Informationen für CMS/made simple / Systemsicherheit

Webseite mit HTTPS / SSL / TLS Zertifikat betreiben

dummy@example.com (faglork) — Thu, 24 Aug 2017 11:39:12 +0000

Kleiner Hinweis für die 1er-CMSMS:

Ich hatte grade Probleme beim Umstellen auf HTTPS, kam nicht mehr ins Backend.

Lösung: in der config.php ergänzen:

$config['root_url'] = 'https://www.domain.de';
$config['ssl_url'] = 'https://www.domain.de';

Servus,
Alex

gemischte content zulassen für eine Seite [gelöst]

dummy@example.com (Janl) — Tue, 15 Aug 2017 19:12:54 +0000

hat perfekt funktioniert, alles mit https und sehr viel einfacher als gugel.

http://leafletjs.com/examples/quick-start/

MfG
Jan

Sicherheitslücke in PHPMailer (a ka CMSMailer) entdeckt

dummy@example.com (cyberman) — Sun, 23 Jul 2017 09:48:20 +0000

Weitere Sicherheitslücke im Core des PHP-Mailers geschlossen

https://www.cmsmadesimple.de/forum/view … 489#p40489

HowTo: CMS Made Simple absichern

dummy@example.com (cyberman) — Sun, 26 Mar 2017 09:17:16 +0000

cyberman schrieb:

Dass dieser Topic nach wie vor ein topaktuelles Thema ist, zeigt eine aktueller Bericht von Menlo Security, wonach rein statistisch gesehen jede zweite Webseite ein Sicherheitsrisiko darstellt

Dies bestätigt auch ein aktueller Post im Google Webmaster Central Blog - demnach hat sich die Anzahl der gehackten Webseiten 2016 im Vergleich zu 2015 um 32% erhöht

https://webmasters.googleblog.com/2017/ … eview.html

CMSMS-1: Bessere Passwörter im CMS/ms Backend

dummy@example.com (cyberman) — Tue, 07 Feb 2017 22:48:05 +0000

Ihr habt es sicherlich in den Medien mitbekommen - heute ist weltweit "Safer Internet Day", bei dem es darum geht, das Internet etwas sicherer zu machen.

So hab ich mir überlegt, was man da für CMS/ms tun könnte. Und mir ist da etwas kleines, aber effizientes eingefallen, was ich schon immer in CMS/ms umgesetzt haben wollte.

Ihr kennt doch alle unseren Security-Thread

https://www.cmsmadesimple.de/forum/viewtopic.php?id=18

Dort habe ich mir den Punkt 1.1 heraus gegriffen, also die Länge und die Qualität der Passwörter beim Erstellen und Bearbeiten von Nutzern. Da steht

Stattdessen sollte das Passwort sollte MINDESTENS acht Zeichen lang sein (12-16 Zeichen sind ideal), aus Groß- und Kleinbuchstaben bestehen sowie Zahlen und Sonderzeichen enthalten

Und haargenau dies hab ich über HTML5 Pattern umgesetzt - kleiner Aufwand, große Wirkung. Bei jeder Eingabe und Bearbeitung eines Nutzers muss jetzt das Passwort eingegeben werden, was diesen Qualitätsanforderungen genügen muss.

Bei der Gelegenheit hab ich die E-Mail-Adresse zum Pflichtfeld gemacht. Ansonsten läuft ja die gesamte Passwortwiederherstellung ins Leere.

Hier nun mein Patch

https://dl.orangedox.com/qalE06rfc1bqXd10FC?dl=1

Einfach in euer CMSMS-1 Installationsarchiv rein oder in eine bestehende Installation drüberkopieren - FERTIG! Natürlich wie bei jeder Aktualisierung ein Backup nicht vergessen .

Kontaktformular spamming

dummy@example.com (cyberman) — Sun, 22 Jan 2017 16:28:43 +0000

Vllt sind die Absicherungen für's Forum auch für Kontaktformulare keine schlechte Idee ?

cyberman schrieb:

Die zweite Stufe hat die verbliebenen 189 Zugriffe abgefangen.

Dies wäre Stop-Forum-Spam

https://stopforumspam.com/ schrieb:

StopForumSpam - a database of known forum and blog spam, its sources and the email addresses reported as its origins.

cyberman schrieb:

Die dritte Stufe musste noch nie gezündet werden .

Dies wäre DNSBL (Domain Name System Blacklists)

http://www.dnsbl.info/ schrieb:

Domain Name System Blacklists, also known as DNSBL's or DNS Blacklists, are spam blocking lists that allow a website administrator to block messages from specific systems that have a history of sending spam. As their name implies, the lists are based on the Internet's Domain Name System, which converts complicated, numerical IP address such as 66.171.248.182 into domain names like example.net, making the lists much easier to read, use, and search. If the maintainer of a DNS Blacklist has in the past received spam of any kind from a specific domain name, that server would be "blacklisted" and all messages sent from it would be either flagged or rejected from all sites that use that specific list.

