Ja, ein CMS kann man tatsächlich updaten!

Mit diesem Internet und der digitalen Transformation ist es schon ein Graus. Erst muss man so eine Webseite machen und dann soll man sich auch noch drum kümmern. Als ob ich nix besseres zu tun hätte.

Ein erfundener Gedankengang? Ich fürchte nicht, denn gerade bei vielen kleinen und mittelständischen Unternehmen ist die Botschaft noch immer nicht richtig angekommen. Dabei geht es mir in diesem Beitrag nicht einmal um das Thema Content, nein, es ist noch eine Stufe grundlegender: Es geht um die Aktualität des verwendeten Content Management Systems

Nicht selten läuft der Prozess folgendermaßen ab: Die Mitarbeiter bedrängen den Chef, doch endlich auch eine Webseite zu machen. Oder alternativ, der Chef bekommt beim Golfen die Webseite eines Konkurrenten gezeigt und will so was dann auch haben. Nachdem geklärt ist, dass man das nicht alleine kann wird dann eine Agentur oder ein Freelancer ins Boot geholt und mit Hilfe eines Content Management Systems – und viel Blut, Schweiß, Verzweiflung und Tränen – geht die Seite dann irgendwann online.

… und in vielen Fällen war es das dann auch schon.

Glaubt man manchen Statistiken sind beinahe 65 % aller Seiten die auf dem einst so beliebten CMS Typo3 laufen inzwischen so veraltet, dass die Version gar nicht mehr supportet wird. Dabei ist das primäre Problem nicht einmal, dass ein Update Geld kosten würde – also nicht das Update an sich, sondern dessen Durchführung. Das primäre Problem scheint zu sein, dass nicht mal ein Problembewusstsein vorhanden ist. Die Unternehmen sehen sich ihre Seite an, sie ist online und gut ist.

Es sei denn natürlich irgendwann wird eine in der aktuellen Version längst geschlossene Sicherheitslücke ausgenutzt und auf der Unternehmensseite taucht plötzlich Kasinowerbung oder nackte Titten auf. Dann allerdings ist das Kind längst in den Brunnen gefallen und alles muss ganz schnell gehen. Schuld ist dann natürlich die Agentur oder der Freelancer, der wiederum den entsetzten Anruf seines Kunden, der erste seit dem Relaunch vor X Jahren insgeheim mit einem „Selbst schuld“-Schulterzucken quittiert, bevor er sich an die Arbeit macht.

Und, muss das so sein? Ja, denn manche lernen es eben nur auf die harte Tour. Das klingt jetzt zynisch, ich weiß, aber ich habe diverse Erfahrungen damit mir den Mund fusselig zu reden, wenn es um die Notwendigkeit geht ein System aktuell zu halten und das der dafür entstehende Aufwand immer noch weniger kostet, als der eingetretene Notfall.

Okay, nein, natürlich muss das nicht so sein. Dafür braucht es aber eben auch die Nerven seinen Kunden von der Notwendigkeit zu überzeugen. Am Besten hält man sich dabei noch ein paar Beispiel bereit, bei denen eine Seite wegen eines veralteten CMS gehackt wurde.

Hilfreich sind auch Updatestrategien wie bei WordPress, bei dem Updates automatisch gefahren werden. Wahlweise auch nur die großen Versionsnummern oder wichtige Sicherheitsupdates. Doch auch das hat natürlich manchmal einen Haken. Je komplexer die Individualisierung ist, desto wahrscheinlicher ist ein notwendiges Nacharbeiten nach dem Update. Ich habe ja nun reichlich Erfahrung mit WordPress und in 98 % der Fälle ist nach einem Update alles okay, in manchen Fällen zerschießt es danach aber auch das ein oder andere Element. Der zweite Haken liegt in den gerade bei WordPress in großen Maßen verwendeten Plugins, die natürlich auch immer aktuell gehalten werden müssen, sollen sie nicht als potentielle Sicherheitslücken dahin tümpeln.

Agenturen müssen ihren Kunden also klar machen, dass eine gute Updatepolitik für den sicheren Betrieb der Webseite absolut notwendig ist, und sich dahinter kein Geschäftsmodel versteckt, dass dem Kunden nur Geld abknüpfen will. Und ganz ehrlich, wer’s dann immer noch nicht will, der muss halt irgendwann damit leben, dass auf seiner Seite für Viagra oder Pornoportale geworben wird. Regel 17: Jemand stürzen zu lassen, kann am Ende die letzte Möglichkeit für ihn sein, es doch noch zu lernen.

 

Braucht meine Webseite https?

Die Meldung das Chrome ab Januar vor unverschlüsselten Webseiten offensiv warnen will, hat erstaunlich wenig Widerhall in unseren Breitengraden gefunden. Dabei sollte es Webseitenbetreiber durchaus nervös machen, wenn ein Browser der je nach Statistik mit 1/3 den größten Marktanteil hat die eigene Seite für Besucher plötzlich als „nicht sicher“ bezeichnet. Wenn man mal davon ausgeht, dass die Mehrheit der User einfach nur auf das Schlagwort „nicht sicher“ reagiert, ohne zu realisieren, dass die Seite solange völlig ungefährlich zu besuchen ist, solange man keine persönlichen Infos dort eingeben will , dürfte sich eine solche Warnung bald recht deutlich in der Besucherstatistik widerspiegeln.

Noch gönnt uns Google allerdings eine Art Galgenfrist, denn ab Januar soll erst einmal nur bei Webseitenbereichen gewarnt werden, bei denen man als Webseitenbetreiber ohnehin auf SSL setzen sollte. Doch irgendwann will Google das „sichere Web“.

Wie die Warnung optisch aussehen wird, kann man in diesem Blogbeitrag des Google Online Security Blogs ansehen.

International nähert sich der Marktanteil von Chrome übrigens dominierenden 50% an – was ein Problem für sich ist, aber das wäre Stoff für einen anderen Beitrag. Was international aber auch um die 50% pendelt, ist die Anzahl der Webseiten die heute schon mit https:// erreichbar sind:


Und diese Zahl basiert eben nicht nur auf Shopseiten, sondern beruht etwa auch darauf, dass die Mehrzahl der Medienseiten längst ein SSL-Zertifikat hat. In Deutschland muss man da schon zu heise.de surfen, größere Medienangebote sind nach wie vor eher die Ausnahme, als die Regel. Hat der Anteil der SSL-Seiten nach Snowden zwar angezogen, so richtig durchgesetzt hat sich SSL in unseren Breitengraden noch nicht.

SSL gilt vor allem als Kostenfaktor

Wenn man nicht gerade einen Online-Shop betreibt, scheint ein SSL-Zertifikat für viele nur ein zusätzlicher Kostenfaktor zu sein. Und den spart man sich dann lieber, auch wenn so ein SSL-Zertifikat eigentlich auch nicht die Welt kostet. Dabei gibt es durchaus gut Gründe auf ein SSL-Zertifikat zu setzen, auch neben dem dadurch erzielten Uservertrauen.

Schon jetzt ist https:// statt http:// ein Rankingsignal bei Google, wenn man mal die Brachialität berücksichtigt, mit der Google durch seine Marktmacht mit Chrome SSL als Standard durchsetzen will, kann man mal davon ausgehen, dass ein nicht vorhandenes SSL-Zertifikat bald auch eine Abwertung nach sich ziehen wird.

Natürlich muss man aber auch die Frage stellen, ob Google seine Marktmacht nicht ausnutzt und ob es überhaupt Sinn macht auf SSL umzustellen?

  • SSL suggeriert eine Sicherheit, die so sicher auch wieder nicht ist. Das die NSA die SSL-Verschlüsselung umgeht, ist allgemein bekannt – und damit dürfte sie nicht alleine sein. Alle paar Monate macht zudem eine Meldung von gefälschten SSL-Zertifikaten die Runde. Eine Webseite unter https:// anzusurfen ist nicht sicher, nur ein bisschen sicherer als ohne.
  • Bei aller Liebe, wozu braucht eine private Webseite auf der man seine Fotosammlung online stellt oder über seine Hobbys bloggt ein SSL-Zertifikat. Zudem dürfte die Masse der privaten Webseitenbetreiber den technischen Hintergrund gar nicht kennen und solange Provider SSL nicht zum Standard machen, auch nicht nutzen. Ist es fair, ihre Seiten unabhängig von der Qualität des Inhalts, deshalb abzuwerten?

Solche Überlegungen sind natürlich – mit Verlaub – völlig Wurscht, Google ist inzwischen zu mächtig, als das man noch Argumente bringen könnte, die hier etwas bringen. Irgendwie gilt hier am Ende die normative Kraft des Faktischen und man sollte wohl früher oder später über ein SSL-Zertifikat nachdenken, ob man es jetzt wirklich braucht oder nicht. Es schadet ja auch nicht.

 

Der heiße Scheiß der Woche (048)

In dieser Woche geht es um Sicherheitslecks, das Schreiben, einem Zombie der Suchmaschinenoptimierung und noch ein bisschen mehr.

+ + + WordPress entledigt sich eines Dutzends Sicherheitslücken + + +

WordPress ist inzwischen ein wunderbares CMS, aber Leute, um Gottes Willen, fahrt Updates. Denn wer digital besonders erfolgreich ist, zieht auch besonders viele Kriminelle an. Für mich aber auch kein Grund zu Serendipity zurückzukehren. 😉

+ + + Schreiben – Was bringt es überhaupt? + + +

Ist die Tätigkeit des Schreibens überhaupt noch zeitgemäß, jetzt wo YouTube oder eben auch Snapchat die Gegenwart zu bestimmen scheinen? Benjamin Brückner meint ja, und hat in diesem – was sonst – Text gute Argumente parat.

+ + + Studie: Relevante Ranking-Faktoren für lokale Unternehmen + + +

Die Studie bringt übrigens kaum Neues, sondern bestätigt eher die üblichen SEO-Maßnahmen für lokale Unternehmen. Nur ein Punkt ist wirklich interessant, der gute alte PageRank scheint immer noch gewaltige Auswirkungen auf die Position der Webseite in den SERPs zu haben.

+ + + 8 Dinge, die wir über Social Collaboration wissen müssen + + +

Die gute Nachricht ist: Telefonieren ist ja sowas von altmodisch! Die Schlechte: E-Mails sind nicht wesentlich moderner. Scheint es zumindest, in der Realität werden aber wohl beide ihren Platz behaupten, aber eben nicht mehr als Alleinherrscher.

 

WordPress: XML-RPC-Schnittstelle abschalten! Sicher ist sicher!

Ist deine WordPress-Seite schon mal Opfer einer Brute-Force-Attacke geworden? Nicht unwahrscheinlich, dass die XML-RPC-Schnittstelle deiner Seite Angriffspunkt war. Das muss nicht sein, aber vielleicht klären wir erst einmal ein paar Begriffe:

  • Brute-Force-Attacke: Gewöhnlich sagt man Algorithmen ja eine gewisse Intelligenz nach, in Wahrheit sind sie in der Regel aber doch ziemlich dumm. Und so ist die Trial-and-Error-Methode nach wie vor eine der beliebtesten Wege sich Zugangsdaten zu einer Webseite zu verschaffen. Innerhalb von Sekundenbruchteilen werden einfach alle möglichen Kombinationen ausprobiert. Auch dann kann es verdammt lange dauern, bis die richtige Kombination dabei ist, allein währenddessen geht so manch Server in die Knie und die Webseite ist nicht erreichbar.
  • XML-RPC-Schnittstelle: Manchmal macht es WordPress Angreifern auch ziemlich einfach, nicht immer ist also der Nutzer schuld. Mit Version 3.5 wurde die XML-RPC-Schnittstelle standardmäßig aktiviert. Allerdings ohne sie wirklich mit Bordmitteln abschalten zu können. Die Schnittstelle hat durchaus ihren Sinn, etwa wenn man Pingbacks von anderen Blogs haben möchte. Notwendig ist sie auch dann, wenn man sein Blog mit eine App oder Desktop-Anwendung füllen möchte.

Und wegen letzterem Fall bietet die Schnittstelle eben auch die Möglichkeit sich einzuloggen. Da sich unter WordPress-Nutzern inzwischen herumgesprochen hat, dass man seinen Adminbereich besser schützen sollte, verlagerten Angreifer ihr Ziel auf die XML-RPC-Schnittstelle. Seit langem ist sie einer der großen Schwachpunkte.

Was tun?

Natürlich gibt es auch hier das ein oder andere Plugin, aber das Standard-Plugin ist zum Beispiel schon ziemlich in die Jahre gekommen und wer auf Nummer Sicher gehen will, sollte selbst ein wenig Hand anlegen. Das ist im Übrigen auch einfacher, als man denkt. Es genügt zwei Dateien anzupassen.

In die .htacces-Datei sollte man folgenden Code eintragen:

#XML-RPC Schnittstelle abschalten
<Files xmlrpc.php>
 Order Deny,Allow
 Deny from all
 </Files>

# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress

Mit diesen Zeilen schaltet man den Zugriff auf die Datei einfach ab. Abgelegt gehört die .htaccess in das Startverzeichnis der Webseite. Kleiner Tipp für Anfänger, die Datei wird von vielen FTP-Programmen oder auch Windows und Macs nicht immer angezeigt, da .htacces wegen des Punktes davor als Systemdatei erkannt wird und deshalb nicht sichtbar ist. Bei Windows 10 kann man sie zum Beispiel im Explorer über Ansicht > Ein/Ausblenden sichtbar machen.

Und noch ein wichtiger Hinweis: Gut aufpassen, in der .htaccess-Datei kann man auch was kaputt machen!

Das gilt auch für die functions.php, die das Kernstück eines Templates von WordPress darstellt. Ihr findet sie unter folgendem Pfad:

/STARVERZEICHNIS/wp-content/themes/TEMPLATENAME/functions.php

Einfacher geht es natürlich über Design > Editor. 🙂

Auch hier muss die XML-RPC-Schnittstelle abgeschaltet werden, das wird über den ersten der beiden Codeschnipsel erreicht:

<?php

/* Die XML-RPC-Schnittstelle komplett abschalten */
add_filter( 'xmlrpc_enabled', '__return_false' );

/* Den HTTP-Header vom XML-RPC-Eintrag bereinigen */
add_filter( 'wp_headers', 'AH_remove_x_pingback' );
 function AH_remove_x_pingback( $headers )
 {
 unset( $headers['X-Pingback'] );
 return $headers;
 }

Der zweite sorgt dafür, dass die XML-RPC-Schnittstelle auch gar nicht mehr im HTTP-Header erscheint, also Außenstehende nicht einmal mehr wissen können, dass sie rein physisch von auf dem Server existiert.

 

WAS BLEIBT – DIE WOCHE IN LINKS (007)

Pinterest Reveals Mock-Up For Its First “Buy Button” – Pinterest bastelt fleißig weiter, diesmal ist es Ziel der Entwickler zum Beispiel die Zutaten zu einem gepinten Produkt gleich bestellen zu können.

Windows 10 erscheint am 29. Juli – Am 29. Juli ist es soweit und Windows 10 kommt in die Läden. Nutzer von Windows 7 und 8.1 bekommen am gleichen Tag ein kostenloses Upgrade auf die neue Version.

Project Abacus: Google will Passwörter eliminieren – Passwörter waren schon immer das schwächste Glied in der Sicherheitskette. Bis ein Gerät aber wirklich jede Eigenart des Nutzers kennen lernt, dürfte es aber noch eine lange Entwicklung sein.

Neues gewagt in Franken – Bei der Regionalzeitung in Bayreuth heißt es jetzt online to print und die Nürnberger Nachrichten bringen in einem Online-Magazin endlich auch längere Geschichten.