Wissensdatenbank – Letzte Beiträge

TYPO3 und das „trustedHostsPattern“ Problem

Von | CMS Systeme, Wissensdatenbank | Keine Kommentare

Bei einem TYPO3 Update im letzten Jahr wurde eine neue Systemvariable namens „trustedHostsPattern“ eingeführt.

Grund war die Möglichkeit von sog. Host Spoofing Angriffen, welche durch eine nicht ausreichende Validierung der HTTP-host-header bedingt war. Generell werden die host-header clientseitig gesetzt und können daher leicht manipuliert werden.

Durch die Einstellung des trustedHostsPattern Parameters kann diese Problematik verhindert werden (Prüfung der host-header mit den dort eingetragenen Werten).

trustedhostspattern

Die Standardeinstellung „SERVER_NAME“ sollte bei den meisten Webseiten  funktionieren. Wenn nicht, bleibt nur das händische Eintragen der entsprechenden Domain in der Konfiguration von TYPO3 oder über das Install Tool. Sind mehrere Domains im Einsatz, wird folgendes helfen:

‚trustedHostsPattern‘ => ‚(www\\.)?meine\\-domain\\.de‘

Dies sorgt nun dafür, das die Seite unter beiden Varianten der Domains aufrufbar ist. Also mit und ohne „www“

Es gibt auch noch die Möglichkeit die Prüfung zu umgehen, wovon jedoch ausdrücklich abgeraten wird:

‚trustedHostsPattern‘ => ‚.*‘

Nachdem die dieser Eintrag aktiviert wurde, wird jede Domain und Domainvariante akzeptiert.

Wie ersichtlich, können reguläre Ausdrücke verwendet werden. Im Installtool finden sich Hinweise über mögliche Einstellungen. Weitere Informationen (auch zu Servereinstellungen) gibt es hier.

Probleme beim Email Versand / Empfang

Von | Email, Wissensdatenbank | Keine Kommentare

SSL Fehler

Den SSL Fehler erhalten Sie in den meisten Fällen, weil der falsche Servername für Posteingang (SMTP) und Postausgang (POP3/IMAP) für die verschlüsselte Verbindung (TLS/SSL) eingetragen ist. Der Servername „[pop|imap|mail| o. ä.].ihre-doman.[de]“ passt nicht zu unserem Zertifikat, welches auf „*.webhosting-franken.de“ ausgestellt ist. Der richtige Servername lautet „[servername].webhosting-franken.de“, was auch im WHF Panel -> Startseite -> Zugangsdaten und in unserer Anleitungen nachzulesen ist.

mail_zugangsdaten_beispiel

Nachdem Sie den Servernamen korrigiert haben, starten Sie das Email Programm neu und die Fehlermeldung ist verschwunden.

 

Sporadisch keine Verbindung zum POP3/IMAP oder Mailserver

Der Grund für Ihre Probleme beim Senden und Empfangen von Emails liegt in den meisten Fällen darin begründet, das unsere Sicherheitsrichtlinien verletzt werden. Von Ihrer IP Adresse werden fortlaufenden falsche Zugangsdaten übermittelt, was nach 6 Wiederholungen zu einer ca. 30 minütigen Sperre der IP Adresse für eben diesen Dienst führt. Nachdem diese Zeitspanne vergangen sind wird die Sperre aufgehoben und der Vorgang beginnt von vorne. In nachfolgendem Beispiel beträgt die Sperre 10 Minuten. Es handelt sich nur um ein Beispiel.

Ursache:

……
Sep 22 07:32:24 syscpXX dovecot: pop3-login: Aborted login (auth failed, 1 attempts in 2 secs): user=<email@adresse.de>, method=PLAIN, rip=84.57.XX.XX, lip=138.201.XX.XX, session=<+Ppv/BE9MABUOU9E>
……
Sep 22 07:48:24 syscpXX dovecot: pop3-login: Aborted login (auth failed, 1 attempts in 2 secs): user=<email@adresse.de>, method=PLAIN, rip=84.57.XX.XX, lip=138.201.XX.XX, session=<a3ylNRI9igBUOU9E>

Folgen:

2016-09-22 07:32:24,993 ban.actions[28495]: WARNING [dovecot] Ban 84.57.XX.XX
2016-09-22 07:42:25,695 ban.actions[28495]: WARNING [dovecot] Unban 84.57.XX.XX
2016-09-22 07:48:25,109 ban.actions[28495]: WARNING [dovecot] Ban 84.57.XX.XX
2016-09-22 07:58:25,793 ban.actions[28495]: WARNING [dovecot] Unban 84.57.XX.XX

 

Stellen Sie deshalb sicher, das alle Verbindungen zu unseren Server(n) mit den korrekten Zugangsdaten vorgenommen werden. Es macht keinen Sinn, nervende Fehlermeldungen einfach zu ignorieren. Seit der Einführung dieser Maßnahme hat sich der Missbrauch von Email Postfächern mit Spam Versand deutlich reduziert und unsere Kunden sind damit rundum zufrieden.

