von
Dietmar Leher
Veröffentlicht in
Allgemein
Auch mit der Absicherung der Webseiten durch Quotas, der Unterbindung von Parametern und Optionen per PHP.INI und der Beherzigung der bisher genannten Tipps, sollte es in unseren Augen doch das Wichtigste sein, dass Sie auf die Aktualität der eingesetzten Software sowie von Erweiterungen achten.
Eine permanente Prüfung und zeitnahe Aktualisierung mit der von den Herstellern zur Verfügung gestellten Updates ist unerlässlich, um einen reibungslosen Betrieb Ihrer Webseite, Community, Blogs oder Shops sicherzustellen und – im hoffentlich nicht eintretenden Fall – dem Angreifer damit vielleicht den entscheidenden Schritt voraus zu sein.
Laut einer Umfrage der Marktforscher YouGov unter Anwendern aus Deutschland, den USA und Großbritannien aus dem vergangenen Juli ist fast jeder Zweite Anwender jedoch ein Update-Muffel. 25 Prozent davon sehen keinen Nutzen durch die Aktualisierung ihrer installierten Programme und ebenfalls ein Viertel weiß nicht, wie Sie selbst prüfen können, ob Ihre Programme aktuell seien. Diese Umfrage betraf zwar “nur” den Rechner zu Hause, lässt sich aber auf Onlinesysteme sicher übertragen.
Die Frage des Mehrwertes sollte vermeintlich ganz einfach zu beantworten sein, denn im Regelfall werden mit einem Update nicht nur eine oder mehrere vorhandene Sicherheitslücken geschlossen, sondern auch Fehlverhalten an anderen Stellen. Selbst bei Updates die nur Fehlerbehebungen beinhalten, die noch so trivial erscheinen, so können diese dadurch vielleicht bereits ein Problem verhindern, dass unter bestimmten Konstellationen zu einem Fehler oder gar einer Lücke geführt hätte.
Beim Einsatz von einer Software wie etwa dem WordPress-Blog ist auch die zweite Frage relativ einfach beantwortet, denn nach dem Login zeigt WordPress direkt an, ob für diese Version ein Update existiert und es kann mit wenigen Klicks heruntergeladen und installiert werden. Auch für eingesetzte Plugins/Erweiterungen steht dieser komfortable Weg zur Verfügung.
Nicht verwendetet Plugins, Erweiterungen und Themes sollten deaktiviert und am besten komplett entfernt werden. Dadurch entfällt deren Prüfung auf Aktualität und das System wird nicht “zugemüllt” mit überflüssigen Dingen.
Weiterhin gibt es Mailinglisten, in die man sich eintragen lassen kann und die einen darüber informieren, sobald eine neue Version einer Software zur Verfügung steht. Ebenfalls gibt es spezielle Seiten, die sich auf ein oder mehrere CMS, Shops etc. spezialisiert haben und dazu ebenfalls einen eigenen Newsletter und/oder RSS-Feed und/oder Tipps bereitstellen, das System abzusichern. Ohne persönliche Wertung möchten wir dafür zwei Beispiele nennen:
Uns ist natürlich bewusst, dass bei umfangreichen Webseiten oder auch Shops nicht ohne weiteres ein automatisches Update eingespielt werden kann. Es muss separat getestet werden, ob Funktionen verloren gehen, Änderungen an Standardoptionen vorgenommen werden oder individuell geänderte Templates und Designs danach noch einwandfrei funktionieren. Vor einem Update empfiehlt es sich auch, ein Backup der Webseite(n) und Datenbank(en) zu erstellen.
Wir möchten aber dennoch zeigen, dass es von vielen Herstellen schon recht komfortable Möglichkeiten gibt, herauszufinden, welche Version man einsetzt und ob diese aktuell ist.
Auch auf dem privaten Rechner sollten regelmäßig die Updates des Betriebssystems und der installierten Software vorgenommen werden. Dazu zählen nicht nur die Aktualisierungen des Virenscanners, des Browsers inkl. der installierten Plugins, von PDF-Readern oder dem Flashplayer, dem FTP- und E-Mail-Programm, sondern auch allen anderen Programmen, die nichts direkt mit dem “surfen” im Internet zu tun haben. Darauf gehen wir in unserem vierten Beitrag noch in dieser Woche ein.
Die bislang veröffentlichten Einträge zum Thema Sicherheit bei Webanwendungen:
von
Dietmar Leher
Veröffentlicht in
Allgemein
Immer wieder kommt es vor, dass eine neue Versionen einer Software erscheint und man vor der Frage steht: Soll ich nun das Update vornehmen oder nicht?
Im Bereich des Webhostings und aller Software, die unmittelbar mit dem Internet in Verbindung steht, sollte diese Frage eigentlich immer mit einem klaren JA beantwortet werden, um den Schutz der eigenen Daten möglichst hoch zu halten.
Natürlich ist dabei abzuwägen, ob es sich um eine kostenpflichtige Aktualisierung handelt, die alte Version vorerst noch weiter Updates erhält und welcher Aufwand mit einer solchen Aktualisierung verbunden ist.
Für den Bereich des Webhostings gibt es regelmäßig neue Versionen eingesetzter Komponenten für den Webserver, der Datenbanken oder der PHP-Versionen. Als Kunde von domainFACTORY sind alle Tarife (mit Ausnahme von JiffyBox) “gemanaged”, so dass die Aktualisierungen der grundlegenden Komponenten der Server in das Aufgabengebiet unserer technischen Abteilung fällt.
