Das Wartungs- und Sicherheitsupdate Version 3.6.1 für WordPress ist letzte Nacht veröffentlicht worden. Die von uns betreuten Kundensites sind bereits auf diese Version aktualisiert worden. Ebenso gab es Updates der letzten drei Standard Themes von WordPress.
Autor: erik
ownCloud 5.0.10
Bei der aktuellen 5.x Version von ownCloud ist ein Update erschienen. Eine kurze Übersicht findet sich im Changelog unter http://owncloud.org/changelog/.
Die von uns betreuten OwnCloud-Installationen unter einer 5.x Version wurden bereits aktualisiert.
Spamattacke auf Mailserver
Am Sonntag den 11.8.2013 wurde mit Hilfe erbeuteter Authentifizierungsdaten über ein Bot-Netz versucht, über einen unserer Mailserver Spam-Mails zu versenden. Dies konnten wir nach einigen Minuten stoppen; da jedoch der betroffene Mailserver bereits auf mehreren Real-Time Blacklists eingetragen war, wurde die Sendeadresse dieses Systems geändert, um den Mailversand nicht zu blockieren. Somit kam es zu keinen größeren Akzeptanzproblemen beim Versenden von Mails bei den von uns betreuten Domains.
WordPress 3.6
WordPress ist in Version 3.6 erschienen. Gegenüber der letzten Version gibt es diesmal eine ganze Reihe funktioneller Erweiterungen für das Einbetten von Multimediainhalten, sowie für die Versionierung von Inhalten. Eine Übersicht findet sich z.B. bei http://t3n.de/news/wordpress-36-vielen-neuerungen-483520/ oder hier http://www.heise.de/newsticker/meldung/Wordpress-3-6-mit-besserer-Audio-und-Video-Unterstuetzung-1929128.html.
Alle von uns betreuten Installationen wurden bereits auf die neue Version umgestellt.
Owncloud 5.0.9 und 4.5.13
Die von uns betreuten Owncloud-Instanzen wurden am Wochenende auf die aktuellen Versionen und 5.0.9 und 4.5.13 aktualsiert. Genauere Informationen über die Neuerungen finden sich auf http://owncloud.org/changelog/.
WordPress 3.5.2
5 Monate nach dem letzten Update gibt es ein Wartungsrelease von WordPress, das eine Reihe von Problemen behebt. Alle von uns gehosteten bzw. betreuten Blogs sind bereits aktualisiert.
Update Webmail Roundcube 0.9
Letzte Woche ist ein Cross-Site-scripting Sicherheitsproblem bei der Webmail-Software Roundcubemail bekannt geworden, die auch auf unseren Servern zum Einsatz kommt.
Wir haben zwischenzeitlich auf die neueste Version 0.9 umgestellt, bei der dieses Problem behoben ist. Unter der neuen Roundcubemail-Version sind die meisten der bisherigen System-Erweiterungen bereits installiert, unter Einstellungen->Benutzeroberfläche ist auch ein alternatives Design der Benutzeroberfläche verfügbar.
Lücken in WordPress Cache Plugins
Bei den beiden WordPress-Plug-Ins „WP Super Cache“ und „W3 Total Cache“ wurde einige gefährliche Lücken entdeckt, durch die Angreifer beliebigen Code auf dem Server ausführen können.
Die auf unseren Servern gehosteten Installationen sind nicht davon betroffen, da o.g. Plugins zur Zeit nicht im Einsatz sind, sondern stattdessen die Lösung Cachify zum Einsatz kommt.
ownCloud Updates
am 19. April 2013 erschienen für alle unterstützten ownCloud Versionen Updates. Die bei uns gehosteten ownCloud Instanzen wurden inzwischen auf die Versionen 5.0.5 bzw. 4.5.10 aktualisiert.
Botnet-Angiffe auf WordPress-Installationen
Seit Anfang April sind vermehrt Angriffe auf WordPress und auch Joomla-Installationen zu verzeichnen. Die Angreifer versuchen meist Zugriff auf den Standard Administationsaccount „admin“ zu bekommen, um danach einen Schadsoftware wie „Blackhole“ auf dem WordPress zu installieren. Eine derart infizierte Installation liefert dann an Besucher der Website Malware aus und versucht den Rechner des Besuchers zu infizieren.
Botnet attackiert WordPress-Installationen weltweit
Um die bei uns gehosteten WordPress-Installationen besser vor diesen Attacken zu schützen, verwenden unsere Neuinstallationen seit geraumer Zeit nicht mehr den Standard-Administrations-Account „admin“. Bestehende Altinstallationen werden wir anpassen und ggf. neue Zugangsdaten mitteilen.
Als weitere Maßnahme limitieren wir bei allen WordPress-Installationen die Anzahl erfolgloser Anmeldeversuche. Dies bremst insbesondere Angreifer, die mittels „brute-force“ Attacken Zugriff erlangen wollen (hierbei wird versucht das Passwort zu erraten, ggf. duch Hundertausende von Anmeldeversuchen).
Über eventuelle weitere Maßnahmen halten wir Sie auf dem Laufenden.