CMS

/Tag: CMS

Microsoft gibt seine Marke Visual Studio auf

Wenn WordPress und andere CMS für die Realisierung von Internetseiten nicht mehr ausreichen, landet man recht schnell bei Microsofts Programmierumgebung Visual Studio. Allerdings wird gerade aus der Microsoft-Marke Visual Studio offenbar ein Teil der Microsoft-Cloud Azure, zumindest zu Teilen. Azure Devops nennt sich der neue bzw. umbenannte Microsoft-Dienst für Entwicklerteams. Die fünf Komponenten von Azure Devops Azure Devops  ist an Visual Studio Team Services (VSTS) angelehnt und teilt sich in fünf Hauptkomponenten auf, die der Softwareriese in seinem entsprechenden Blogeintrag mit einem dazugehörigen Video beschreibt: Azure Pipelines, Azure Boards, Azure Artifacts, Azure Repos und Azure Test Plans. Diese Dienste sind alle dazu da, um mehrere parallele Softwareprojekte mit mehreren beteiligten Programmierern verwalten zu können. Die Umstellung der Nutzer geschieht automatisch Entwicklerstudios, die bisher VSTS benutzen, sollen angeblich automatisch auf die neue Struktur von Azure Devops umgestellt werden. Achtung: Dabei ändert sich dann auch die Start-URL in dem Portal auf dev.azure.com/xyz. Azure Devops [...]

By |2018-09-11T11:27:28+00:00September 11th, 2018|Allgemein, Coding, Webwerkzeuge|0 Comments

Angriff auf das CMS WordPress vorgeführt

Sam Thomas vom britischen Sicherheitsanbieter Secarma hat gerade auf der Cybersecurity-Konferenz BSides in Manchester einen Angriff auf das WordPress PHP Framework vorgeführt, der zu einer vollständigen Kompromittierung einer auf WordPress basierenden Internetseite führen kann. Der Bug ist schon seit über einem Jahr bekannt Das ist deshalb möglich, weil eine Sicherheitslücke, die schon seit einem Jahr besteht, bis heute ungepatcht ist. Für den Angriff muss das WordPress den Upload von Dateien erlauben. Ist das der Fall, kann ein Angreifer eine speziell gestaltete Thumbnail-Datei hochladen, die dann unter anderem einen Server Side Request Forgery-Bug ausnutzt. Die Sicherheitsforscher betonten, dass dadurch nicht nur vertrauliche Daten offen gelegt werden können, sondern unter Umständen sogar die Ausführung von Remotecode möglich ist. Die Sicherheitslücke steckt dem Forscher zufolge in der Funktion „wp_get_attachment_thumb_file“ in der Datei „/wpincludes/post.php“. Angreifer müssen nur die Kontrolle über einen der Parameter im Aufruf „file_exists“ gewinnen. Wenn zusätzlich auch das Autoloading aktiv ist, kann sogar [...]

By |2018-08-19T19:27:42+00:00August 19th, 2018|Bildbearbeitung, Coding, PHP|Kommentare deaktiviert für Angriff auf das CMS WordPress vorgeführt

Viele Drupal-Websites sind immer noch verwundbar

Man mag es kaum glauben, aber noch immer gibt es über 100.000 auf dem CMS Drupal basierende Websites, die über eine lange bekannte kritische Sicherheitslücke, über die wir auch schon vor über zwei Monaten berichtet haben, angreifbar sind. Sicherheitsupdates gegen die Schwachstelle sind seit über zwei Monaten verfügbar. In diesen Tagen sind Sicherheitsforscher von Bad Pockets Report auf über 115.000 Drupal-Websites gestoßen, die anfällig für Angriffe über die kritische Sicherheitslücke CVE-2018-7600 sind, wie sie in einem Blogeintrag berichten. Die Schwachstelle ist schon seit Ende März bekannt, und zu diesem Zeitpunkt erschienen auch Sicherheitspatches gegen das Problem. Nach eigenen Angaben haben die Sicherheitsforscher eine halbe Million Drupal-Webseiten untersucht, die die Version 7 des Content Management Systems (CMS) nutzen. Davon war noch etwa ein Viertel über CVE-2018-7600 verwundbar. Rund ein Drittel hatten bereits eine abgesicherte Version installiert. Bei 47 Prozent der Websites konnten die Sicherheitsforscher die genutzte Drupal-Version nicht ermitteln. Updates schon seit [...]

By |2018-06-05T18:55:40+00:00Juni 5th, 2018|Allgemein, Coding, Javascript, PHP, Webwerkzeuge|Kommentare deaktiviert für Viele Drupal-Websites sind immer noch verwundbar

Drupal-Update schließt extrem kritische Lücke

Ein wichtiger Termin für alle, die ihre Internetseiten auf Basis des CMS Drupal erstellt haben: Am 28. März zwischen 20:00 und 21:30 deutscher Zeit wollen die Drupal-Entwickler Sicherheitsupdates für das Content Management System (CMS) zum Download bereitstellen. Diese Updates für diverse Varianten des CMS Drupal schließen eine extrem kritische Sicherheitslücke, kann man der Vorankündigung entnehmen. Die Updates soll es nicht nur für die noch supporteten Versionen 7.x und 8.5.x geben. Wegen der Schwee der Lücke wollen die Entwickler auch noch einmal Updates für die eigentlich nicht mehr im Support befindlichen Versionen  8.3.x und 8.4.x zur Verfügung stellen. Angriffe sind bald zu erwarten Die Admins von Websites unter Drupal sollten die Sicherheitsupdates am nächsten Mittwoch möglichst zügig installieren, weil potentielle Angreifer in wenigen Stunden Exploits entwickeln könnten, warnt das Team von Drupal. Aus diesem Grund gibt es aktuell auch noch keine weiteren Infos zu dieser Schwachstelle.

By |2018-03-23T21:17:26+00:00März 23rd, 2018|CMS|Kommentare deaktiviert für Drupal-Update schließt extrem kritische Lücke

Webseite erstellen lassen – Worauf Sie achten sollten

Wenn es eine Firmenwebseite ist, Existenz und Zukunft davon abhängt - dann lieber eine Webseite erstellen lassen, als mit einer schlechten Webseite Alles zu riskieren.Als erstes müssen Sie entscheiden und verstehen,  wie wichtig eine überzeugende Webseite für Sie ist. Wenn ihnen dann die Zeit fehlt, all das zu lernen, was sich andere in 3 Jahren Ausbildung + x Jahre Erfahrung erarbeiten: Bitte nicht einfach blind auf jedes ach so günstige Angebot eingehen und gut überlegen, wen Sie Ihre Webseite erstellen lassen.Doch woran erkennen Sie eine gute Webdesign Agentur?Jede Agentur wirbt damit besonders professionell zu sein, ein tolles Team zu haben. Seit 100 Jahren am Markt oder jung und Dynamisch...? Alles wird selbstverständlich zur vollen Zufriedenheit, ganz nach Ihren Wünschen (bla bla?).Ist doch ähnlich wie bei einer Versicherung. Auf den ersten Blick klingen die vollmundigen Worte eines Versicherungsvertreters auch immer super toll. Wie viel davon stimmt, zeigt sich im ersten [...]

By |2018-01-28T02:31:43+00:00Januar 27th, 2018|Allgemein|Kommentare deaktiviert für Webseite erstellen lassen – Worauf Sie achten sollten

Sicherheitsupdate 3.7.3 für CMS Joomla

Mehrere schwere Sicherheitsprobleme mit der Einstufung „hoch“ werden mit dem aktuellen Security- und Bug-Fix-Release 3.7.3 von Joomla behoben. Dabei wurden auch mehrere andere Bugs in dem CMS beseitigt. Zei der schweren Sicherheitslücken bestehen in den Versionen von 1.7.3 bis einschließlich 3.7.2. Durch die Lücke CVE-2017-9933 können Daten aus dem Cache leaken, die Lücke CVE-2017-9934 lässt sich wegen mangelnder Überprüfung von Dateneingaben für Angriffe per Cross Site Scripting (XSS) nutzen. Die dritte schwere Lücke, ebenfalls eine Verwundbarkeit für mit Cross Site Scripting, ist sogar schon ab Version 1.5.0 bis Version 3.7.2 zu finden. Daher sollten Nutzer der gefährdeten Joomla-Versionen möglichst umgehend die abgesicherte Version Joomla 3.7.3 installieren.

By |2017-07-06T23:06:48+00:00Juli 6th, 2017|Allgemein, PHP|Kommentare deaktiviert für Sicherheitsupdate 3.7.3 für CMS Joomla

Joomla-Update schließt SQL-Injection-Lücke

Die Version 3.7.0 des Content-Management-Systems (CMS) Joomla weist eine SQL-Injection-Lücke auf, durch welche Hacker eigene Datenbankbefehle in das CMS einschleusen können. Solche Schwachstellen können üble Folgen haben: Ein Angreifer könnte beispielsweise den Inhalt der Seite manipulieren und auf diese Weise Schadcode einschleusen oder aber auf die Nutzerdaten zugreifen. Die Sicherheitslücke steckt im Joomla Core und hat die CVE-Nummer CVE-2017-8917. Vom Joomla-Team wird das Sicherheitsproblem mit dem zweithöchsten Schweregrad "Hoch" bewertet. Joomla gibt aber bisher keine Details bekannt – vermutlich, um Benutzer der verwundbaren Version zu schützen. Die abgesicherte Version 3.7.1, die sich auf der Projektseite herunterladen lässt, beseitigt das Problem. Wer eine betroffene Joomla-Installation betreibt, sollte deshalb so schnell wie möglich auf diese aktuelle Version umsteigen. Denn nun, wo der Patch einmal herausgegeben ist, können potentielle Angreifer durch Vergleich von Version 3.7.0 und Version 3.7.1 leicht herausfinden, an welcher Stelle es zu der mangelnden Prüfung eingehender Daten kommt und dann diese [...]

By |2017-05-17T19:57:27+00:00Mai 17th, 2017|Allgemein, MySQL, PHP|Kommentare deaktiviert für Joomla-Update schließt SQL-Injection-Lücke

CMS Joomla: Update auf Version 3.7

Über 1300 Änderungen und 700 neue Funktionen bringt das Joomla-Projekt in der gerade veröffentlichten Version 3.7 seines gleichnamigen Content-Management-Systems (CMS) als Open Source Software. Viele dieser Änderungen sind nur marginal, andere wiederum aber auch elementarer. Deutlich mehr eigene Gestaltungsmöglichkeiten und Flexibilität sollen beispielsweise die eigenen Feldern (Custom Fields) bringen. Dazu stehen jetzt 15 unterschiedliche Feldtypen bereit, die der Administrator bereitstellen und die die Nutzer bei der Erstellung von Inhalten ausfüllen können. Die „Custom Fields“ gestatten eine einheitliche Gestaltung des Layouts, auch wenn mehrere Redakteure die Inhalte zusammen erstellen. Die Felder lassen sich zu Feldgruppen zusammenfassen, die wiederum verschiedenen Kategorien oder Zugriffsebenen zugewiesen werden können. Bei der Mehrsprachigkeit gibt es auch Verbesserungen. So können mit der neu eingeführten Komponente „Multilingual Associations“ Inhalte jetzt in einem Interface übersetzt werden. Auch die Anlage von neuen Artikeln wurde verbessert, so dass die Redakteure jetzt einen Menüpunkte, Artikel und Kategorien in einem Schritt erstellen können.

By |2017-04-27T09:20:30+00:00April 27th, 2017|Allgemein, CSS, HTML, Javascript, MySQL, PHP|Kommentare deaktiviert für CMS Joomla: Update auf Version 3.7

Neue .blog-TLD für Blogger

Das weitverbreitetste Content Management System (CMS) für Blogger ist eindeutig Wordpress. Das dürfte der Grund sein, warum sich das Unternehmen hinter dem Open-Source-CMS, Automattic, die Vergaberechte an der Top-Level-Domain (TLD) .blog gesichert hat. Zusammen mit einem Partnerunternehmen haben die Wordpress-Macher immerhin 19 Millionen US-Dollar für dieses Recht bezahlt. Einen Teil des Kaufpreises will Automattic jetzt in der soeben begonnenen Registrierungsphase einnehmen. Wessen Wunschname unter .de, .eu oder anderen TLDs schon lange vergeben ist, der hat unter .blog noch eine gute Chance auf den bevorzugten Namen. Auch als Zusatzdomain für einen Blog könnten .blog-Domains durchaus für den einen oder anderen interessant sein. Allerdings sind die Preise hier abhängig vom Second-Level-Domainnamen. Computer.blog soll zum Beispiel satte 100.000 Dollar kosten. Andere, weniger generische oder gefragte Domainnamen gibt es schon ab 30 Dollar. Beantragen kann man .blog-Adressen bei Automattic. Beantragen mehrere Interessenten ein und dieselbe Domain, kommt es zu einer Auktion und der Höchstbietende [...]

By |2016-08-25T20:10:01+00:00August 25th, 2016|Allgemein|Kommentare deaktiviert für Neue .blog-TLD für Blogger

Veraltete WordPress-Plugins locken Hacker an

Die Sicherheitsfirma Sucuri hat im ersten Quartal dieses Jahres mehr als 11.000 kompromittierte Internetseiten untersucht. Aus ihrem Bericht geht hervor, dass häufig  erweiterbare Komponenten von CMS den Angreifern als Einfallstor dienen. Mehr als 1 Milliarde Internetseiten auf CMS-Basis Zurzeit sind über eine Milliarde Internetseiten aufrufbar, und hinter mehr als einem Drittel von ihnen stehen die Content-Management-Systeme (CMS) WordPress, Joomla, Drupal und Magento. Von diesen CMS hat WordPress einen Marktanteil von über 60 Prozent, was auch auf seine durch Themes und Plugins vielfach erweiterbare Plattform zurückzuführen ist. Bei WordPress fanden die Sucuri-Sicherheitsforscher auf jeder vierten der gehackten Seiten veraltete und anfällige Versionen der Plugins RevSlider, GravityForms und TimThumb. Die untersuchten Hackerangriffe hatten jedoch kaum etwas mit der Kernanwendung des CMS zu tun, sondern mehr mit unsachgemäßer Installation, Konfiguration und Wartung durch Administratoren oder Hoster. Die Infektionsursachen Die häufigste Ursache von Infektionen waren Schwachstellen in den Erweiterungs-Komponenten i.e. Plugins, Erweiterungen, Module, Templates, Themes und ähnlichen Komponenten Obwohl schon lange automatische Updates möglich sind, waren 56 Prozent aller infizierten WordPress-Sites nicht auf dem aktuellen Stand. Das ist im Vergleich zu [...]

By |2018-01-27T21:20:02+00:00Mai 25th, 2016|CMS, CSS, HTML, PHP|Kommentare deaktiviert für Veraltete WordPress-Plugins locken Hacker an