Drupal-Update schließt extrem kritische Lücke

Ein wichtiger Termin für alle, die ihre Internetseiten auf Basis des CMS Drupal erstellt haben: Am 28. März zwischen 20:00 und 21:30 deutscher Zeit wollen die Drupal-Entwickler Sicherheitsupdates für das Content Management System (CMS) zum Download bereitstellen. Diese Updates für diverse Varianten des CMS Drupal schließen eine extrem kritische Sicherheitslücke, kann man der Vorankündigung entnehmen. Die Updates soll es nicht nur für die noch supporteten Versionen 7.x und 8.5.x geben. Wegen der Schwee der Lücke wollen die Entwickler auch noch einmal Updates für die eigentlich nicht mehr im Support befindlichen Versionen  8.3.x und 8.4.x zur Verfügung stellen. Angriffe sind bald zu erwarten Die Admins von Websites unter Drupal sollten die Sicherheitsupdates am nächsten Mittwoch möglichst zügig installieren, weil potentielle Angreifer in wenigen Stunden Exploits entwickeln könnten, warnt das Team von Drupal. Aus diesem Grund gibt es aktuell auch noch keine weiteren Infos zu dieser Schwachstelle.

2018-03-23T21:17:26+02:00März 23rd, 2018|CMS|Kommentare deaktiviert für Drupal-Update schließt extrem kritische Lücke
Weiterlesen

WordPress installieren – Kinderleicht mit 2-3 Klicks!

Bevor wir Wordpress installieren, zunächst ein paar Fakten. Fast 30 % aller Webseiten im Internet sind heute mit der CMS Software Wordpress erstellt. Über die Hälfte aller Webseiten im Internet sind nicht mehr aufwendig von Hand programmiert, sondern werden mit einem CMS verwaltet. Dies spart Zeit in der Erstellung und erleichtert die Aktualisierung der Webseiten Inhalte. Aber was ist mit Joomla, Typo3 oder Drupal als CMS? Über 60% aller Webseiten, die mit einem CMS erstellt wurden, setzten auf Wordpress als CMS Software. Diese Fakten sagen viel darüber aus, für welche Software zur Erstellung einer Webseite, sich das Internet entschieden hat. Doch wenn die Entscheidung für Wordpress gefallen ist, wie kann man Wordpress installieren? Da gibt es so manche lange Anleitung im Internet. Doch ganz ehrlich - fast alle brauchbaren Provider bieten ein Software Install Tool. Also ist Wordpress dort mit 2-3 Mausklicks fertig installiert!

2023-02-23T21:57:27+02:00Februar 14th, 2018|Allgemein, CMS, startposting, Webwerkzeuge|Kommentare deaktiviert für WordPress installieren – Kinderleicht mit 2-3 Klicks!
Weiterlesen

Coding: WordPress – Email bei Aktualisierung

Wer zusammen mit mehrere Ko-Autoren an einem Blog schreibt, möchte in der Regel gerne immer auf dem aktuellsten Stand der Beiträge sein. Ein in PHP geschriebener Code-Schnipsel mit der Funktion post_updated_email() aus dem Netz kann bei diesem Problem gut weiter helfen: function post_updated_email( $post_id ) { global $current_user; get_currentuserinfo(); // Ist es nur eine Revision, dann keine Email senden if ( wp_is_post_revision( $post_id ) ) return; $post_title = strip_tags(get_the_title( $post_id )); $post_url = get_permalink( $post_id ); $subject = '[UPDATE] ' . $post_title ; $message = __('Update by ', 'domain') . $current_user->display_name . ' ('.date('c', current_time( 'timestamp', 0 )).')' . "\n\n"; $message .= $post_title . ": " . $post_url; $message .= "\n\n" . __('Update in Post.', 'domain'); $headers = 'From: '.get_bloginfo('name').' <' . get_bloginfo('admin_email') . '>' . "\r\n"; // Email an den Admin wp_mail( get_bloginfo('admin_email'), $subject, $message, $headers ); } add_action( 'save_post', 'post_updated_email' ); Der Code-Schnipsel sendet dem Admin eine Email, wenn einer der Beiträge aktualisiert wurde. Den Code kann man natürlich auch durch Modifikation an die eigenen Bedürfnisse anpassen. Die kurze Funktion kann man am besten in der Funktionssammlung functions.php eines Themes von WordPress unterbringen. Man sollte dabei aber auch bedenken, dass die kleine Hilfsroutine bei zu vielen Änderungen in kurzer Zeit auch einen kleinen Stau [...]

