Website wird eine JavaScript Datei von einem anderen Server geladen. Das ist oftmals völlig normal und gewünscht, um eine bestimmte Funktionaltiät anzubieten (z.B. Slideshow, JS-Framework). Ein Link auf eine „böse“ JavaScript Datei kann deine Website aber auch als „Wirt“ benutzen um etwas über die Browser deiner Besucher zu verbreiten. Das heisst, der Besucher deiner Website lädt die JavaScript Datei von einem anderen Server (nichts ahnend) auf seinem Computer, Tablet oder Telefon.
Je nach Software Versionen auf den Endgeräten kann es dann zu mehr oder weniger grossen Problemen bei den Besuchern deiner Website kommen.
Krasses Beispiel gefällig? Mit dem Angler Expoit Kit kann Ransomware, also Erpressungs-Software, installiert werden, die Dateien auf dem Zielsystem verschlüsselt. Wer (als Besucher deiner Website) seine eigenen Daten zurück haben möchte, muss zahlen.
Jede Website dieser Welt kann theoretisch so etwas enthalten (Beispiel), auch deine Website!
Es ist dein Geschäft und deine Reputation, die im Fall des Falles dabei zumindest nicht profitieren.

Was kann ich tun?

Jedes Content-Management-System ist in seiner aktuellen Version sicher, alle älteren Versionen sind unsicher, ALLE!

Welche Version nutze ich?

Jedes System zeigt seine Version irgendwo an.

In Joomla steht die Versionsnummer auf jeder Seite im Administrationbereich in der Fusszeile.

Joomla - Version
Joomla – Version

In WordPress wird die aktuelle Version hinter dem Link Updates angezeigt (/wp-admin/update-core.php). WordPress verweist dabei seit längerer Zeit bereits auf die „latest version“, also die letzte Version.

WordPress - Version
WordPress – Version

In Drupal findet man die Version im Statusbericht, Menu Berichte -> Statusbericht (/admin/reports/status).

Drupal - Version
Drupal – Version

Alle Projekte verfügen über Benachrichtigungsmechanismen innerhalb der installierten Systeme, beispielsweise eine E-Mail an den Administrator, wenn ein Update verfügbar ist. Ausserdem bieten sie unterschiedliche Mechanismen auf den entsprechenden Projekt Websites (Announcements, Mailing Listen, RSS-Feeds, E-Mail Benachrichtigungen, Twitter, u.v.a.m) an die du in deinem eigenen Interesse nutzen solltest!

Links:


tl;dr: Website Updates und Upgrades stehen in Zusammenhang mit deiner Reputation und deinem Geschäftserfolg.

Autor: Hagen Graf

consultant, author, trainer, solution finder, web architect, developer, open source lover, visionary, orator, the good old webmaster. Able to simplify!

3 Gedanken zu „Updates und Upgrades bei WordPress, Joomla und Drupal“

  1. Ich bin ja auch sehr vorsichtig und komme seit gut drei Monaten in den Besitz eines eigenen Rootservers. So habe ich etliches wegen der besseren Sicherheit aktiviert, wie auch ModSecurity und die Sperrung der IP-Adressen. Das habe ich bereits aktiv. Dann date ich täglich den Server in der Kommandozeile up, indem ich „yum update“ ausführe und erst gestern mussten fast 100 MB installiert werden bzw. es waren Updates verschiedener Server-Komponenten wie auch PHP 5.6.23.

    Aber auch ich kann etwas vernachlässigen und schon zu viele OpenSource CMS sind installiert. Manchmal bin ich tagelang eingespannt und muss im Internet nach neuen Updates Ausschau halten. Das ist so sehr wichtig für meine Projekte, dass es mir bewusst wird, ich muss es so machen, um auf Nummer sicher zu gehen.

    Joomla steht noch auf meiner ToDo-Liste und das werde ich schon demnächst abhaken können. WordPress und Drupal Updates spiele ich meistens insofern zeitnah ein, nachdem ich darüber erfahren habe. Sicherheitsupdates werden bei mir unmittelbar nach dem Erfahren installiert.

      1. Hallo Hagen,
        ja, läuft gut bisher. Plesk aktualisiert sich automatisch und den Server muss ich updaten.

        Mir fällt hier auf, dass meine Pingbacks nicht durchgekommen sind.

Kommentar verfassen