Aber auch für die Software, mit der ein Shop, Blog oder die Webseite erstellt wurde, geben die Hersteller mehr oder weniger regelmäßig neue Versionen heraus oder stellen Patche für Sicherheitslücken zur Verfügung.
Gerade das Schließen von aufgetretenen Lücken sollte zeitnah erfolgen und wir möchten nachstehend aufzeigen, welche Bereiche eine regelmäßige Prüfung und Aktualisierung betreffen sollte.
1) Eingesetzte Software / OpenSource-Applikationen
Haben Sie Software wie beispielsweise eine Blogsoftware installiert, sei es manuell oder über das Kundenmenü, so ist es unabdingbar, dass diese regelmäßig aktualisiert wird. Es besteht bei veralteter Software eine reale Gefahr des Missbrauchs durch Dritte. Neben dem vergleichsweise harmlosen Austausch der Startseite durch einen ‘hacked by …’ Hinweis, können unter Umständen auch Daten ausgespäht oder die Präsenz zur weiteren Verbreitung von Schadcode oder Spammails verwendet werden.
Für die meiste Websoftware gibt es eine Newsletter- oder Mailingliste die man abonnieren kann und dann automatisch per E-Mail auf eine neue Version hingewiesen wird. Auch im Backend wird meist angezeigt, dass eine aktualisierte Version zur Verfügung steht und nun installiert werden kann. Eine Kontrolle und Login in das jeweilige Menü sollten daher, auch bei Seiten die wenige Änderungen erfahren, zur Pflicht werden.
2) Eigene Skripte und Anpassungen
Wurden eigene Skripte geschrieben oder Anpassungen an Software vorgenommen, sollten auch diese regelmäßig geprüft werden. Die wichtigsten Punkte sind hierbei:
- die Funktionskontrolle auf z.B. aktuellerer PHP- und/oder MySQL-Version
- gibt es neuere Versionen von Komponenten die evtl. selbst kompiliert und per php.ini eingebunden wurden
- sind Anpassungen zwischenzeitlich aufgrund geänderter Anforderungen obsolet oder können deren Aufgaben von anderen Stellen übernommen werden (Aufräumen des Codes, permanentes Refactoring)
3) Installationen durch Dritte
Auch wir nehmen hin und wieder über einen sog. Auftrag für zusätzliche Leistungen Installationen für Kunden vor. Eine solche Installation durch erfahrene Mitarbeiter ist zwar für den Kunden mit sehr wenig Aufwand und vergleichsweise nur geringen Kosten verbunden, es ist aber zu beachten, dass es mit der Einrichtung nicht getan ist. Die Installation erfolgt im Regelfall mit der vom Kunden angegebenen Version und erscheinen danach neuere Versionen, so müssen diese natürlich selbsttätig ebenfalls wieder installiert werden.
Auch von Drittanbietern durchgeführte Installationen sollten aktuell gehalten werden.
Gerade im Bereich der OpenSource-Applikationen, wie Sie beispielsweise über das Kundenmenü installierbar sind, gibt es zahlreiche Schritt-für-Schritt Anleitungen, eine große Community und selbstverständlich steht Ihnen auch unser Support bei Fragen oder Problemen zum Updatevorgang beratend zur Seite.
Viele externe Dienstleister bieten zudem auch Wartungsverträge oder individuelle Pauschalen für Updates von Content-Management-Systemen, Shops etc. an. Anhaltspunkte vor dem Abschluss können sein:
- Sofortiges Einspielen von Security-Updates nach Erscheinen
- Prüfen der Erweiterungen auf Kompatibilät
- Bugfixe/Feature-Updates innerhalb einer Woche nach Erscheinen
4) Softwarekomponenten des Servers
Als Kunde von domainFACTORY sind alle Tarife (mit Ausnahme von JiffyBox) “gemanaged”, so dass – wie eingangs schon erwähnt – die Aktualisierungen der grundlegenden Komponenten der Server in unser Aufgabengebiet fällt.
Zur Gewährleistung einer bestmöglichen Systemsicherheit und Performance werden daher unsere Systeme fortlaufenden Aktualisierungen unterzogen (Update der PHP- und MySQL-Versionen, Webmailer etc.). Von Zeit zu Zeit ist es darüber hinaus auch erforderlich, umfangreichere Updates durchzuführen. Insbesondere dann, wenn viele einzelne Komponenten betroffen sind, die aufeinander aufbauen bzw. voneinander abhängen.
Über anstehende Arbeiten informieren wir dann ausführlich im Forum, Blog und im Falle eines großen Image-Updates wie zuletzt Ende April auch einige Wochen vorher per Newsletter. Alle Ankündigungen sind mit dem Hinweis versehen, dass es bei selbst kompilierten Anwendungen unter Umständen zu Problemen kommen könnte und wir eine manuelle Prüfung empfehlen.
Leider kommt es regelmäßig dazu, dass unsere Ankündigungen, trotz der Vorlaufzeit überlesen werden und plötzlich das eine oder andere Skript Probleme verursacht. Dies ist ein weitere Grund, Updates von installierter Software vorzunehmen um dauerhaft neben einer bestmöglichen Sicherheit auch die Verfügbarkeit Ihrer Daten und Projekte zu gewährleisten und einer “plötzlichen” Veränderung vorzubeugen.
