Tag-Archive for » Rückwärtskompatibilität «

Veraltete WordPress-Plugins locken Hacker an

WordpressHacksDie Sicherheitsfirma Sucuri hat im ersten Quartal dieses Jahres mehr als 11.000 kompromittierte Internetseiten untersucht. Aus ihrem Bericht geht hervor, dass häufig  erweiterbare Komponenten von CMS den Angreifern als Einfallstor dienen.

Mehr als 1 Milliarde Internetseiten auf CMS-Basis

Zurzeit sind über eine Milliarde Internetseiten aufrufbar, und hinter mehr als einem Drittel von ihnen stehen die Content-Management-Systeme (CMS) WordPress, Joomla, Drupal und Magento.

Von diesen CMS hat WordPress einen Marktanteil von über 60 Prozent, was auch auf seine durch Themes und Plugins vielfach erweiterbare Plattform zurückzuführen ist.

Bei WordPress fanden die Sucuri-Sicherheitsforscher auf jeder vierten der gehackten Seiten veraltete und anfällige Versionen der Plugins RevSlider, GravityForms und TimThumb.

Die untersuchten Hackerangriffe hatten jedoch kaum etwas mit der Kernanwendung des CMS zu tun, sondern mehr mit unsachgemäßer Installation, Konfiguration und Wartung durch Administratoren oder Hoster.

Die Infektionsursachen

Die häufigste Ursache von Infektionen waren Schwachstellen in den Erweiterungs-Komponenten i.e. Plugins, Erweiterungen, Module, Templates, Themes und ähnlichen Komponenten

Obwohl schon lange automatische Updates möglich sind, waren 56 Prozent aller infizierten WordPress-Sites nicht auf dem aktuellen Stand. Das ist im Vergleich zu den anderen Plattformen noch ein guter Wert, denn Joomla war zu 84 Prozent veraltet, Drupal zu 81 Prozent und Magento sogar zu 96 Prozent!

Ursachen für die mangelhaften Updatestände sind stark angepasste Installationen, Probleme mit der Rückwärtskompatibilität und last not least fehlende Mitarbeiter mit der notwendigen Kompetenz…

Auf 66 Prozent aller kompromittierten Installationen fand Sucuri eine PHP-basierte Backdoor. Durch diese Hintertüren konnten sich Angreifer über einen längeren Zeitraum nach der Infektion den Zugang sichern.

Diese Backdoors können auch die hohe Quote erneuter Infektionen, die nach Googles Webmaster-Tool bei satten 30 Prozent liegt, verständlich machen.

Gleich zwei neue Releases von Symfony

Das  PHP-Framework Symfony, dessen Entwicklung vor ca. zehn Jahren im Rahmen der Begeisterung für Ruby on Rails startete, ist jetzt in gleich zwei neuen Releases veröffentlicht worden.

Funktionell sind die beiden Versionen 2.8 und 3.0 komplett gleich. Das Release 3.0 wirft aber zusätzlich auch Altlasten über Bord und wird so einfach schneller.

Wie Ruby baut auch Symfony auf die Model View Controller (MVC)-Architektur. Symfony wurde in PHP 5 geschrieben und wird zurzeit unter der Leitung von Fabien Potencier entwickelt und gepflegt, der jetzt im Blog die Veröffentlichung von Symfony 2.8 und 3.0 ankündigte.

Neue Funktionen in Symfony

Zu den neuen Funktionen der beiden Versionen 2.8 und 3.0 gehören eine neue LDAP-Komponente, die Änderung der Prioritäten von Event-Listenern und auch einige Security-Erweiterungen.

Auch beim Debugging und Profiling hat sich einiges geändert. Die komplette Liste der Änderungen gegenüber Symfony 2.7 finden Sie in dem Blog-Beitrag, mit dem Potencier die Beta-Version von Symfony 2.8 ankündigte. Viele der Neuerungen in Symfony betreffen den Umgang mit Web-Formularen, zu denen es einen zusätzlichen Eintrag gibt.

Die Rückwärtskompatibilität

Das Programmier-Team hat jetzt auch einige der alten Funktionen für überholt erklärt (deprecated). In der Version 3.x wurden viele dieser veralteten Funktionen ausrangiert und dann die Minimalanforderung für PHP dementsprechend auf die Version 5.5.9 angehoben. 

So erreicht man zwar eine bessere Leistung, allerdings müssen die Entwickler ihren Programmcode eventuell noch entsprechend anpassen. Die Version Symfony 2.8 bietet die neuen Funktionen aus 3.0 bei besserer Rückwärtskompatibilität.

Symfony steht unter einer MIT-Lizenz und wird auf GitHub auch im Quellcode zum Download angeboten.