Die Entwickler haben bereits vor zig Jahren bekannt gegeben, daß PHP5 ab 2017 nicht mehr gepflegt und gewartet wird! PHP 7 als Nachfolger von PHP5 hat eine verbesserte Sicherheitsstruktur und ist auch ein Vielfaches performanter, vergeudet also weniger Server-Resourcen und erzeugt dabei zusätzlich schnellere Seiten-Ausgaben. PHP 7 ist seit dem 3. Dezember 2015 auf dem Markt!
Der aktive Support für PHP 5 (letzte Version 5.6) wurde bereits zum 1. Januar 2017, also vor 2,5 Jahren eingestellt! Seit dem gab es nur noch bis zum 1. Januar 2019 Security-Fixe (also auf die letzte Version php 5.6). Seit dem 1. Januar 2019 gibt es keine Updates mehr, auch keine mehr auf bekannt werdende Sicherheitslöcher!
Es gibt nur noch wenige Kunden, die fahren Ihre Webapplikationen noch unter php 5.4 und bereits die Heise-Redaktion hat geschrieben, daß alle alten PHP-Versionen zu einem großen Sicherheitsrisiko geworden sind!
Aufgrund der Weiterentwicklung und dem Vortrieb unserer Hosting-Server, werden AB SOFORT alle php – Versionen < 5.6 auf php 7.1 upgedatet! Ab 01. Juli 2019 werden wir alle Webspaces, die dann noch php 5.6 einsetzen auf php 7.1 umstellen! Sie können jederzeit vorher bereits auf eine höhere Version in Plesk umstellen!
Bitte beachten Sie: Nach dem Umstellen auf eine höhere Version warten Sie mindestens 5 Minuten, bevor Sie Ihre Webseite testen! Im Problemfall, setzen Sie sich bitte direkt über unseren Support in Verbindung!
Archiv der Kategorie: Programmierung
Joomla schlechte absicherung – offene Türen
Seit Jahren quälen sich die Entwickler, die von ihnen so schlecht programmierte Software Joomla endlich mal sicher zu bekommen und immer wieder wird den Kunden versprochen, die neue Version wäre sicher! Leider werden in jeder neuen Version neue offene Türen und Vulnerabilities gefunden, die es Hackern ermöglichen, in die Software einzudringen und diese dann für illegale Aktivitäten zu missbrauchen!
Jetzt sind schon wieder gefährliche Bugs in Joomla gefunden worden, wo der Hacker sogar die Quelle für künftige Updates „verstellen“ können! Die Folge: Es können entweder keine Updates mehr geladen werden oder von der Quelle des Hackers mit noch schlimmerer Schadsoftware!
Betroffen sind alle Joomla – Versionen bis zu 3.9.7. Wer also noch nicht auf Version 3.9.8 upgedatet hat, sollte dies jetzt unverzüglich tun. Wenn Joomla behauptet, es würden keine Updates vorhanden sein, obwohl die neueste Version nicht installiert ist, dann ist Ihr Joomla womöglich bereits gehackt!
Wir können nur empfehlen entweder a) regelmäßige Updates durch zu führen oder b) einen Wartungsvertrag (bieten wir unseren Joomla-Kunden über die Webseite https://webhosting.1awww.com/de/andere-produkte/joomla-wartungsvertraege.html an) abzuschließen oder c) besser grundsätzlich kein Joomla mehr zu verwenden!
Joomla 3.9.3 schliesst sicherheitslücken
Kunden, die keinen Wartungsvertrag abgeschlossen haben, müssen dringend für regelmäßige Updates sorgen, damit bekannt gewordene Sicherheitslücken nicht von Hackern für Einbrüche missbraucht werden können!
Der neueste Update von Joomla Version 3.9.3 schließt diverse Sicherheitslücken der CMS-Software!
Wer keine Updates mehr machen will, sollte seine Webseiten lieber mit dem Prima-Website-Builder entwickeln! Einmal entwickelte Webseiten brauchen nie wieder upgedatet werden und Sie können mit dem PWB auch bestehende Webseiten importieren!
Schauen Sie sich doch einfach die Demo an oder probieren Sie es einfach aus, wie einfach Sie mit dem Prima-Website-Builder sichere Webseiten entwickeln können, ohne sich mit unsicherem Zeugs, wie Joomla herum schlagen zu müssen!
Vulnerabilities = Sicherheitslücken finden sich in vielen Software-Produkten. Diese werden von den betroffenen Programmierern teilweise erst später entdeckt, sind aber ggf. so gefährlich, daß Sie Einbrüche in die Software ermöglichen! Daher sind Sicherheitslücken unbedingt rechtzeitig zu beseitigen, was in der Regel über die von den Herstellern heraus gegebene Updates erfolgt!
Joomla dringend updaten auf 3.8.13
Das Sicherheitsteam von Joomla hat ein neues Update heraus gegeben, daß gleich 5 Vulnerabilities schließen soll!
Bis zur Version Joomla 3.8.12 können Hacker z.B. Schadcode ausführen über den internen Update-Bereich! Auch können sich Hacker problemlos bis Joomla 3.8.12 registrieren und die Freischaltung erwirken! Was für ein Wahnsinn, daß Joomla nach wie vor eines der unsichersten CMS-Systeme ist! Die nachfolgenden CVEs wurden dann auch noch als Low eingestuft, aber nur wenige Stunden nach Veröffentlichung, konnten wir auf einem Kunden-Webspace mit Joomla 3.8.12 ganz massive Attacken feststellen, die sogar zu einer CPU-Dauer-Belastung geführt haben!
