Update auf Joomla 3.8.0 unbedingt durchführen

Joomla 3.8.0 Update durchführenWir haben bereits am 20.09.2017 einen Artikel geschrieben, weil Joomla am 19.09.2017 einen neuen Update auf die Version Joomla 3.8.0 heraus gegeben hat! Erst nach Bekanntgabe des neuen Updates wurde mit einer Verzögerung bekannt gegeben, daß alle Vorversion und zwar ab Version 1.x bis 3.7.5 einschließlich über eine LDAP-Sicherheitslücke verfügen, über die Hacker in Joomla einbrechen können! Auch im CVE wurde der Vulnerability erst am 20.09.2019, nachdem wir unseren Blog-Artikel verfasst haben, bekannt gegeben!

Obwohl der Update-Prozess unter Umständen Ihre Joomla-Installation komplett zerschießen kann, müssen Sie aber nun zwangsläufig unbedingt die Updates installieren!

Sie sollten vorher unbedingt ein Backup über Plesk durchführen, bevor Sie den Update-Prozess starten! Wir haben verschiedene Lösungsmöglichkeiten gefunden, die Updates für alle Kunden durch zu führen, die laufende Wartungsaufträge haben. Lediglich bei einem Webspace kann der Update auch mit Reparaturen nicht durchgeführt werden, weil hier noch Plugins aus dem Jahre 2013 laufen. Evtl. müssen hier harte manuelle Anpassungen erfolgen, um die alten Plugins ggf. umzustellen, da es offensichtlich für diese keine Updates mehr gibt!

Wie schon geschrieben, ist Joomla ein extrem gefährliches Produkt, bei dem seit ewigen Jahren ständige Sicherheitslücken gefunden werden! Wir können Kunden, die sich eine neue Website programmieren wollen oder programmieren lassen wollen, Joomla NICHT mehr empfehlen! Wir können ersatzweise den Prima-Website-Builder empfehlen!

VORSICHT vor dem Update von Joomla 3.8.0 !!! Update zerschießt Installation

Auf mehreren Webspace wird nach dem Update von Joomla 3.7.5 auf Joomla 3.8.0 die Installation mit abenteuerlichen Fehlern zerschossen, wie:

Fatal error: Cannot declare class JInput, because the name is already in use in /homepages/43/d40530963/htdocs/v3/libraries/fof/input/jinput/input.php on line 39

Auch in diversen Foren finden sich dazu Einträge von anderen Anwendern, wie z.B. unter:

https://forum.joomla.de/index.php/Thread/4381-Update-fehlgeschlagen/

Bevor Sie den Update einspielen, sollten Sie unbedingt über den Backup-Manager in Plesk ein vollständiges (nicht inkrementelles) Backup durchführen und erst danach das Update installieren!

Wir hatten so etwas bereits in Joomla 3.2:

https://blog.1awww.com/2013/11/13/dringende-warnung-vor-update-auf-joomla-3-2/

Joomla aktualisieren – Update auf 3.7.5 unbedingt installieren

Joomla aktualisierenSie müssen unbedingt Joomla aktualisieren auf die neueste Version 3.7.5, weil alle Vorversionen Sicherheitslücken (Vulnerabilities) enthalten!

Alle Versionen bis auf die neueste Version Joomla 3.7.5 können von Hackern dazu verwendet werden, um in Joomla und damit in den Webspace einzudringen und damit die Kontrolle zu übernehmen!

Auch Plugins in Joomla aktualisieren!

Sie sollten aber auch stetig prüfen, ob weitere Plugins, die Sie installiert haben, aktuell sind oder ob sich in diesen ebenfalls Sicherheitslücken befinden! Wenn Sie also Joomla aktualisieren, werden die eingespielten Plugins nicht automatisch mit upgedatet!

Andererseits führen Aktualisierungen (Updates) nicht unbedingt eine Verbesserung mit und teilweise führen diese sogar dazu, daß die Seiten nicht abrufbar sind oder nicht mehr so angezeigt werden, wie Sie diese erstellt haben – bis hin zum vollständigen Ausfall der Webseiten! Dies ist aber meist darauf zurück zu führen, daß die Plugins nicht vollständig sauber programmiert sind!

Daher empfehlen wir Kunden, die Joomla einsetzen und sich nicht so intensiv mit Joomla auskennen, einen Wartungsvertrag abzuschließen. 1awww bietet ebenfalls Wartungsverträge an, die bereits ab 5 Euro/Monat beginnen (Standard-Joomla-Installation). Es gibt viele Mitbewerber, die für diesen Service pro Joomla – Installation weit aus mehr als 20 Euro/Monat verlangen! Für Sie sollte aber die Sicherheit Ihrer Website an oberster Stelle stehen, denn würden Sie Zeitungswerbung schalten, müssten Sie auch entsprechend viel investieren. Die irrige Meinung, mit Joomla 1x eine Seite zu erstellen und dann keine Kosten mehr zu haben, ist also grundsätzlich falsch!