Eine weitere Alternative wäre Akismet, als Ersatz für die Captcha-Lösung

https://akismet.com/ schrieb:

Akismet is an advanced hosted anti-spam service aimed at thwarting the underbelly of the web. It efficiently processes and analyzes masses of data from millions of sites and communities in real time. To fight the latest and dirtiest tactics embraced by the world’s most proficient spammers, it learns and evolves every single second of every single day.

Gibt's auch als Modul für CMSMS

http://dev.cmsmadesimple.org/projects/akismet

Ist allerdings schon etwas älter und müsste angepasst werden.

Sicherheitslücke im ModulManager

dummy@example.com (cyberman) — Wed, 28 Dec 2016 07:17:26 +0000

cyberman schrieb:

Wie ihr unschwer erkennen könnt, wird da eine Verbindung via http-Protokoll (und nicht dem sicheren https) aufgebaut. Ergo erfolgt sämtliche Kommunikation mit dem Repository unverschlüsselt, weshalb das für Drupal geschilderte Problem für CMSMS genau so relevant ist.
Die Tatsache, dass es bei CMSMS "nur" die Aktualisierung von Modulen betrifft (und nicht die System-Aktualisierung wie bei Drupal), glättet (bei mir) die Sorgenfalten keineswegs. Ob nun das System 'ne Backdoor hat oder nur ein Modul, ist praktisch ohne Bedeutung - Backdoor ist Backdoor.

Fast 1 Jahr hat man benötigt, um diese (eigentlich simple) Sicherheitslücke zu schließen

http://viewsvn.cmsmadesimple.org/revision.php?repname=cmsmadesimple&rev=10938 schrieb:

now use https.

Sicherheitslücke in 1.12.2 ?

dummy@example.com (NaN) — Sun, 20 Nov 2016 17:14:26 +0000

Ist vermutlich eher ein heuristischer Treffer. In der Datei wird eval() verwendet, um benutzerdefinierten PHP-Code auszuführen. Mancheiner könnte das als Sicherheitsrisiko werten. Der Code, der da ausgeführt wird, kommt aber aus der Datenbank. Und dort hat ihn in der Regel nur jemand reingeschrieben, der auch die entsprechenden Berechtigungen hat.

target=_blank - eine Sicherheitslücke in Sozialen Medien

dummy@example.com (cyberman) — Sun, 04 Sep 2016 06:49:01 +0000

Für's Protokoll :

nockenfell schrieb:

Gefährdet sind hier vor allem soziale Medien wie Facebook.

Könnte aber auch für CMSMS-Anwender relevant werden, sobald auf der Webseite Besuchereingaben möglich sind, wie zum Beispiel die FE-Aktion beim News-Modul, beim CGFeedback-Modul und beim GBook-Modul (Gästebuch)

nockenfell schrieb:

Als Webseitenbetreiber, welcher target=_blank verwendet, kann man seine Benutzer wie folgt schützen:
Neue Seite

Falls gewünscht und erforderlich, kann dies automatisiert über den Smarty-Tag replace ersetzt werden

{$entry->userinput|replace:'target="_blank"':'target="_blank" rel="noopener noreferrer"'}

wobei $entry->userinput die jeweilige Variable ist, die die Eingaben des Benutzers enthält.

http://www.smarty.net/docs/en/language. … eplace.tpl

Content Security Policy Header

dummy@example.com (cyberman) — Wed, 31 Aug 2016 06:14:49 +0000

Danke für den Hinweis - vermutlich scheint die Schreibweise egal zu sein. Hab es in verschiedenen Quellen mal groß und mal klein geschrieben gesehen ...

[gelöst] https aber nicht mit CMSMS? Doch, ich Esel.

dummy@example.com (Janl) — Sat, 21 May 2016 08:59:34 +0000

Wie ihr wisst, bin ich mit Lets Encrypt beschäftigt, das funktioniert recht gut.

Jetzt wollte ich mal sehen, wie das mit CMSMS klappt.

Wenn ich folgende Kode in der htaccess eingebe, erwarte ich, dass die Seite immer https ausgibt

[== html ==]

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

Das funktioniert bei einer einfachen HTML/PHP-Seite, aber nicht mit CMSMS. Da lande ich immer wieder bei http.
Es ist der selbe Server, die selbe PHP-Version und die selben PHP-Einstellungen.
Seiten im admin als HTTPS markieren funktioniert, aber nicht, wenn man die Seite neu aufruft.
Wo soll ich suchen? Offensichtlich übersehe ich etwas.