Wer keinen Wartungsvertrag hat, sollte dringend Joomla auf den neuesten Stand updaten! Bitte denken Sie auch daran, Plugins und Themes etc. mit abzudaten!
Wer sich von Joomla trennen möchte, den empfehlen wir den
Prima-Website-Builder
Wir stellen bereits diverse Projekte auf den PWB um, da dieser uns einwandfreie Seiten erzeugt, die nicht mehr gehackt werden können und wo wir auch keine ständigen Updates durchführen müssen! Selbst große Datenbank-Projekte, wie Europaladies.com können umgestellt werden! Bei Fragen, setzen Sie sich bitte mit uns in Verbindung!
Hier die CVE-Nummern und eine Kurzinfo zu den Vulnerabilities:
CVE-2018-17859 Inadequate checks in com_contact could allowed mail submission in disabled forms
CVE-2018-17856 Joomla’s com_joomlaupdate allows the execution of arbitrary code. The default ACL config enabled access of Administrator-level users to access com_joomlaupdate and trigger a code execution.
CVE-2018-17857 Inadequate checks on the tags search fields can lead to an access level violation.
CVE-2018-17855 In case that an attacker gets access to the mail account of an user who can approve admin verifications in the registration process he can activate himself.
CVE-2018-17858 Added additional CSRF hardening in com_installer actions in the backend.
Hosts sind abgesichert gegen die neuen CPU-Bugs
Server und Webspaces bei 1awww sind gegen die CPU-Bugs (Meltdown und Spectre) abgesichert! Für die Virtualisierungssoftware Proxmox 4./5.x wurden gestern die Patches veröffentlicht und von uns gestern Abend um ca. 23:30 Uhr in alle Hosts eingespielt! Auch wurden diverse Server unserer Infrastruktur abgesichert! Der Modus KPTI (Page Table Isolation) wurde dabei zusätzlich auf „enabled“ gesetzt!
Was jeder Anwender wissen sollte!
Wir geben im Anschluss Empfehlungen, die je nach Gruppe von jedem Anwender unbedingt beachtet werden sollten, um böse Überraschungen zu vermeiden! Hosts sind abgesichert gegen die neuen CPU-Bugs weiterlesen
Joomla 3.8.2 – unbedingt updaten – Sicherheitslücken
Wenn Updates vom Joomla – Team für Joomla heraus gegeben werden, so handeln sich diese meistens um die Beseitigung von Sicherheitslücken (sogenannte Vulnerabilities), die es Hackern ermöglichen, in den Webspace einzudringen und diesen für illegale Zwecke zu missbrauchen!
Natürlich werden dann auch die bis dahin mit heißer Nadel Joomla 3.8.2 – unbedingt updaten – Sicherheitslücken weiterlesen
Update auf Joomla 3.8.0 unbedingt durchführen
Wir haben bereits am 20.09.2017 einen Artikel geschrieben, weil Joomla am 19.09.2017 einen neuen Update auf die Version Joomla 3.8.0 heraus gegeben hat! Erst nach Bekanntgabe des neuen Updates wurde mit einer Verzögerung bekannt gegeben, daß alle Vorversion und zwar ab Version 1.x bis 3.7.5 einschließlich über eine LDAP-Sicherheitslücke verfügen, über die Hacker in Joomla einbrechen können! Auch im CVE wurde der Vulnerability erst am 20.09.2019, nachdem wir unseren Blog-Artikel verfasst haben, bekannt gegeben!
Obwohl der Update-Prozess unter Umständen Ihre Joomla-Installation komplett zerschießen kann, müssen Sie aber nun zwangsläufig unbedingt die Updates installieren!
Sie sollten vorher unbedingt ein Backup über Plesk durchführen, bevor Sie den Update-Prozess starten! Wir haben verschiedene Lösungsmöglichkeiten gefunden, die Updates für alle Kunden durch zu führen, die laufende Wartungsaufträge haben. Lediglich bei einem Webspace kann der Update auch mit Reparaturen nicht durchgeführt werden, weil hier noch Plugins aus dem Jahre 2013 laufen. Evtl. müssen hier harte manuelle Anpassungen erfolgen, um die alten Plugins ggf. umzustellen, da es offensichtlich für diese keine Updates mehr gibt!
Wie schon geschrieben, ist Joomla ein extrem gefährliches Produkt, bei dem seit ewigen Jahren ständige Sicherheitslücken gefunden werden! Wir können Kunden, die sich eine neue Website programmieren wollen oder programmieren lassen wollen, Joomla NICHT mehr empfehlen! Wir können ersatzweise den Prima-Website-Builder empfehlen!
WORKARROUND für Fatal error: Cannot redeclare class JFormField in plugins/system/jat3/jat3/core/joomla/form/field.php on line 20
Folgender Fehler tritt bei vielen Programmierern / Kunden nach einem Update / Upgrade auf, die Fabrik unter Joomla mit JAT3 – Purity II oder Purity III – Templates verwenden:
Fatal error: Cannot redeclare class JFormField in plugins/system/jat3/jat3/core/joomla/form/field.php on line 20
Im Fabrikar – Forum (und über Google) sind dazu leider viele Problem-Meldungen von Usern zu finden, WORKARROUND für Fatal error: Cannot redeclare class JFormField in plugins/system/jat3/jat3/core/joomla/form/field.php on line 20 weiterlesen