2018-01-27T21:19:51+02:00Dezember 16th, 2017|Allgemein, CMS, Coding, PHP|Kommentare deaktiviert für Coding: WordPress – Email bei Aktualisierung
Weiterlesen

Logo in WordPress-Theme Twenty Fifteen

Das Wordpress-Theme Twenty Fifteen erfreut sich ziemlicher Beliebtheit – es zeigt als responsives Design die Seiten auf Geräten aller Größen vom PC bis zum Smartphone gut an und trifft auch irgendwie den Zeitgeschmack. Leider kann man von Haus aus kein Logo in den Seitenkopf einsetzen, ohne Änderungen an dem Theme zu machen, die mit dem nächsten Update wieder weg sein könnten. Deshalb  empfiehlt es sich auch, eine Kopie des Themes als Child Theme unter einem geänderten Namen zu speichern, um hier vor Überraschungen sicher zu sein. Das Logo selbst läßt sich recht einfach einbringen. Öffnen Sie im Admin-Bereich unter Design/Editor den Theme-Header (header.php) und suchen das Div “site-branding“. Direkt dahinter können Sie das Logo, das natürlich vorher über die Mediathek hochgeladen werden sollte, aufrufen: <img src="https://www.meinedomain.de/wp-content/uploads/2016/07/Logo_rund_rosa.png" alt=”meinedomain" width="96" /> Mit dem width-Argument können Sie noch die Größe des Logos anpassen und zum Anpassen der vertikalen und horizontalen Position helfen auf die Schnelle einfache Zeilenumbrüche (<br/>) und Leerzeichen (&nbsp;).   Nun noch ein Klick auf „Datei aktualisieren“, und das Logo wird beim Aufruf der Seiten mit angezeigt, auch auf Tablets und Smartphones.

2018-01-27T21:20:11+02:00August 3rd, 2016|Allgemein, CMS|Kommentare deaktiviert für Logo in WordPress-Theme Twenty Fifteen
Weiterlesen

Veraltete WordPress-Plugins locken Hacker an

Die Sicherheitsfirma Sucuri hat im ersten Quartal dieses Jahres mehr als 11.000 kompromittierte Internetseiten untersucht. Aus ihrem Bericht geht hervor, dass häufig  erweiterbare Komponenten von CMS den Angreifern als Einfallstor dienen. Mehr als 1 Milliarde Internetseiten auf CMS-Basis Zurzeit sind über eine Milliarde Internetseiten aufrufbar, und hinter mehr als einem Drittel von ihnen stehen die Content-Management-Systeme (CMS) WordPress, Joomla, Drupal und Magento. Von diesen CMS hat WordPress einen Marktanteil von über 60 Prozent, was auch auf seine durch Themes und Plugins vielfach erweiterbare Plattform zurückzuführen ist. Bei WordPress fanden die Sucuri-Sicherheitsforscher auf jeder vierten der gehackten Seiten veraltete und anfällige Versionen der Plugins RevSlider, GravityForms und TimThumb. Die untersuchten Hackerangriffe hatten jedoch kaum etwas mit der Kernanwendung des CMS zu tun, sondern mehr mit unsachgemäßer Installation, Konfiguration und Wartung durch Administratoren oder Hoster. Die Infektionsursachen Die häufigste Ursache von Infektionen waren Schwachstellen in den Erweiterungs-Komponenten i.e. Plugins, Erweiterungen, Module, Templates, Themes und ähnlichen Komponenten Obwohl schon lange automatische Updates möglich sind, waren 56 Prozent aller infizierten WordPress-Sites nicht auf dem aktuellen Stand. Das ist im Vergleich zu den anderen Plattformen noch ein guter Wert, denn Joomla war zu 84 Prozent veraltet, Drupal zu 81 Prozent und Magento sogar zu 96 Prozent! Ursachen für die mangelhaften Updatestände sind stark angepasste Installationen, Probleme mit der Rückwärtskompatibilität und last not least fehlende Mitarbeiter mit der notwendigen Kompetenz… Auf 66 Prozent aller kompromittierten Installationen fand Sucuri eine PHP-basierte Backdoor. Durch diese Hintertüren konnten [...]