DNS, mein Himmel wie kann man so auf den Schlauch stehen!!!
Das dauert eine Weile.

MfG
Jan

[GELÖST] Domain auf SSL umgestellt - Login in Backend nicht möglich

dummy@example.com (cyberman) — Wed, 23 Mar 2016 20:27:23 +0000

Henk1060 schrieb:

Musst unbedingt PHP 5.6 Laufen darunter tut sich nix.

Wusste ich bislang auch noch nicht - danke für die Info. Früher hat CG das mal publiziert...

Und in CMSMS gibt's bislang keine Option a la PhpMinVersion und PhpMaxVersion .

Alle Daten weg

dummy@example.com (redigo/) — Sun, 20 Dec 2015 10:23:14 +0000

Cherry schrieb:

sorry, muß ein Anzeigefehler gewesen sein. Wurde mir sehr grau angezeigt.

Uff! Dann bin ich ja sehr erleichtert ;-)

[GELÖST] Neuer Code in Content-Blöcken

dummy@example.com (Dancer62) — Wed, 16 Dec 2015 19:13:46 +0000

NaN schrieb:

Warten wir einfach ab bis @Dancer uns ein erhellendes Feedback geben kann.
Bis dahin kreuzen wir einfach die Finger

Nun, ich habe mal stichprobenartig (und wahllos) diverse meiner Seiten geöffnet und auf den oben beschriebenen Sachverhalt hin geprüft. Auf keiner dieser Seiten konnte ich den Code feststellen, so dass ich mich der Meinung von faglork anschließen muss

faglok schrieb:

Das ist mit hoher Wahrscheinlichkeit eine Infektion. Von der Art her tippe ich auf einen verseuchten Browser - der Code wird eingefügt, sobald du eine Textarea aufmachst.

Da ich in der Zwischenzeit ein Update für Firefox installiert habe und ein (für mich unbekanntes) Plugin von Yahoo-Search entfernt habe,

Dancer schrieb:

Aufgefallen ist mir in diesem Zusammenhang allerdings, dass sich offenbar ein Plugin (?) von Yahoo Search bei mir ohne mein Wissen installiert hat. Habe es gleich wieder mit "Revo Uninstaller" de-installiert.

ist die Ursache für den Code damit hoffentlich gefunden und beseitigt worden.

Ich danke allen Beteiligten, die sich der Sache angenommen und mir geholfen haben, noch einmal ausdrücklich und bitte um Entschuldigung, falls meine Ausführungen mißverstanden wurden oder ich nicht sofort die Vorschläge umsetzen konnte.
Ich werde mich in Zukunft bemühen, mich noch aktiver an der Problemlösung anderer zu beteiligen.
@NaN: ich hoffe, das Du Deine Finger wieder entspannen kannst

Schreibberechtigung Verzeichnis /modules vs. ModulManager

dummy@example.com (cyberman) — Mon, 09 Nov 2015 07:59:36 +0000

Bin seit längerem wieder mal in die Verlegenheit gekommen, eine 1.12.1 frisch zu installieren.

Dabei ist mir aufgefallen, dass der Installationsassistent mit Rot anmeckert, wenn das Verzeichnis /modules keine vollen Rechte (=777) hat (nicht nur ein Hinweis).

Die Thematik hatten wir hier schon des öfteren, aber hier noch einmal - für diesen Ordner wird allenfalls nur dann eine Schreibberechtigung benötigt, wenn der ModulManager für die Installation neuer Module verwendet wird.

Der Einsatz des ModulManagers kann jedoch NICHT empfohlen werden!

Wird der ModulManager zur Installation und Aktualisierung von Modulen verwendet, erfolgt das durch einen Server-eigenen Prozess. Und derjenige, der die Installation/Aktualisierung durchführt, wird Eigentümer der neuen Dateien. Sprich, der Server ist dann der Eigentümer.

Im schlimmsten Fall kann (nicht wird) es dazu kommen, dass ihr aufgrund dieses Umstandes via FTP diese Dateien weder bearbeiten noch löschen könnt. Ist von den konkreten Server-Einstellungen abhängig. Manche Hoster haben in deren Backend eine Möglichkeit integriert, den Eigentümer ändern zu können.

Aber es bedeutet für euch auf jeden Fall eines - Mehrarbeit. Und wer will das schon ?

Von daher solltet ihr sowohl zum einen bei der Installation von Modulen auf den Einsatz des ModulManagers verzichten als auch nach der Installation die Berechtigung dieses Verzeichnisses auf einen sicheren Wert setzen.

Sagt nicht, euch hätte niemand gewarnt ...