Wir sind flexibel: (10.00 - 22.00 Uhr): kontakt@cms-reparatur.de

Über CMS ReparaturWeblinksImpressum | Datenschutz



Blog

Hier werden Sie in losem Zeitabstand Themen aus meinem Arbeitsalltag finden.
  • Geschrieben von Christian Wolff
  • Erstellt: 21. August 2018
  • Zuletzt aktualisiert: 07. Juli 2020

Sicherheitsrisiko Akeeba Kickstart?

Viele Nutzer setzen die Backup-Erweiterung Akeeba Backup ein. Diese ist recht praktisch, ich setze sie selbst gerne ein, da es viele Schritte vereinfacht. Und sie ist mächtig, sehr mächtig. Wenn man ein Backup, egal ob im .jpa- oder .zip-Format, wiederherstellen möchte, benötigt man bekannter Weise Akeeba Kickstart. Man lädt es gemeinsam mit dem Backup auf den Server, und ruft es dann im Browser auf. Dieses Tool entpackt das Backup auf dem Webspace, und schubst die Installationroutine an.

Aber es kann noch mehr: es kann .zip-Dateien von jedem beliebigen Quellserver auf den eigenen Webspace importieren, und extrahieren. Und genau da wird es gefährlich.

kickstart2Es gibt automatisierte Scripts (Bots), die das gesamte Internet nach der Datei kickstart.php durchsuchen, und durch eine Routine in diesem Bot automatisch Schadcode in einem .zip-Archiv auf den Server laden. In ein solches Archiv lassen sich beliebige Dateien wie Trojaner, Shells, Phishing-Scripts, SEO-Spam für Kickstart (und vorerst auch vor der Virenprüfsoftware des Servers) unsichtbar verpacken, denn Kickstart prüft nicht, was es hochlädt und entpackt.

Am Ende der Wiederherstellung eines Backups mit Akeeba Backup wird man aufgefordert, den Button "Aufräumen" zu klicken. Das sollte man dringlichst tun, somit werden sämtliche Kickstart-Dateien und auch das Backup restlos vom Server gelöscht. Trotzdem schadet es nicht, das mittels FTP zu kontrollieren. Damit Ihre Seite weiterhin sicher bleibt wink.

  • Geschrieben von Christian Wolff
  • Erstellt: 18. Januar 2018
  • Zuletzt aktualisiert: 25. Mai 2018

Joomla! und SSL

Vor einiger Zeit haben die Browser Google Chrome und Mozilla Firefox damit angefangen, Webseiten, die nicht mit einem SSL-Verschlüsselungszertifikat ausgestattet sind, als nicht vertrauenswürdig und gefährlich einzustufen. Insbesondere dann, wenn auf der Seite etwaige Kontaktformulare eingerichtet sind. Es ist bekannt, dass Suchmaschinen wie Google Webseiten im Ranking abstrafen, die über kein SSL-Verschlüsselungszertifikat verfügen. Dieses Zertifikat bewirkt, dass in der Adressleiste eines Browsers ein "grünes https" mit einem davor angezeigten Vorhängeschloss, gefolgt von einem "Sicher", anstatt eines "http" und einem Fragezeichen vor der Domain angezeigt wird, und die Webseite somit, wenn alles richtig gemacht wurde, als sicher und vertrauenswürdig eingestuft wird.

Ein SSL(TLS)-Zertifikat bewirkt, dass sämtlicher Datenverkehr zwischen Browser (Client) und Server verschlüsselt wird, und es somit keine Möglichkeit gibt, diesen Verkehr abzuhören oder mitzuschneiden. Besonders wichtig, wenn es um persönliche Daten handelt, wie sich jeder vorstellen kann. Jeder gute Hoster bietet solche Zertifikate an, manche als kostenfreie Let's Encrypt Zertifikate, viele als Zertifikate, die von Ihrem Hoster von einem Anbieter erworben, und kostenpflichtig an Sie weitergegeben werden. Im Schnitt kostet ein solches Zertifikat ab 25 bis 40 Euro im Jahr. Bitte informieren Sie sich bei Ihrem Hoster selbst darüber, er kann Sie entsprechend beraten, welches Zertifikat für Sie sinnvoll ist.

Wie Sie Joomla beibringen, alle Seiten SSL-verschlüsselt auszugeben, und das "https" in der Adressleiste anzuzeigen, erfahren Sie hier...

Weiterlesen: Joomla! und SSL

  • Geschrieben von Christian Wolff
  • Erstellt: 31. Mai 2017
  • Zuletzt aktualisiert: 01. Juni 2017

Joomla! versendet E-Mails

Vor ein paar Versionen wurde ein Plugin in Joomla eingebaut, welches automatisch eine E-Mail an alle Super User sendet, wenn es ein Update für Joomla gibt. Ich finde das sehr praktisch, so gibt es doch weniger joomla-affine Menschen, die die "Mutter" aller Seiten, https://www.joomla.org besuchen, um sich dort zu informieren. Diese E-Mail weist darauf hin, welche Version installiert ist, und welche Versionskennzeichnung das soeben erschienene Update hat. Auch eine gute Möglichkeit, Kunden für das Thema Sicherheit zu sensibilisieren, sofern sie denn einen Super User Zugang auf ihrer eigenen Seite haben.

Weiterlesen: Joomla! versendet E-Mails

  • Geschrieben von Christian Wolff
  • Erstellt: 27. April 2017
  • Zuletzt aktualisiert: 27. April 2017

Der Apache und die Umlaute in Datei- und Verzeichnisnamen

Im laufenden Betrieb kommt es häufig vor, dass eigene Verzeichnisse mit dem Medienmanager in Joomla angelegt werden. Um dort zB. Bilder oder Dokumente hochzuladen, und sie auf der Seite zu verlinken. Da der Apache-Webserver, wenn nicht anders konfiguriert, ausschliesslich die englische Schreibweise ohne Umlaute und Sonderzeichen mag, und auch genau auf die Groß- und Kleinschreibung achtet (case sensitive), sind folgende Dinge zu beachten, um keine Probleme zu bekommen:

Weiterlesen: Der Apache und die Umlaute in Datei- und Verzeichnisnamen

  • Geschrieben von Christian Wolff
  • Erstellt: 10. April 2017
  • Zuletzt aktualisiert: 11. April 2017

Chaos auf dem Webspace

Täglich habe ich mit Kunden zu tun, die mich im Rahmen meiner Tätigkeiten auf ihren Webspace oder ihren Server sehen lassen. Oft stelle ich dann fest, dass zu einer oder zu mehreren Domains viele verschiedene Joomlainstallationen vorzufinden sind. Diverse Versionen, mitunter mehrere Jahre alt, mutig ineinander verschachtelt. Und, ganz schlimm, noch funktionsfähig und über den Browser erreichbar. Dass das böse nach hinten losgehen kann, möchte ich hier gerne erläutern.

Weiterlesen: Chaos auf dem Webspace

Copyright © 2006 - 2020 CMS Reparatur. Alle Rechte vorbehalten.
Joomla! ist freie, unter der GNU/GPL-Lizenz veröffentlichte Software. Der Name Joomla!® ist ein eingetragenes Markenzeichen der OpenSourceMatters aus den USA und anderen Ländern. CMS Reparatur ist kein Bestandteil der OpenSourceMatters oder des Joomla! Projekts.