Stressfreie Webseiten entwickeln:

Erfolg können Sie als Webseiten-Betreiber nur haben, wenn Sie die Website ständig weiter entwickeln und diese auch an die neuen Techniken anpassen!

Wer also eine neue Website entwickelt und nicht mehr den Streß von Updates haben möchte, dem empfehlen wir, die Website mit dem Prima-Website-Builder zu erstellen! Ihre Webseiten sind sicher und können nicht gehackt werden und Sie können diese mit den neuesten Techniken erzeugen und sind immer auf der sicheren Zeit und sparen sogar eine Menge Geld für Programmierer, Update-Service usw!

Links zu:

Wartungsvertrag für Joomla
Prima-Website-Builder

Joomla Sicherheits-Update einspielen

Joomla Sicherheits-UpdateVor einigen Tagen wurde von Joomla ein neuer Sicherheits-Update heraus gegeben! Es ist dringen dieser neue Joomla Sicherheits-Update einzuspielen, der Joomla auf die Version 3.7.4 updatet!
Dieser Update schließt etliche gefundene Bugs in Joomla, auch z.B. Sicherheitslöcher (Vulnerabilites), die im CVE als besonders “critical” unter folgenden CVE-Nummern gelistet sind: CVE-2017-11612 / CVE-2017-11364.

Wann muss ein Sicherheits-Update eingespielt werden?

Grundsätzlich sollten Webmaster Updates unmittelbar nach Erscheinen installieren, denn nach Veröffentlichung von Sicherheitslöchern und deren Bug-Fixes, wie auch Sicherheits-Updates, können Hacker die alten Scripte gegen die neuen Scripte abgleichen und feststellen, wo Änderungen statt gefunden haben! Daraus können Sie die Sicherheitslöcher erkennen und ihre Attacken vorbereiten! Die Attacken beginnen in der Regel nur wenige Tage nach Herausgabe eines Updates!

Irrige Meinung von Webseiten-Betreibern

Wir hören immer wieder: Ja, aber wir betreiben ja nur eine kleine Seite und die kann ja für Hacker gar nicht Joomla Sicherheits-Update einspielen weiterlesen

Polizei schaltet Darknet-Site mit Kinder-Pornografie ab – 87.000 Benutzer

Gefängnis für Darknet-Site Betreiber wegen KinderpornografieDer Polizei ist ein massiver Schlag gegen mehrere Betreiber einer Darknet-Site die Kinder-Pornografie verbreitete, die von 87.000 Benutzern verwendet wurden!

Lt. Heise, wurde der Haupttäter, ein 39 jähriger Mann aus Hessen (Deutschland), bereits vor einigen Wochen festgenommen und sitzt inzwischen ein!

Sicherlich werden nun die Polizeistellen weltweit die Abrufer dieser Seiten ermitteln und es bleibt abzuwarten, aber es wird sicherlich noch zu zahlreichen Festnahmen kommen!

Was uns, wie auch viele andere in Foren erschreckt, ist die massive Anzahl von Abrufern solcher Kinder-Pornografie Seiten. Auf diesen soll wohl auch Material gezeigt worden sein, wo Kinder gegen ihren Willen zu Sex etc. gezwungen wurden!

In diesem Zusammenhang möchten wir noch mal darauf hinweisen, daß jeder Admin von Webseiten (z.B. einer Joomla-Webseite), unbedingt auf Updates achten soll, denn solche Verbrecher nutzen immer öfter, die Speicherplätze von gehackten Webspaces! Dort lassen sich wunderbar Bilder und Videos in irgendeinem Unterverzeichnis verstecken! Sie müssen immer beachten, daß Sie für Ihren Webspace und Webserver voll verantwortlich sind und daher auch voll haften!

WICHTIG: Joomla updaten auf 3.7.3

Jetzt Joomla updaten

Jetzt Joomla updaten!
Das Entwicklerteam von Joomla hat einen neuen Update auf 3.7.3 veröffentlicht, indem 230 Bugs geschlossen werden! Unter anderem werden davon 3 sicherheitskritische Bugs (sogenannte Vulnerabilities) geschlossen, die es Hacker ermöglichen, in den Webspace einzudringen und Administrator-Rechte zu erlangen!