2018-01-27T21:20:02+02:00Mai 25th, 2016|CMS, CSS, HTML, PHP|Kommentare deaktiviert für Veraltete WordPress-Plugins locken Hacker an
Weiterlesen

Phishing-Emails für WordPress-Administratoren

Von der Sicherheitsfirma Sukuri  kommt eine aktuelle Warnung vor Phishing-Mails an WordPress-Administratoren, die diese verleiten sollen, ein Plugin zu installieren, dass an die Besucher dieser WordPress-Seiten Schadsoftware verteilt. Vorgeblich bietet die E-Mail die Pro-Version des beliebten Plugins All in One SEO Pack kostenlos an. Wer aber auf den Download-Link in dieser Email klickt, landet nicht etwa auf der offiziellen WordPress-Plugin-Seite, sondern auf einer offensichtlich von den Spammern infizierten Domain in Australien (.com.au) oder Brasilien (.com.br). Spätestens an dieser Stelle sollten die Admins eigentlich stutzig werden. Nach Sucuri haben einige Admins dieses bösartige Plugin tatsächlich installiert, was dann dazu führte, dass der Schadcode eine Backdoor auf dem Server öffnete und die Startdatei index.php  des infizierten Blogs austauschte. Von dem Moment an verteilten die betroffenen WordPress-Installationen Schadsoftware an ihre Besucher. Wegen der enorm großen Verbreitung als CMS oder Blogsoftware ist insbesondere WordPress immer wieder ein beliebtes Ziel für Hacker, die probieren, die Seiten anderer als Spamschleudern oder für DDoS-Angriffe zu missbrauchen. Bleiben Sie bitte vorsichtig!

2018-01-27T21:20:23+02:00Dezember 5th, 2013|Allgemein, CMS, PHP|Kommentare deaktiviert für Phishing-Emails für WordPress-Administratoren
Weiterlesen

WordPress schließt 12 Sicherheitslücken mit Update 3.5.2

Das weltweit meistverbreitete Blog-CMS WordPress schließt mit dem soeben veröffentlichten Update auf Version 3.5.2 zwölf ernste Sicherheitslücken. Die Entwickler empfehlen, so schnell wie möglich upzudaten. Die neue Version 3.5.2 beseitigt Schwachstellen, die Cross-Site-Scripting(XSS), Server-Side-Request-Forgery- (SSRF) und Denial-of-Service-Attacken (DoS) zulassen. Wer schon jetzt mit der Betaversion WordPress 3.6 Beta arbeitet, bekommt mitdem Update 3.6 Beta 4 Sicherheitsupdates für dieselben Lücken. Diese gefährlichen Schwachstellen in Wordpress wurden dem Entwicklerteam direkt von den Nutzern gemeldet, bevor sie anderswo im Netz veröffentlicht wurden. Dies Vorgehen wurde vom Entwicklerteam besonders gelobt.

2018-01-27T21:20:23+02:00Juni 24th, 2013|Allgemein, CMS|Kommentare deaktiviert für WordPress schließt 12 Sicherheitslücken mit Update 3.5.2
Weiterlesen

Eine BSI-Studie zu WordPress, Drupal, Typo 3 & Co.

Die Sicherheit von Web-CMS-Lösungen wie Drupal, Joomla!, Plone, Typo3 und WordPress hat das Bundesamts für Sicherheit in der Informationstechnik (BSI) in einer Studie untersucht. Diese CMS werden gerne zur Erstellung von Homepages benutzt, weil sie nichts kosten. Gerade solche weit verbreiteten können für Angreifer das erste Ziel  bei dem Versuch sein, in das interne Netz eines Unternehmens einzudringen. Hinzu kommt, dass diese Systeme häufig ohne weitere Anpassungen installiert und benutzt werden, so dass eine neu gefundene Schwachstelle auf einen Schlag viele Internetseiten gleichzeitig gefährdet. Weiter Details und Erläuterungen dazu finden Sie auch bei Heise.

2018-01-27T21:20:32+02:00Juni 21st, 2013|Allgemein, CMS|Kommentare deaktiviert für Eine BSI-Studie zu WordPress, Drupal, Typo 3 & Co.
Weiterlesen

Veraltete WordPress-Version bei Reuters machte falsche Syrien-Berichte möglich

Zum letzten Wochenende tauchten auf der Seite des renommierten britischen Nachrichtendienstes Reuters im Sinne des Assad-Regimes gefälschte Berichte über den Bürgerkrieg in Syrien auf. Reuters musste kurzzeitig sein Blog vom Netz nehmen und die Fälschungen entfernen. Jetzt wurde bekannt, wie das möglich war: Reuters benutzte eine veraltete Wordpress-Version für sein Blog, die viele bekannte Sicherheitslücken aufwies. So kann man es im Blog des Wall Street Journal nachlesen. Der Vorfall macht deutlich, wie wichtig es ist, sein Wordpress immer auf dem aktuellen Stand zu halten. Wer Internetseiten mit Wordpress erstellt, pflegt oder betreibt, sollte immer darauf achten, angebotene Updates auch einzuspielen, was bei Wordpress wirklich sehr einfach zu machen ist.

2018-01-27T21:20:38+02:00August 8th, 2012|Allgemein, CMS|Kommentare deaktiviert für Veraltete WordPress-Version bei Reuters machte falsche Syrien-Berichte möglich
Weiterlesen

Weniger Besucher im WordPress-Blog mit WordPress Mobile Pack?

Immer mehr Menschen sind heute mit mobilen Geräten im Internet unterwegs. Deshalb wollen viele Betreiber von Internetseiten oder Blogs ihren Besuchern aus dem Kreis der Surfer mit Android-Smartphones oder Apple's iPhone, iPad oder iPod ihre Inhalte auch in einem mobilen Format anbieten. Damit ist der Content auf den kleinen Bildschirmen besser lesbar und man kann darin auch besser navigieren. Wenn nach der Aktivierung eines Mobil-Plugins wie zum Beispiel des Wordpress Mobile Packs die Besucherzahlen in Piwik deutlich zurückgehen statt zuzunehmen, sollte man überprüfen, ob der sogenannte Tracking-Code, meist ein Stückchen Java-Code, nicht nur in die normalen Wordpress-Seiten, sondern auch in den mobilen Seiten eingebunden ist. Denn sonst werden alle mobilen Besucher einfach nicht mitgezählt. Ein sicheres Indiz ist es, wenn die auf den meisten Servern auch geführten Logs wie z.B. Webalizer nach dem Start der Mobilseiten keine Reduzierung des Verkehrs anzeigen. Auch das Fehlen der Apple-Betriebssysteme und des Google-Mobilbetriebssystems Android im Betriebssysteme-Widget von WP_Piwik ist ein deutlicher Hinweis auf dieses Problem.

2018-01-27T21:20:43+02:00Juni 18th, 2012|Allgemein, CMS, Webwerkzeuge|Kommentare deaktiviert für Weniger Besucher im WordPress-Blog mit WordPress Mobile Pack?
Weiterlesen
Nach oben