Das sichere Hosting Ihres Internetauftritts ist uns sehr wichtig
Ab dem Joomla100-Medium-Tarif überprüft unser Joomla100-SecureBot Ihre Webseite regelmäßig nach Schadsoftware. Bei schädlichem Befund reinigen wir Ihre Seite. Der Joomla-Core und Joomla-Erweiterungen werden mit dem Update-Service aktualisiert, sobald sie verfügbar sind. Wir erstellen automatische Backups und zusätzliche Backups mit Akeeba.Falls Sie Sie einen Online-Shop betreiben, brauchen Sie ein SSL-Zertifikat, sonst verlieren Sie Sichtbarkeit bei den Suchmaschinen wie Google.
Unsere Joomla100 Vollkasko-Versicherung beinhaltet eine kostenlose Herstellung bzw. Reparatur Ihrer Seite im Falle eines Hacks, sowie wöchentliche Updates und Backups. Unsere neuen Backup-Server sorgen für eine beschleunigte und vereinfachte Wiederherstellung Ihrer Daten.
Let´s Encrypt – SSL Verschlüsselung für Jedermann
Keine Webseite sollte heute noch unverschlüsselt bleiben. Vor allem dann, wenn Sie einen Onlineshop anbieten oder eine Kennworteingabe, dann werden Ihre Kunden und Besucher auf rotmarkierte Warntexte stoßen, bevor Sie irgendwelche Daten übertragen.
Browser, wie Firefox oder Google Chrome haben ihre Richtlinien, die festlegen, wann eine solche Warnung angezeigt wird, in den vergangenen Jahren kontinuierlich verschärft. Und es ist nicht auszuschließen, dass entsprechende Warnungen in Zukunft auch bei Websites angezeigt werden könnten, die keine Formulare zur Übertragung von Daten anbieten. Verschiedene Ankündigungen der Browserentwickler lassen auch dies vermuten.
SSL Verschlüsselung hat keine Nachteile
Wo eine SSL-Verschlüsselung technisch möglich ist, sollte eine SSL-Verschlüsselung auch genutzt werden. Doch gibt es auch Nachteile, wenn Sie Ihre Webseite verschlüsselt übertragen? Sicherlich, die Datenübertragungsraten steigen. Doch Ihre Website muss dadurch nicht notwendigerweise langsamer werden. Wenn Sie das neue http/2 Verbindungsprotokoll auf Ihrem Server aktivieren können, dann wird Ihr Internetprojekt nach der Verschlüsselung sogar noch schneller. Denn dieses neue Verbindungsprotokoll steht nur für verschlüsselte Seiten zur Option.
Und die Kosten für die Verschlüsselung? Für jede Domain, die Sie unterhalten, benötigen Sie im Regelfall ein eigenes SSL-Zertifikat. In der Vergangenheit konnte dies ein Kostenfaktor sein, der nicht zu unterschätzen ist. Heute steht für einfachere Konzepte der Service von Let´s Encrypt zur Option. Komplexe Onlineshops und Webseiten mit einem bekannten Markennamen sollten weiterhin über ein kostenpflichtiges Extended Validation Verfahren authentifiziert werden. Betrachten Sie Let´s Encrypt als zusätzliche Option: Für wichtige Domains nutzen Sie ein Extendet Validation Zertifikat, für einfachere Websites können Sie den kostenlosen Service von Let´s Encrypt verwenden.
Authentifizierung über die Webseite
Let´s Encrypt verfolgt nicht nur die Idee, SSL-Zertifikate kostenlos zugänglich zu machen. Let´s Encrypt wollte auch die Einrichtung eines solchen Zertifikates vereinfachen. Ohne dabei die Sicherheit oder den Nachweis der Urheberschaft von Inhalten zu gefährden. Die Authentifizierung erfolgt dabei über eine Datei die serverseitig in das Verzeichnis Ihrer Domain geschrieben wird. Dann wird diese Datei von der Zertifizierungsstelle aufgerufen und anschließend wieder gelöscht. Die Zertifikate haben bei Let´s Encrypt meist eine sehr kurze Laufzeit von 2 – 3 Monaten. Entsprechende serverseitige Tools sind jedoch in der Lage, immer dann ein neues Zertifikat zu erstellen, wenn das vorige seine Gültigkeit verloren hat. Es schadet allerdings nicht, diesen Vorgang auch manuell gelegentlich zu überprüfen. Denn schon eine kurze Downtime Ihres Servers zum falschen Zeitpunkt kann dazu führen, dass ein Zertifikat nicht erneuert wurde. Ihre Kunden erhalten dann eine Sicherheitswarnung, sobald Ihre Webseite aufgerufen wird.