 

Informationen zu kostenlosen Let’s Encrypt Zertifikaten

Von | Oft nachgefragt, Wissensdatenbank | Keine Kommentare

SSL Verschlüsselung kostenlosLet’s Encrypt (englisch, „Lasst uns verschlüsseln“) ist eine Zertifizierungsstelle, die Ende 2015 in Betrieb gegangen ist und kostenlose X.509-Zertifikate für Transport Layer Security (TLS) anbietet. Ziel des Projekts ist es, verschlüsselte Verbindungen im World Wide Web zum Normalfall zu machen. Als innovativer Dienstleister im Hosting Bereich stehen wir natürlich hinter dieser Zielsetzung.  SSL Verschlüsselung kostenlos mit Letsencrypt

Wir bieten Ihnen für alle bei uns Registrierten Domains die Möglichkeit, Let’s Encrypt Zertifikate kostenlos zu verwenden. Hierzu sind nur wenige Klicks im WHF Panel nötig. Natürlich können Sie uns hierfür auch entlohnen, indem Sie Ihren Freunden, Bekannten und Geschäftspartnern von dieser tollen Möglichkeit erzählen und Webhosting Franken weiter empfehlen.

Was bringt Ihnen der Aufwand?

Die Verwendung eines SSL Zertifikates für Ihre Domain(s) bringt Ihnen viele Vorteile. Hier die wichtigsten Gründe auf einen Blick:

  • Sichere Datenübertragung zu Ihrer Anwendung (Backend / Backoffice)
  • Mehr Vertrauen bei Ihren Besuchern vor allem bei Online Shops unerlässlich
  • Bei Unternehmen besteht die gesetzliche Pflicht, sensible Daten geschützt zu übertragen (z. B. Kontaktformulare)
  • Bessere Platzierung im Suchergebnis bei Google und anderen Suchportalen.
  • Die Sicherheit, alles richtig gemacht zu haben.


Was sollten Sie vorher
wissen:Kostenlos mit Letsencrypt

Für den korrekten Betrieb einer verschlüsselten Seite ist es in vielen Fällen erforderlich, das Sie die Standard Domain (base URL) in Ihrer Anwendung (TYPO3, WordPress, Drupal u. a.) auf die verschlüsselte Domain setzen und alle internen Links prüfen und ggfl. überarbeiten. Erst wenn alle internen Verlinkungen auf Ihrer Seite auf https verweisen, wird das Schloss Symbol in der Adressleiste des  Web Browsers mit der Farbe Grün hinterlegt.

Sie sollten sich demnach vor der Umstellung mit dem Thema befassen und die nötigen Arbeitsschritte entsprechend vorbereiten, indem Sie für das von Ihnen verwendete CMS/Shop System die nötigen Arbeitsschritte ermitteln. So geht die Umstellung in den meisten Fällen leicht von der Hand.

Mögliche Problem beim Aktivieren

Sie haben für Ihre Domain eine Let’s Encrypt Zertifikat im WHF Panel angelegt. Jedoch wird dieses auch nach mehreren Minuten noch nicht als aktiv gekennzeichnet und die Domain ist nicht nicht über „https://“ erreichbar.

Sehr wahrscheinlich haben Sie für die Domain eine Weiterleitung gesetzt oder bei der Domain handelt es sich um eine „Alias Domain“. Ebenso können „Rewrite Regeln“ in der .htaccess Datei dafür verantwortlich sein. Aus diesem Grund kann die Domain nicht verifiziert werden. Entfernen Sie die Weiterleitung oder heben Sie den Status „Alias Domain“ auf.

Stellen Sie sicher, das eine Textdatei über den Web Browser nach folgenden Muster angezeigt werden kann:
http://www.ihre-domain.de/test/acme-challenge/test

Wenn dies klappt, können Sie im WHF Panel den Antrag für das Zertifikat abbrechen und danach neu starten. Sobald das Zertifikat verfügbar und aktiv ist, können Sie den Grundzustand, wie von Ihnen benötigt, wieder herstellen.

Fehler ImageTTFBBox()

Von | Scriptsprachen PHP etc., Wissensdatenbank | Keine Kommentare

Problem: Sie erhalten von Ihrem TYPO3 folgenden Fehler:

Fatal error: Call to undefined function ImageTTFBBox() in
/usr/share/php/typo3_src-4.7.20/t3lib/class.t3lib_stdgraphic.php

 

Lösung: Sie verwenden eine veraltete PHP Version, welche nicht mehr im vollen Umfang unterstützt werden kann. Verwenden Sie mindestens PHP 5.4, besser PHP 5.5 oder größer. Sollte das nicht möglich sein, müssen Sie Ihr System auf einen aktuelleren Stand bringen.

WordPress Sicherheit – Teil 2 – XMLRPC absichern

Von | Allgemein, Anwendungen, Sicherheit, WHF Blog | Keine Kommentare

Wenn Sie einen WordPress als Blog oder CMS System betreiben, haben Sie standardmäßig eine Schwachstelle in Ihrem Root-Ordner liegen. Die Datei heißt xmlrpc.php und wird nicht selten von Botnetzwerken für DDoS-Attacken missbraucht. Seit WordPress Version 3.5 ist die xmlrpc.php als API-Schnittstelle automatisch aktiviert, was aus Sicht der Sicherheit ein Fiasko ist.

Mehr Lesen

WordPress Sicherheit – Ein Leitfaden – Teil 1

Von | CMS Systeme, Sicherheit, WHF Blog | Keine Kommentare

Wordpress ist ein sehr beliebtes Blog und CMS System und wird bei unseren Hosting Kunden sehr oft verwendet. Dies hat zur Folge, das es auch ein beliebtes Ziel für Hacker und die, die es einmal werden wollen, ist. Befolgt man jedoch ein paar grundsätzliche Regeln, ist man schon fast auf der sicheren Seite und das System ist sicher.

Unser Leitfaden erklärt alles Wichtige für den Betrieb von Wordpress.

Mehr Lesen