Die eine Sicherheitslüche (Vulnerability) ist gelistet im CVE unter der CVE-2017-9933 und ist damit extrem kritisch. Dabei können Hacker mit der Adressen-Übermittlung von Seiten (URLs) diese fälschen und mittels SQL-Injection unter anderem neue User anlegen, die dann mit Rechten eines Administrators an alles heran kommen!

Gefahren, wenn Updates nicht eingespielt werden:

Früher wurden gehackte Webspace oft unbrauchbar gemacht, um deren Kunden zu ärgern. Heute werden gehackte Webspaces oft von Hackern für die Verbreitung von illegalem Inhalt verwendet! Illegale Inhalte können sein: Spam, Kinderpornografie, terroristisches Material und Raubkopien von Musik und Videos! Die Haftung liegt dabei beim Webmaster, also der Person, die Joomla installiert hat!

Haftung des Webmasters für fehlende Updates:

Um daß noch mal genauer festzuhalten: Webmaster sind für die Einspielung der Scripts in den Webspace voll verantwortlich und haftbar. Sie dürfen nur einwandfreie Software einspielen! Der Server-Hoster kann nicht wissen, was Kunden in den Webspace einspielen und ist auch nicht zu einer Überwachung verpflichtet! Es ist also wichtig, entweder selbst die Joomla Webspaces upzudaten oder sich für einen Update-Service (Wartungsvertrag) zu entscheiden.

Joomla Updates führen oft zu Fehlern und Fehlermeldungen:

Bei Joomla stellen wir immer wieder fest, daß Updates oft “knallen” und dann extreme Eingriffe notwendig sind, die auch oft mehrere Stunden Arbeit bedeuten, um Joomla so zu fixen, daß alle Updates installiert werden können! Bei gleichen Installation läßt sich oft ein sogar gleiches Plugin nicht aktualisieren! Dann ist unter Umständen auch ein Entfernen dieses Plugins nicht möglich und auch nicht eine Neuinstallation! Hier scheint es so, daß Hacker dann bereits Joomla “angeknackst” haben, also schon in Joomla eingedrungen sind, aber es dennoch nicht erreicht haben größeren Schaden zu verursachen!

Es ist also darauf zu achten, möglichst wenig Plugins und Themes in Joomla zu installieren und alle anderen, die nicht benötigt werden oder deren Herkunft und Sicherheit unklar ist, zu entfernen! Ferner muß dafür gesorgt werden, daß diese Plugins ebenfalls auch regelmäßig upgedatet werden, wobei nie bekannt ist, wann diese Plugin-Updates heraus gegeben werden! Viel schlimmer ist auch der Umstand, daß es manche Entwickler von Plugins gibt, die alle 2-3 Tage ein Update benötigen, wobei es hier oftmals gar nicht um sicherheitskritische Fehler geht, die geschlossen werden müssen. Das große Problem hierbei, daß Webmaster verunsichert werden und am Anfang täglich nach Updates schauen und nach einige Zeit sich um diese gar nicht mehr kümmern!

Dem Update-Wahn entkommen

Diesem Update-Wahn zu entkommen, ist nur möglich, wenn neue Projekte und ggf. auch bestehende Projekte auf andere Plattformen migriert werden, bei denen keine CMS-Systeme mehr auf dem Server benötigt werden, sondern die einzelnen Seiten durch einen Generator einkopiert werden und somit von einander getrennt sind.

Webseiten entwickeln mit besseren Systemen – schauen Sie mal unter: https://www.prima-website.com

Joomla im Alltag nicht sicher:

Zusammenfassend: Joomla ist ein sehr oft eingesetztes CMS-System, daß keinen sicheren Betrieb im Alltag garantiert! Der offene Quellcode, unter dem Joomla entwickelt ist, kann von Hackern durchforstet werden nach gefährlichen Programmierfehlern (Sicherheitslöcher = Vulnerabilities), die den Hackern das Hacken ermöglichen. Nach der Bekanntgabe eines Updates vergleichen Hacker den alten Programmcode gegen den neuen Programmcode und können leicht die Veränderungen erkennen. Dazu dienen auch sogenannte Vergleichsprogramme, die genau die veränderten Programmzeilen zweier Dateien mit Programmcode verglichenen (alt gegen neu) und die Änderungen auflisten. Hier ein ganz simples nachgestelltes Beispiel:

1023 (-) $administrator = $_REQUEST[‘administrator’];
1023 (+) $administrator = $_POST[‘administrator’];

In Zeile 1023 wurde in der Datei xyz.php eine Änderung durchgeführt von statt REQUEST zu verwenden, wurde auf POST geändert. Daraus resultiert, daß in der alten Version über die URL die Variablen für den Administrator mit übergeben werden konnten und wer nicht upgedatet hat, auch weiterhin übergeben werden können! Bei Verwendung von POST dagegen ist die Übertragung nicht via URL möglich!