SSL-Zertifikate als Rankingfaktor
Die Suchmaschine Google hat in verschiedenen Verlautbarungen klargestellt, dass verschlüsselte Seiten im Ranking der Suchmaschine positiv bewertet werden. Offenbar stellt sich hier die Frage nicht, ob eine statische Informationsseite übertragen wird oder ob es sich um ein Projekt mit interaktiven Inhalten handelt. Let´s Encrypt ist ein praktikabler Weg, auch die einfacheren Internetprojekte mit einer SSL-Verschlüsselung auszustatten und von diesem Rankingvorteil Gebrauch zu machen. Das Konzept der Authentifizierung von Websites von Let´s Encrypt wird übrigens ausdrücklich von Google unterstützt und zwischen Let´s Encrypt und Google besteht ein reger Dialog, um dies auch in Zukunft zu sichern.
Let´s Encrypt – Ein Konzept mit Zukunft?
Bei der Ausstellung kostenloser Zertifikate stellt sich natürlich immer die Frage, ob das Konzept von Let´s Encrypt auch in der Zukunft noch als vertrauenswürdig eingestuft wird und weiter genutzt werden kann. Wenn Sie erst einmal alle Ihre Domains auf die SSL-Verschlüsselung umgestellt haben, dann wird es schwierig bis fast schon unmöglich, eine entsprechende Rückabwicklung auf das http-Protokoll ohne Verschlüsselung vorzunehmen. Und eine Umstellung auf kostenpflichtige Zertifikate kann teuer werden, wenn Sie über eine Vielzahl von Domains verfügen.
Im Juni 2017 wurde gemeldet, dass mittlerweile mehr als 100 Millionen Zertifikate von Let´s Encrypt aktiv genutzt werden. Stellen Sie sich vor, eine solche Anzahl von Domains würden von einem Tag zum anderen nicht mehr als vertrauenswürdig eingestuft werden und von den Browsern nicht mehr oder nur noch mit einer Warnmeldung angezeigt. Das World Wide Web wäre dann auf einen Sprung ein Flickenteppich. Je mehr Domains Let´s Encrypt nutzen, desto größer die Systemrelevanz des Service. Ja, es hat schon SSL-Zertifizierungsstellen geben, die all zu leichtfertig ihre Zertifizierungen ausgestellt haben. Dies führte zu einer Warnmeldung in den Browsern trotz SSL-Verschlüsselung. Die enge Zusammenarbeit von Let´s Encrypt mit den Entwicklern gängiger Browser, die große Reichweite des Konzeptes über die Anzahl der registrierten Domains und das vergleichsweise sichere Konzept der Authentifizierung über den Zugriff auf die Webseite selbst lässt erwarten, dass von Let´s Encrypt ausgestellte Zertifikate auch in der Zukunft als sicher eingestuft werden.
SSL Zertifikate werden immer wichtiger
Die Sicherheit von Daten. Darüber hat sich in den Anfangstagen des World Wide Web noch niemand viel Gedanken gemacht. Doch heute spielt die Datensicherheit eine immer größer werdende Rolle. Vor allem dann, wenn Daten per Formular vom Kunden an den Server übertragen werden.
Joomla100 Vollkasko-Versicherung für Ihre Joomla-Seite
Mit der Joomla100 Vollkasko-Versicherung reagiert Joomla100 auf die zunehmenden Hackerangriffe, die sich gegen die populären CM-Systeme wie Joomla!, Wordpress, Typo3 und andere richten. Nicht jeder Webseiten-Administrator hat die Zeit, sich um regelmäßige Sicherheits-Updates und Backups zu kümmern.
Bei der Joomla100 Vollkasko-Versicherung übernehmen wir diese Aufgaben für Sie (sofern es sich dabei um eine Joomla!-Installation handelt!), damit das Risiko eines Hacks minimiert wird. Sollte es dennoch zu einem erfolgreichen Angriff kommen, übernehmen wir die komplette Wiederherstellung der Seite, suchen die Sicherheitslücken und nehmen Ihre Seite wieder für Sie in Betrieb.
Folgende Leistungen beinhaltet unsere Versicherung:
1. wöchentliche Updates von Joomla und den installierten Erweiterungen (falls Updates vorhanden sind)
2. wöchentliche Backups Ihrer kompletten Webseite inklusive Datenbank
3. im Falle eines Hacks (Hacks können auch trotz aktueller Versionen auftreten, wenn z.B. die Zugangsdaten durch einen Virus oder Trojaner ausgespäht wurden) erfolgt einmal jährlich (pro Kalenderjahr) eine kostenlose Wiederherstellung bzw. Reparatur der Seite
Diesen Service bieten wir ab dem Medium-Tarif an, ab dem die Joomla-Updates (ohne Updates der installierten Erweiterungen!) bereits kostenlos enthalten ist.
Diesen Service erhalten Sie bereits für 8,99 Euro / Monat.
Gemäß der Richtlinie 2006/112/EG in der geänderten Fassung können die Preise ab 1.1.2015 je nach Wohnsitzland des Kunden (innerhalb der EU) variieren. Die Preise in den Angeboten sind inklusive der für Deutschland geltenden gesetzlichen Mehrwertsteuer.
- Kategorie: Sicherheit
Mehr Sicherheit mit dem Joomla100-SecureBot
Ab dem Joomla100-Medium-Tarif bieten wir unseren Hosting-Kunden einen neuen Service an. Um die Sicherheit Ihrer Webseite weiter zu erhöhen, führen wir mit dem Joomla100-SecureBot regelmäßig eine Schadcode-Suche auf Ihrem Server für Sie durch. Erweiterungen (Komponenten, Module, Plugins) sowie der Joomla-Core werden bei Verfügbarkeit einer neuen Version automatisch aktualisiert.
Für unsere Hosting-Kunden mit Vollkasko-Versicherung, prüfen wir die Seite auf Optimierungsmöglichkeiten und führen diese nach Rücksprache mit Ihnen kostenlos durch.
Zur Vollkasko-Versicherung gehören unter anderem folgende Maßnahmen
- Bei gefundenem Schadcode prüfen wir die Funde und bereinigen Ihre Seite
- wir übernehmen die Konfiguration zur Verbesserung der Performance Ihrer Webseite
- Erhöhung der Sicherheit (u.a. regelmäßiges Überprüfen der Einstellungen von Joomla, die sicherheitsrelevant sind)
- Prüfen der Ordnerrechte
- Überprüfung des Status Ihrer Seite bei Google
- Backups mit Akeeba zusätzlich zu den von uns automatisch erstellten Backups
Sofern Sie bereits Kunde von Joomla100 sind und Interesse an unserem neuen Service haben, können Sie jederzeit in den Medium-Tarif mit Update-Service / SecureBot wechseln. Hierzu reicht eine kurze Kontaktaufnahme.
Kostenloser Update-Service für Ihre Joomla-Webseite
Für die Kunden des Medium-,Premium- und Business-Tarifs bieten wir einen kostenlosen Update-Service auf die jeweils neueste Joomla-Version an.
Wir informieren all unsere Kunden, sobald eine neue Joomla-Version erschienen ist. Unsere Medium-,Premium- und Business-Kunden haben hier natürlich die Möglichkeit, ein kostenloses Update per Email oder ggf. auch per Telefon mit vorheriger Beratung (Kompatibilitätsprobleme mit installierten Komponenten etc.) anzufordern.
Weiterhin stehen wir Ihnen auch gerne mit Rat und Tat zur Seite, was die Sicherheit der von Ihnen installierten Komponenten, Module und Plugins betrifft.
Vorgehensweise bei einer gehackten Joomla-Seite
Leider passiert es immer wieder, dass eine Joomla-Seite aufgrund veralteter Komponenten/Module gehackt wird und dann zum Versenden von Spammails, Installation von Phishing-Seiten o.ä. missbraucht wird.
Hier ist schnelles Handeln erforderlich.
Nach einem Hack ist es äußerst schwierig, die Joomla-Installation wieder zu bereinigen. Es hängt nicht immer nur an den wenigen Dateien, die man auf die Schnelle findet, es besteht immer das Risiko, dass die Hacker sich irgendwo eine Hintertür (Backdoor) eingebaut haben, mit der sie wieder auf den Server kommen, um neuen Schadcode hochzuladen.
Joomla-Installationen können aus bis zu 10.000 oder mehr Dateien bestehen und es ist fast unmöglich, alle auf eventuell vorhandenen Schadcode zu prüfen. Um Ihre Seite schnellstmöglich wieder "gesund" online zu bringen, haben wir folgende Vorgehensweise für Sie erarbeitet:
1. Vorschalten eines Kennwortschutzes (wenn wir den Hack entdecken, erledigen wir das automatisch für Sie) um weiteren Schaden zu vermeiden
2. Identifizerung der Sicherheitslücke:
- Ist Joomla selbst aktuell, sind alle Erweiterungen aktuell?
- haben Sie eventuell einen Virus oder Trojaner auf dem Rechner? TIPP: nicht auf kostenlose Scanner verlassen. Wir haben bei einigen Kunden die Erfahrung gemacht, dass kostenlose Scanner nicht alles gefunden haben. Der Trojaner wurde erst nach Einsatz eines professionellen Scanners ausfindig gemacht, z.B. F-Secure, Kaspersky, AVG, TrendMicro etc. Wenn Ihr Rechner sauber ist, wäre noch zu prüfen ob es weitere User mit Admin-Zugang gibt, auch deren Rechner müssen geprüft werden.
Sollte auch hier kein Virus gefunden werden, wurde die Seite über eine Sicherheitslücke in Joomla oder einer Komponente bzw. Modul gehackt.
Somit ist die Installation kompromittiert und muss gesäubert werden.
Eine Methode, die auch für Anfänger geeignet ist, wäre folgende Vorgehensweise:
1. Update der Installation sowie aller Erweiterungen auf die jeweils aktuellste Version und Prüfung aller User im Usermanager
2. Deinstallation aller Erweiterungen, die nicht mehr benötigt werden bzw. die sich einfach durch Neuinstallation wieder integrieren lassen
3. Sichern des Template und dessen 100%ige Befreiung von Schadcode
4. Sichern des Bilder-Ordners und dessen 100%ige Befreiung von Schadcode (insbesondere PHP-Dateien haben nichts im Image-Ordner zu suchen!)
5. Aufsetzen einer Installation mit identischen Erweiterungen in identischen Versionen, am besten lokal (und erst, nachdem der Rechner gesäubert wurde)
Ziel von 5. ist, eine identische FTP-Struktur wie die Installation auf dem Server zu erhalten
6. Löschen aller Inhalte auf dem Server sowie ändern aller Kennwörter
7. Upload der lokal erstellten Installation per FTP
8. Rückspielen der gesicherten Bilder in die identischen Ordner
9. Rückspielen des Templates falls nicht schon lokal eingespielt
10. Upload der alten configuration.php inkl. Anpassung der configuration.php (neues DB-Kennwort eintragen)
11. vor dem erneuten Arbeiten mit der Installation von einem sauberen Rechner alle Kennwörter für die Admin-User ändern
Auf diese Weise ist sicher gestellt, dass keine Backdoor-Dateien mehr auf dem Server liegen können, die Inhalte können aber dennoch alle gerettet werden.
Backup-Systeme aufgerüstet - kostenloses Wiederherstellen von Backups
Seit kurzem kommen bei Joomla100 neue Backup-Server zum Einsatz, die eine Wiederherstellung von Daten deutlich vereinfachen und beschleunigen.
So können wir für Sie bis zu 14 Tage alte Backups wieder einspielen, sollte ihre Seite z.B. gehackt worden sein oder ein Update ist misslungen. Um ein Backup einzuspielen, kontaktieren Sie uns bitte per Mail oder Telefon.
Wahlweise kann eine Datenbank, die komplette Joomla-Installation (oder andere Inhalte, wenn kein Joomla installiert ist) oder auch Postfächer wiederhergestellt werden. Die Backup-Server bieten wir Ihnen kostenlos zu Ihrem Joomla-Hosting-Tarif an. Das Zurückspielen der Backups ist etwas aufwendiger, der Aufwand muss dann berechnet werden. Wie viel die Wiederherstellung kostet, richtet sich nach dem Umfang der Arbeiten. Den Aufwand teilen wir Ihnen vor Beginn der Arbeiten mit.
Die technischen Eckdaten des Backup-Systems sehen wie folgt aus:
- CPU: Intel(R) Core(TM)2 Duo CPU E4600 @ 2.40GHz
- RAM: 2052004 kB
- Platten:4 x 1TB an Raidcontroller
- Raidsystem: RAID 10
Die Backups erfolgen regelmäßig um ca. 3 Uhr nachts. Sofern ein Backup auf dem Server nicht erfolgreich war, erfolgt direkt eine Warnung und das Backup wird zu einem späteren Zeitpunkt nochmals gestartet.
Sollten Sie die Notwendigkeit eines Backups erst später entdecken, setzen Sie sich bitte telefonisch mit uns in Verbindung, damit wir eine genaue Vorgehensweise zur Wiederherstellung der Seite besprechen können.