Sicherheitsrisiko: XML-PRC Schnittstelle von WordPress

Seit WordPress 3.5 ist die XML-RPC-Schnittstelle standardmässig aktiviert und als Option aus WordPress-Einstellungen verbannt. Diese Entscheidung macht es Angreifern leichter automatisierte WordPress-Anmeldeversuche zu unternehmen. Mott Services empfiehlt daher die Schnittstelle zu deaktivieren.

Dies kann z.B. auf Server-Ebene geschehen: Einige Zeilen innerhalb der Webserver-Konfigurationsdatei (z.B. .htaccess für Apache) genügen und die Datei xmlrpc.php ist stumm und nicht länger angreifbar.

Deaktivierung von WordPress XML-RPC in .htaccess:

<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>

Vielen Dank an die Informationen dazu an wpcoder.de!

Die eigene Cloud mit OwnCloud 7

OwnCloud ist die Filesync- und -share-Lösung für Unternehmen und Organisationen, die nicht riskieren wollen, dass sensible Daten bei externen Cloud-Services verstreut werden. OwnCloud integriert sich nahtlos in die existierende IT-Infrastruktur und ermöglichst die Weiternutzung bereits vorhandener Security- und Management-ToolsOwnCloud erfährt in den letzten Jahren und Monaten großen Zulauf von Menschen, die sich gerne von großen Internetfirmen wie Google, Dropbox oder Apple loslösen möchten, und ihre Datenhoheit zurückerobern möchten.

Mott-Services installiert Ihnen auf Wunsch die aktuellste Version und unterstützt Sie bei den ersten Schritten!

Kostenlose Überprüfung Ihrer Website auf Sicherheitslücken und Schadsoftware

Unter dem Link https://www.initiative-s.de/ haben Sie die Möglichkeit, Ihre Website kostenlos auf Sicherheitslücken und Schadsoftware überprüfen zu lassen.

Das Projekt wird gefördert durch das Bundesministerium für Wirtschaft und Technologie im Rahmen der Task Force „IT-Sicherheit in der Wirtschaft“.

Trojanisierte FileZilla-Version im Umlauf!

Laut einer Meldung auf Heise.de ist eine manipulierte Version des beliebten FTP-Programms FileZilla im Umlauf, welche die genutzten Zugangsdaten heimlich an einen Server übertragen. Die Fälschungen sind kaum vom Original zu unterscheiden und voll funktionsfähig.

Wir empfehlen den Verzicht auf FileZilla und den Umstieg auf Alternativen wie z.B. WinSCP. Bezüglich FileZilla findet man zusätzlich immer wieder Beschwerden darüber, daß Passwörter unverschlüsselt auf dem lokalen Rechner abgelegt werden und es potentieller Schadsoftware besonders leicht gemacht wird, diese auszulesen.

TYPO3 SECURITY DAYS bei mott services

weltweit sind in den letzten Wochen zunehmend Hackangriffe auf TYPO3 Content Managment Systeme zu verzeichnen. Hierbei wird gezielt nach veralteten Komponenten gesucht, um mit bekannten Sicherheitslücken Schadsoftware im Internet zu verteilen. Dies haben wir zum Anlass genommen unsere Webserver nach veralteter Kundensoftware zu scannen und im Rahmen von Security Days unsere Kunden gezielt auf diese Problematik hinzuweisen.

In regelmäßigen Abständen gibt das TYPO3-Entwicklerteam neue Versionen heraus oder stellt Patches für Sicherheitslücken zur Verfügung http://typo3.org/teams/security/security-bulletins/typo3-core/ Gerade das Schließen von aufgetretenen Lücken sollte zeitnah erfolgen, um den Schutz der eigenen Daten möglichst hoch zu halten. Beachten Sie bitte, dass im Falle eines erfolgreichen Hackangriffes und Ausführung von Schadcode von Ihrem Webspace dieser gem. unserer AGB gesperrt werden muss!

Vielen Kunden ist nicht wirklich bewusst ist, welche Version bei ihnen installiert ist. Sie finden die Versionsnummer, wenn Sie sich im TYPO3-Backend einloggen und in der linken Modulleiste auf den Menüpunkt „Über TYPO3“ klicken.

Aktuell gibt es folgende TYPO3-Core Versionen:
TYPO3 4.5.32, 4.7.17, 6.0.12, 6.1.7 und 6.2.0beta3

Versionen unter 4.5.x sind als „obsolete“ eingestuft und werden nicht mehr mit Sicherheitsupdates unterstützt!

Sollte Ihre eingesetzte Version kleiner als die aktuellen sein, wird dringend ein Update empfohlen!

E-Mail: Deaktivierung SMTP-after-POP-Verfahren zum 02.09.2013

Zum 02.09.2013 ist die Deaktivierung des veralteten Verfahrens „SMTP-after-POP“ vorgesehen.

Sofern Sie für Ihren E-Mail-Verkehr die aktuelle Version eines gängigen E-Mail-Programms nutzen und Ihr E-Mail-Postfach nach unserer Anleitung eingerichtet haben, ist im Regelfall keine Aktion erforderlich. Bei entsprechender Konfiguration kommt ausschließlich das moderne Verfahren „SMTP-Auth“ mit Abfrage der E-Mail-Adresse sowie des zugehörigen Passworts zur Verwendung. Setzen Sie jedoch eine ältere Version dieser E-Mail-Programme ein oder sind nicht sicher wie Sie Ihr E-Mail-Postfach eingerichtet haben, so empfehlen wir die Prüfung der Konteneinstellungen in Ihrem E-Mail-Programm.

Für Fragen steht Ihnen gerne unser Support-Team zur Verfügung.

Neue Passwortrichtlinien für Postfächer

Bereits seit einiger Zeit stellen wir vermehrt Kompromittierungsversuche von E-Mail-Postfächern fest. Leider sind zahlreiche Angriffe erfolgreich, da viele Anwender unsichere Passwörter nutzen und durch immer bessere automatisierte Verfahren für unbefugte Dritte verhältnismäßig einfach zu ermitteln sind.

Um dem zunehmenden Missbrauch entgegen zu wirken, treten ab dem 24.06.2013 neue Mindestvoraussetzungen für Passwörter von E-Mail-Postfächern in Kraft. Dabei muss das Passwort  mindestens 8 Zeichen lang sein.

Darüber hinaus müssen mindestens zwei der folgenden Kriterien erfüllt sein:

– Das Passwort enthält Ziffern
– Das Passwort enthält Kleinbuchstaben
– Das Passwort enthält Großbuchstaben
– Das Passwort enthält Sonderzeichen

Erfüllt ein Passwort die Mindestvoraussetzungen nicht, ist das Speichern des Postfachs  nicht möglich und wird mit einer entsprechenden Fehlermeldung quittiert.

Die neuen Passwortstärken greifen sowohl beim Einrichten neuer als auch beim Bearbeiten bestehender E-Mail-Postfächer. Bei bestehenden Postfächern erfolgt eine Prüfung der Passwortrichtlinien jedoch ausschließlich dann, wenn Änderungen am Passwort erfolgen. So ist beispielsweise eine alleinige Änderung des Speicherplatzes möglich, ohne gleichzeitig das Passwort ändern zu müssen.

Webseiten für Mobile Endgeräte: Feature oder Pflicht?

Mobiles Internet bedeutet nicht mehr nur Internet für Smartphones. In dem Begriff sind heute alle internetfähigen Endgeräte zu sehen, die nicht permanent an die Steckdose gebunden sind.  Zwar gibt es ca 1 Milliarde Handys im Einsatz weltweit, aber auch über 52 Millionen Tablets wurden allein  im letzten Quartal des Jahres 2012 verkauft und Ihnen werden Verkaufszahlen vorhergesagt, die PC- und Notebook-Verkäufe einholen. So wird recht schnell deutlich: eine Webseite, die sich optimiert an die jeweilige Bildschirmgröße des Endgerätes anpasst wird nicht mehr nur ein besonderes Feature sein, sondern eine Notwendigkeit. Das Webdesign und Webentwicklung wurde in den letzten Jahren maßgeblich von Touchscreens beeinflusst. Das Wischerlebnis in der Bedienung einer Website ist die eigentliche mobile Revolution. Touchscreen-Geräte werden zur Norm.

Werden Sie responsive und gewähren Sie Ihren Kunden Zugang zu Ihren Inhalten – egal auf welchem Endgerät. Mott services berät Sie gerne!

Neue Möglichkeit für Zugriff auf die Errorlogs

Künftig ist es möglich Logfiles bezüglich Apache Errors und MySQL Slow-Query noch komfortabler abzurufen:

  • Der „CGI-Debugger ist als Menüpunkt unter „Dienste“ zu finden, sofern dies in Ihrem Hosting-Tarif vorgesehen ist.
  • MySQL und Errors können über Name/Typ unterschieden werden und haben jeweils ein anderes Icon
  • Der CGI-Debugger zeigt nur die Einträge aus dem Error-Log und Slow-Query-Log an, nicht aber die des Access-Logs