PixelX-Blog-Logo

BSI testet CMS auf Sicherheit

Immer wieder weisen wir auf die notwendigen Updates bei den CMS (Content Management System) hin. Durch Versionen, die leider nicht auf dem aktuellsten Stand sind, können Angreifer auf das einfachste das CMS aushebeln und dieses zum Beispiel zum Versand von SPAM missbrauchen. Im schlechtesten Falle erfolgt ein Zugriff auf weitere Zugangsdaten, womit ein noch größerer Schaden verursacht werden kann.

Was aber bieten die gängigsten CMS für Möglichkeiten bezüglich der Sicherheit, beziehungsweise wo liegen die Schwachstellen?
Unterscheiden muss man hier zwischen einer Standardinstallation eines CMS und einer individualisierten Variante, die mit den unterschiedlichsten Extensions erweitert wurde.
Zur Veranschaulichung: Nach den Aussagen des Drupal Security White Paper finden sich über 95% aller Schwachstellen in den Erweiterungen von Drupal. Bei WordPress sind es noch knapp über 80%.

schwachstellen-cms-bsi

Anzahl aller Schwachstellen absolut je CMS. (Bild: BSI)

Den unterschiedlichen CMS an sich bescheinigt das BSI ein recht gutes Ergebnis  bei den Sicherheitsanforderungen. Untersucht wurden dabei die typischen Angriffsszenarien wie SQL-Injections oder Cross-Site-Scripting.

cms-schwachstellen-bsi

 Die getesteten CMS mit den typischen Angriffszenarien (Bild: BSI)

Glücklicherweise hat sich das das BSI (Bundesamt für Sicherheit und Informationstechnik) mit der Thematik beschäftigt und stellt ein umfangreiches PDF zum kostenfreien Download zur Verfügung. In diesem PDF werden die wichtigsten CMS miteinander verglichen. Das sind Drupal, Plone, WordPress, Joomla! und TYPO3.

In dem Bericht vom BSI werden die CMS vorgestellt. Mit anschaulichen, realitätsnahen Szenarien überprüft das Bundesamt für Sicherheit und Informationstechnik, wie sicher die Systeme sind. Interessant sind in jedem Fall die direkten Vergleiche unter den CMS. Das dürfte sicherlich für manchen eine Entscheidungshilfe sein, welches CMS eventuell bald genutzt werden soll.

Eines ist  mit der Untersuchung auf jeden Fall deutlich geworden:
Ohne eine individuelle Anpassung an die Schwachstellen wird man immer einem höheren Risiko ausgesetzt sein. Dieses muss man nun abwägen und entscheiden, wie weit man bei der Anpassung geht und wie viel Zeit man investiert.

 

Unter PixelX Scripte finden übrigens Sie verschiedene Scripte (auch die CMS), die von uns unterstützt werden. Falls Sie sich nicht sicher sind, welchen Tarif Sie dafür benötigen, finden Sie dort auch unsere Tarifempfehlungen.

Joomla! Update auf 2.5.0

Direkt nach dem Sicherheitsupdate 1.7.4 folgte wenige Tage später das LTS-Update auf 2.5.0. Das Update umfasst neben geschlossener Sicherheitslücken eine Menge neuer Funktionen und Bugfixes.

Voraussichtlich wird der Support für die vorherige Version 1.7 Ende Februar eingestellt. Bis dahin sollte Ihr Joomla! auf dem neuesten Stand sein. Es wird empfohlen vor dem Update von einer bestehenden Joomla!-Version die Anleitung zu lesen und eine Sicherung Ihrer Daten zu erstellen: Joomla! Upgrade Anleitung

Weitere Informationen finden Sie in den Release-News.

Wichtige Sicherheits- und Wartungsupdates für WordPress

Wordpress Logo

Insgesamt wurden in der neuen Version 15 Bugfixes und ein  Sicherheits-Update gegen eine Cross-Site-Scripting-Lücke in Version 3.3  vorgenommen. Sie können das Update einfach über das Backend von WordPress  installieren. Bitte beachten: Trotz der angezeigten en_US-Version ändert  sich nach dem Update nichts an den getroffenen Spracheinstelllungen  Ihres WordPress-Backends.

Webhosting – umfangreiche Updates

Seit dem 06.12.2010 ist die Umstellung unserer Webhosting-Systeme erfolgreich abgeschlossen. In den darauf folgenden zwei Wochen wurden diverse Optimierungen und Neuerungen auf den Systemen eingeführt:

Apache1 wurde durch Apache2 abgelöst:
Die Ablösung des Apache1 durch Apache2 gibt uns die  Möglichkeit, Ihnen serverseitig noch mehr Performance und  Stabilität zu  bieten. Apache2 bietet deutliche Verbesserungen  im Bereich Thread-Unterstützung. Die Performance unter gesteigerter Last wird somit weiter verbessert. Ein weiterer  Vorteil ist der IPv6-Support, welcher in den nächsten 2 Jahren Grundvoraussetzung für das IPv6 Protokoll ist. Das in Apache2 enthaltene  „worker“ MPM (Multi-Processing Module) implementiert  einen hybriden Multithread- und Multiprozess-Webserver.

Umstellung auf suPHP:
Die wichtigsten Veränderungen betreffen die Benutzerzuweisungen. Alle Dateien und Ordner sind nun standardisiert dem Benutzerkonto (z.B. web123) zugewiesen und nicht mehr dem Benutzer wwwrun. Die vergangenen Monate haben gezeigt, dass viele große Scripte (WordPress, Typo3, Joomla, Drupal, etc.) ihre Entwicklungen in Richtung suPHP voran treiben und nicht mehr in Richtung mod_php. Wir bieten Ihnen somit deutlich bessere Kompatibilität und Zukunftssicherheit für Ihr Webhosting.

PHP 5.2.14 und 5.3.3:
Im Rahmen der Updates wurde die PHP Standardversion von 5.2.9 auf 5.2.14 geupdated. Des Weiteren haben Sie in Ihrem Confixx unter dem Punkt Einstellungen –> httpd-Spezial die Möglichkeit Ihren Account selbstständig auf die Version 5.3.3 umzustellen, um z.B. zu testen, ob Ihre Software auch noch mit den aktuelleren Versionen von PHP funktioniert. Reseller können diese Funktion ab sofort Ihren Endkunden als Leistung frei schalten.

AWStats:
Neben der schon bekannten Zugriffstatistik (Webalizer) können Sie nun auch auf AWstats zugreifen. AWstats bietet gegenüber Webalizer eine deutlich verbesserte Übersicht und erheblich mehr Informationen über die Besucher Ihrer Internetseite. Sie finden AWstats im Confixx unter dem Punkt Allgmein -> Zugriffsstatistik als weiteren Punkt neben dem Webalizer.

Frontpage:
Seit ca. 3 Jahren gibt es für Frontpage („Frontpage Extensions“) keine Unterstützung seitens Microsoft mehr. Im Newsletter vom 01.07.2009 kündigten wir die Abschaltung des Frontpage-Supportes in unseren Webhosting-Tarifen an. Im Rahmen der Updates auf Apache2 ist der bisher weiter zur Verfügung gestellte Frontpage- Support endgültig abgeschaltet worden, da Microsoft für Apache2 keine Frontpage-Extensions zur Verfügung stellt.

httpd-Spezial:
Um Ihnen auf der Administrationsoberfläche Confixx noch mehr Möglichkeiten zur individuellen Anpassung an die Anforderungen Ihrer Website zu geben, haben wir folgende Funktionen hinzugefügt:

magic_quotes_gpc On | Off
session.use_trans_sid On | Off
session.auto_start On | Off
session.gc_maxlifetime 1 | 5 | 10 | 30 | 60 | 120 Minuten
default_charset UTF-8 | ISO-8859-1
mod_deflate On | Off
mod_pagespeed On | Off

Sie finden diese Funktionen in Ihrem Confixx unter dem Punkt Einstellungen > httpd-Spezial.