Nach einem Einbruch reicht es nicht:

Die irrige Meinung, nach einem Einbruch müssen nur die Scripte in der Datei-Ebene ersetzt werden, ist trügerisch und falsch! Der Content befindet sich bei Joomla in der Datenbank. Dieser kann nach einem Einbruch geändert werden und ja, es kann Programmcode eingeschleust werden, der gefährlich ist und auch php-Code enthalten kann! So kann ein Hacker in einen Artikel (also irgendeine Webseite des Webauftritts, Programmcode einschleusen, der bei Aufruf die Scripte im Datei-System ändert und/oder auch andere Aktivitäten durchführt! Das Finden von solchen eingeschmuggelten Programmcodes ist sehr schwierig, weil niemand außer dem Hacker weiß, was in die Datenbank einkopiert worden ist und wo! Das Neueinspielen der Datei-Struktur und dann das Einspielen von Updates, bringt also keinen Erfolg!

Fehlerhafter Programmcode wird auch in Bild-Dateien eingeschleust, die in der Regel im Filesystem abgelegt werden. Ruft der Abrufer eine Seite mit einem manipulierten Bild auf, erntet der Abrufer ggf. einen Virus in seinem Computer oder es wird eine andere gemeine Aktion durchgeführt!

 

VORSICHT: Erneut Ransomware im Umlauf

Ransomware im UmlaufBereits diverse Computer und Computer-Systeme wie auch Server, sind einer neuen bzw. einer abgeänderten Version von Ransomware im Umlauf und verschlüsseln die Archive der Festplatten so, daß Anwender auf diese nicht mehr zugreifen können!

Inbesondere in Russland und der Ukraine sind Zentralbanken, Banken, Flughäfen lahm gelegt worden! Inzwischen breitet sich der Verschlüsselungstrojaner auch in den westlichen Ländern der gesamten Welt aus! Wie Sie sich schützen sollten …. lesen Sie mehr …  VORSICHT: Erneut Ransomware im Umlauf weiterlesen

VORSICHT Microsoft Virenscanner verseuchen Computer

Microsoft Virenscanner aktiviert beim Scannen Viren und TrojanerDie meisten Windows-Anwender gehen davon aus, daß der mitgelieferte Microsoft Virenscanner und Firewall und weitere Sicherheitsprodukte von Microsoft sauber arbeiten und Viren/Trojaner abhalten, statt Viren und Trojaner auf dem Windows-Computer zu aktivieren! Weit gefehlt!

Noch arroganter versucht Microsoft seit den letzten Updates gute Virenscanner und Sicherheitssysteme vom Markt zu verdrängen! Der Windows-Anwender bekommt einen Dialog angezeigt, wo die Kaspersky-Sicherheitssysteme als nicht vertrauenswürdig dargestellt werden und der Anwender dann wohl besser Windows Defender aktiviert! Und genau in diesen Microsoft-Produkten ist ein extrem gefährlicher Bug enthalten, der beim Scannen dieser schadhaften Dateien, die Viren-Verseuchung des Computers verursacht (CVE CVE-2017-8558) – bitte lesen Sie mehr ….  VORSICHT Microsoft Virenscanner verseuchen Computer weiterlesen

Gefängnis für DDoS-Attacker – auf frischer Tat ertappt

Gefängnis für DDoS-HackerWie die Pressestelle der Polizei Bielefeld gestern mitteilte, wurde am 23.05.2017 ein DDoS-Hacker während seiner “Arbeit” ins Gefängnis überstellt!

Der 24 jährige Fachinformatiker wurde bereits dem Haftrichter vorgeführt und muß nun erst einmal wegen …. mehr …. Gefängnis für DDoS-Attacker – auf frischer Tat ertappt weiterlesen

VORSICHT: Server dringend updaten – Einbruchgefahr

Eine neue SicherhEinbruchgefahr wegen Sicherheitslücke in Linuxeitslücke (Einbruchgefahr) könnte für Ransomware mißbraucht werden! Wir erinnern, daß eine Sicherheitslücke in Windows-Systemen verantwortlich war, daß weltweit über 200.000 Server/Computer lahm gelegt wurden. Dabei wurden die Inhaber der Geräte erpresst, einen Betrag x zu zahlen oder das Gerät wird unwiderruflich verschlüsselt. Dies könnte nun durch eine neue Sicherheitslücke in Linux-Servern zu noch schlimmeren Ausfällen weltweit führen! mehr …  VORSICHT: Server dringend updaten – Einbruchgefahr weiterlesen

Informations-Blog von 1awww.com

%d Bloggern gefällt das: