Am 25.04.2017 wurde eine neue Version Joomla 3.7.0 veröffentlicht, die eine Masse an Sicherheitslücken aus allen Vorversionen von Joomla 3.6 (einschließlich) schließt!
Kunden, die Joomla einsetzen, haben jedoch diesmal mehr zu tun, als nur Ihren Webspace upzudaten, denn … Joomla neue Version schließt Sicherheitslücken weiterlesen
Joomla ist eines der gefährlichsten Produkte für Webmaster !!!
Wer sich darauf verlassen hat, mit Joomla stabile Webseiten entwickeln zu können, wird immer öfter von unqualifizierten Programmierern enttäuscht, die es scheinbar nicht in den Griff bekommen, saubere und zuverlässige Versionen heraus zu geben!
Statt mit einem vernünftigen Qualitätsmanagement auf sauberen DRINGEND: Joomla schon wieder gefährlich – bitte erneut dringend updaten weiterlesen
Gerade vor 2 Tagen haben wir gewarnt, daß Einbrüche in die Version 3.4.5 erfolgen können und dringend auf 3.4.6 upgedatet werden soll! Gestern gibt Heise Security auf seiner Webseite eine neue Warnung raus, denn auch Joomla 3.4.6 ist immer noch nicht sicher!
Die Update-Intervalle bei Joomla werden immer kürzer und die Risiken eines schadfreien Einsatzes von Joomla werden von Woche zu Woche risikoreicher!
Wir können nur eindringlich immer wieder warnen, Joomla ständig im „Auge“ zu behalten und die Updates rechtzeitig einzuspielen! Auch sollten Sie den Verzeichnisschutz installieren, siehe dazu den Artikel von vorgestern:
Lesen Sie bitte auch den Artikel, woher die Angriffe kommen:
Hotmail-Kunden leben wirklich gefährlich!
Wenn ein Kunde Hotmail verwendet und seine Mails darüber abgerufen hat und den Explorer geschlossen hat, kann ein anderer Benutzer auf dem Computer, selbst wenn die Maschine restartet worden ist und auch nach einer Ablaufzeit von mehreren Stunden, alle Ihre Mails abrufen! Wie daß geht?
Einfach nur die Webseite von Hotmail erneut aufrufen und schon sind Sie in den Mails!
Oft warten Kunden vergeblich auf erwartete Mails. Hotmail verwendet einen extrem unqualifizierten Spam-Filter, so daß viele Mails, auf die Kunden dringend warten, gar nicht ankommen! Warum dies so ist, können wir nicht feststellen, aber das Problem besteht auch, so wie wir es fest gestellt haben, wenn andere IP-Adressen verwendet werden.
Vorsicht bei der Verwendung, ob nun Hotmail oder auch Google-Mail – beide Mail-Dienste sind im geschäftlichen Alltag nicht gut verwendbar!Hotmail-Clients lives very dangerous:
As a client use hotmail and they have read their mails and have close their computer a other people can read the mails of this client, equal when the computer was rebootet and equal as they left many hours hotmail. How it works?
Open only the webpage of hotmail an see, you can read all the mails!
Many times clients of hotmail wait of their mails. We can see, that the spam filter of hotmail works absolute unqualified! Many mails the clients wait, they dont get it! Why this is so, we dont know, but we can see, that is on different IP-segments too!
We can inform you only:
Using of hotmail is not a good idea, when you need mails for your business or when you must get important mails! The gmail is not working better!
Das US-Cert warnt vor kritischen Sicherheitslücken in Joomla. Betroffen sind alle Joomla-Versionen bis 2.5.13 (aktuell ist 2.5.16) und bis 3.1.4 (aktuell ist 3.2.0), denn wie auf der Security-Seite von Joomla nach zu lesen ist, sind auch die Version 3.1.5 und alle davor sicherheitskritisch!
In den Vorversionen können über die integrierte Media-Verwaltung Scripte eingespielt werden, teilweise ohne das sich ein Benutzer angemeldet hat. Solche Scripte (Schadsoftware, Virus) werden dann unter Umständen verwendet, um darüber weitere Schäden zu verursachen, also nicht nur Schäden an Ihrem eigenen Webspace inklusive Auslesen des FTP-Passwortes, sondern unter Umständen sogar Zugriff auf das entsprechende Administrations-Panel, z.B. Confixx, cPanel, Plesk und damit wieder Zugriff auf mySQL – Datenbanken und Mail-Systeme, wo wieder andere Passwörter womöglich in Mails gespeichert sind!
Ein Joomla-Update durch zu führen, ist auch leider nicht immer einfach und wird den Anwendern von jeder Version zur anderen Version schwierig bis vollständig unmöglich gemacht!
In der neuesten 3.x Version waren gar keine Hinweise zu finden, daß ein Update notwendig ist und die Joomla-Update-Version muß unter Umständen gesucht werden! Sie befindet sich dann unter „System Control Panel“ – und dort auf der rechten Seite unter „unknow Joomla“ – Was für ein Wahnsinn, hier schlechte Entwickler sich leisten, denn niemand kommt darauf, die Update-Funktion unter einem solchen Link zu suchen!
Aber auch in der Version z.B. 2.5.11 behauptet die Update-Funktion, daß Joomla auf dem aktuellsten Stand ist! In diesem Fall prüfen Sie bitte die configuration.php, ob Sie ggf. hier das Passwort gegen ein ungültiges ersetzt haben (zu empfehlen) und ändern Sie dort das FTP-Passwort auf ein korrektes und probieren Sie es dann ein paar mal und plötzlich können Sie den Update durchführen!
Da fragt sich jeder, warum muß Joomla FTP-Zugriff haben, um lediglich zu prüfen, ob die Version aktuell ist? Warum fragt Joomla das FTP-Passwort nicht bei einer notwendigen Installation im Admin-Panel einfach ab, wenn ein Update durchgeführt werden soll und unterläßt die Speicherung des FTP-Passwortes im Klartext in der configuration.php?
Im Übrigen können wir allen nur empfehlen für Joomla einen separaten FTP-User anzulegen, dies geht z.B. unter Plesk wunderbar. Der separate FTP-User kann dann für Joomla verwendet werden, hat aber grundsätzlich nie Zugriff auf das Webspace-Verwaltungs-Interface, z.B. Joomla-Panel!
Auf den vielen Webspaces, die 1awww.com hostet, kommen immer wieder Einbrüche vor, auch wenn dies nur ein Bruchteil ist (ca. 1 % pro Jahr im Verhältnis aller Webspaces), weil die eingesetzten Sicherheitssysteme bei 1awww.com bereits das Austesten und Suchen von Schwachstellen durch Hacker zum Teil erkennt und dann verhindert, aber Angriffe erfolgen teilweise von diversen IPs aus verschiedenen Ländern und unter Umständen ist der nächste Versuch des Hackers über eine andere IP, dann erfolgreich, eine gültige URL zu finden, die genau diese Schwachstelle enthält!
Wir können über 7 Jahre belegen, daß 97 % aller Einbrüche in Joomla-Webspaces erfolgten und dann jeweils so schlimm, daß mit den Scripten, die eingespielt wurden, immer weitere Schäden verursacht wurden, wie z.B. Versand von Scam-Mails, um Kreditkarten-Daten von gutgläubigen Bürgern zu erhaschen usw!
Wir setzen hiermit Joomla auf die Liste der „gefährlichen Produkte„!
Bedenken Sie in jedem Fall, daß Provider Sie hier nicht vor Schäden schützen können, denn Sie können in Ihren Webspace einspielen, was Sie möchten, haben jedoch auf die Sicherheit der eingespielten Scripte selbst zu achten! Sind diese Scripte nicht sicher und bieten diese Möglichkeiten, in den Webspace einzudringen und darüber Schäden zu verursachen, sind Sie voll verantwortlich für alles, was über diese Schadsoftware verursacht wird. Sie können dann versuchen, sich an die jenigen zu wenden, die Ihren Webspace gehackt haben, werden aber in der Regel leider kaum Erfolg haben, denn a) sind die Ermittlungsbehörden mit solchen Einbrüchen überfordert b) gibt es keine internationalen kurzen Wege zwischen den Ermittlungsbehörden – ja, ja – in der Hoffnung, daß sich dies durch den aktuellen Datenskandal endlich ändern wird! Wir haben schon über solche Einbrüche in Webspaces geschrieben: