Tag-Archive for » Drupal «

Veraltete WordPress-Plugins locken Hacker an

WordpressHacksDie Sicherheitsfirma Sucuri hat im ersten Quartal dieses Jahres mehr als 11.000 kompromittierte Internetseiten untersucht. Aus ihrem Bericht geht hervor, dass häufig  erweiterbare Komponenten von CMS den Angreifern als Einfallstor dienen.

Mehr als 1 Milliarde Internetseiten auf CMS-Basis

Zurzeit sind über eine Milliarde Internetseiten aufrufbar, und hinter mehr als einem Drittel von ihnen stehen die Content-Management-Systeme (CMS) WordPress, Joomla, Drupal und Magento.

Von diesen CMS hat WordPress einen Marktanteil von über 60 Prozent, was auch auf seine durch Themes und Plugins vielfach erweiterbare Plattform zurückzuführen ist.

Bei WordPress fanden die Sucuri-Sicherheitsforscher auf jeder vierten der gehackten Seiten veraltete und anfällige Versionen der Plugins RevSlider, GravityForms und TimThumb.

Die untersuchten Hackerangriffe hatten jedoch kaum etwas mit der Kernanwendung des CMS zu tun, sondern mehr mit unsachgemäßer Installation, Konfiguration und Wartung durch Administratoren oder Hoster.

Die Infektionsursachen

Die häufigste Ursache von Infektionen waren Schwachstellen in den Erweiterungs-Komponenten i.e. Plugins, Erweiterungen, Module, Templates, Themes und ähnlichen Komponenten

Obwohl schon lange automatische Updates möglich sind, waren 56 Prozent aller infizierten WordPress-Sites nicht auf dem aktuellen Stand. Das ist im Vergleich zu den anderen Plattformen noch ein guter Wert, denn Joomla war zu 84 Prozent veraltet, Drupal zu 81 Prozent und Magento sogar zu 96 Prozent!

Ursachen für die mangelhaften Updatestände sind stark angepasste Installationen, Probleme mit der Rückwärtskompatibilität und last not least fehlende Mitarbeiter mit der notwendigen Kompetenz…

Auf 66 Prozent aller kompromittierten Installationen fand Sucuri eine PHP-basierte Backdoor. Durch diese Hintertüren konnten sich Angreifer über einen längeren Zeitraum nach der Infektion den Zugang sichern.

Diese Backdoors können auch die hohe Quote erneuter Infektionen, die nach Googles Webmaster-Tool bei satten 30 Prozent liegt, verständlich machen.

Sicherheitsupdate für CMS Drupal

Ersteller und Administratoren von Webseiten, die mit dem Content Management System (CMS) Drupal aufgebaut sind, sollten jetzt dringend die CMS-Software aktualisieren.

Das soeben veröffentlichte Sicherheitsupdate für die Drupal-Versionen 6,7 und 8 beseitigt insgesamt 10 Sicherheitslücken in den Kernroutinen des CMS (SA-CORE-2016-001). Eine der Lücken wurde als „kritisch“ eingestuft, sechs davon wurden in die zweithöchsten Priorität „moderat kritisch“ eingeordnet.

Die Probleme gehen auf diverse Bugs in der Software zurück. Das geht von Schwachstellen beim Upload von Dateien und über defekte APIs bis hin zu Lücken, die es Angreifern erlauben, mit Phishing-Attacken Besucher einer Seite auf bösartige andere Internetseiten ihrer Wahl weiterzuleiten.

Die genannte kritische Lücke ist im Grunde ein Programmierfehler, der einem Nutzer in einem Webformular Buttons anzeigt, die der auf Grund seiner Rechte eigentlich gar nicht sehen (und vor allem nicht benutzen) dürfte. So können normale Benutzer plötzlich Admin-Rechte bekommen.

Wer immer noch Drupal 6 einsetzt, sollten sein Systemauf Version 6.38 aktualisieren, Drupal-7-Nutzer sollten Version 7.43 herunterladen. Wer die neueste Drupal-Version benutzt, braucht das Update auf Version 8.0.4.

Dieser Sicherheitsupdate markiert jetzt auch das Ende von Drupal 6 bzw. seines Support-Zyklus – weitere Updates für die 6er-Schiene wird es danach nicht mehr geben.

Sicherheitslücke im CMS Drupal geschlossen

drupalDas Drupal Security Team hat jetzt ein Update bereitgestellt, das eine kritische Sicherheitslücke schließt. Bisher konnten Angreifer darüber ohne Authentifizierung mit einem einzelnen POST-Request beliebige SQL-Befehle ausführen und auf diese Weise die Internetseite komplett übernehmen.

Das CMS Drupal wird von mehreren bekannten Internetseiten benutzt, darunter die des Weißen Hauses und Musiker-Webseiten wie etwa die von Bob Dylan.

Wer Drupal 7 installiert hat, sollte jetzt auch so schnell wie möglich das Core-Update einspielen. Wer den Core seines Drupal-Systems nicht kurzfristig austauschen kann, sollte wenigstens den Patch anwenden, der die problematische  Codezeile mit der Sicherheitslücke entschärft.

Die ältere Version des CMS Drupal 6 ist von dem Problem nicht betroffen. Die Lücke steckt im  Datenbank-Layer, der erst mit Drupal 7 eingeführt wurde.

Eine BSI-Studie zu WordPress, Drupal, Typo 3 & Co.

bsi_studie-361405125c31f4eaDie Sicherheit von Web-CMS-Lösungen wie Drupal, Joomla!, Plone, Typo3 und WordPress hat das Bundesamts für Sicherheit in der Informationstechnik (BSI) in einer Studie untersucht. Diese CMS werden gerne zur Erstellung von Homepages benutzt, weil sie nichts kosten.

Gerade solche weit verbreiteten können für Angreifer das erste Ziel  bei dem Versuch sein, in das interne Netz eines Unternehmens einzudringen.

Hinzu kommt, dass diese Systeme häufig ohne weitere Anpassungen installiert und benutzt werden, so dass eine neu gefundene Schwachstelle auf einen Schlag viele Internetseiten gleichzeitig gefährdet.

Weiter Details und Erläuterungen dazu finden Sie auch bei Heise.

Drupal-Accounts auf drupal.org gehackt

Nach einem Bericht von Heise wurden die Drupal-Server vorgestern gehackt. Zugriffe auf alle Nutzerdaten für Drupal.org und Groups.Drupal.org wurden dabei registriert.

Deshalb hat der Betreiber alle Passwörter auf drupal.org zurückgesetzt. Wenn Sie Webseiten mit Drupal erstellen und einen Account dort haben, können Sie sich dort ein neues Passwort geben lassen. Es sind insgesamt fast eine Million Accounts betroffen!

Die Kriminellen hatten offensichtlich Zugriff auf alle Nutzerdaten. Dazu gehörten Benutzernamen, Emailadressen, Länderinformationen und die gehashten Passwörter, einige ältere dieser Passwörter „ungesalzen“. Ob auch noch andere Daten gestohlen wurden, untersucht Drupal noch.

Kreditkartendaten von Benutzern sollen nicht auf den Servern gespeichert worden sein.

Internetseiten erstellen mit dem CMS WordPress

Gerade wenn es auf Inhalte ankommt, bietet sich WordPress als Content Management System (CMS) aus dem Open Source-Bereich an. Wer schon einmal Webseiten mit WordPress erstellt hat, weiß, wie einfach man neue Seiten anlegen und pflegen kann.

Auch was Designs angeht hat man die freie Auswahl – es gibt Tausende von freien Designs zu WordPress. Auch die meisten kostenpflichtigen Designs sind ihr Geld wert, und wer sich tiefer mit der Materie beschäftigt, hat auch kein Problem damit, eigene zu erstellen.

Das sind wohl auch die Gründe dafür, dass eine Untersuchung von Water & Stone vor einer guten Woche zeigte, das WordPress inzwischen das beliebteste kostenlose Content Management System geworden ist, und das mit einem deutlichen Abstand zu den zweit- und drittplatzierten CMS Joomla und Drupal.

Version 7 von Drupal erschienen

Im letzten Monat erschien die Version 7 des auf PHP basierenden CMS Drupal. Die Neuerungen und Verbesserungen betreffen neben anderen Funktionen die Barrierefreiheit sowohl bei den von Drupal erzeugten Internetseiten als auch im Backend. Neu ist auch ein Render-API und automatisierte Tests für Patches und Module, benutzerdefinierte Felder für diverse Inhalte.

Zu Drupal 7 gibt es über 800 Erweiterungsmodule. Die neue Version braucht PHP Version 5.2 mit PDO-Erweiterung für die Datenbankabstraktion und entweder MySQL 5 oder PostGre 8.3. In der 7er Version kann Drupal alternativ auch mit SQLite arbeiten. Weitere Datenbanken lassen sich über Module ansteuern.

Category: Allgemein  Tags: , , , , ,  Comments off

Drupal – ein CMS für Community-Websites

Drupal ist zwar ein weit verbreitetes CMS, hat seine Stärken aber nicht unbedingt im Content-Management. Das System ist eher für das Erstellen und Pflegen auch größerer Communities ausgelegt und diesen Bereich deckt es sehr gut ab. Drupal bietet dazu ein ausgefeiltes Benutzer-Management und viele Module wie Blogs und Foren als interaktive Bestandteile.

Die Architektur von Drupal ist für Content Management Systeme typisch. Man kann das Kernsystem mit zusätzlichen Modulen erweitern, um die gewünschten oder benötigten Zusatzfunktionen zu realisieren. DieSchnittstelle ( API) zur Integration von solchen Modulen ist bei Drupal gut dokumentiert und im Internet wird eine Unzahl von Erweiterungen für das CMS angeboten.

Das Aussehen der erstellten Seiten, also Design und Layout, wird von einem Template-System gesteuert. Auch diese Templates (auch Skins oder Designs genannt) zu Drupal findet man in großer Zahl im Internet.

Zum Ablaufen braucht Drupal auf dem Server PHP in der Version 4.3.5 oder höher und als Datenbank MySQL oder PostgreSQL.

Wenn die Apache-Komponente mod_rewrite zur Verfügung steht, unterstützt Drupal auch die Verwendung von suchmaschinenfreundliche URLs. Für einige Funktionen des CMS werden noch weitere Komponenten nötig, zum Beispiel das meist sowieso eingebundene XML-Modul von PHP für das Blogger-API oder die RSS-Syndication.

Vor dem Installieren muss auf dem Server eine Datenbank für Drupal mit phpMyAdmin erstellt und die Datei settings.php in sites/default erzeugt werden. Danach kann man die URL aufrufen und wird vom Installationsscript durch den Installationsvorgang geführt.

Category: Allgemein  Tags: , , , ,  Comments off