Sicherheitsupdate: WordPress WooCommerce PlugIn

Rund 4 Millionen Onlineshops laufen derzeit Gefahr gehackt bzw. von Fremden übernommen zu werden. Ein Fehler in der sehr beliebten Shopping-Extension WooCommerce macht dies möglich wie das folgende Video anschaulich demonstriert.

Damit der Angriff erfolgreich durchgeführt werden kann müssen einige Voraussetzungen erfüllt sein, unter anderem muss der Angreifer bereits einen Zugang zum Blog haben. Während des Angriffs wird genau dieser Benutzer mit Admin-Rechten ausgestattet und erhält somit vollen Zugriff auf die WordPress-Installation und WooCommerce.

Auch wenn diese Lücke nicht durch externe Angreifer ausgenutzt werden kann sollte das Sicherheitsupdate kurzfristig eingespielt werden.

Eine ausführliche Beschreibung des Angriffs findet Ihr auf Heise Security bzw. Ripstech.


Neue Cluster Angebote und Summer Special 2018!

Der Sommer und die Ferien neigen sich dem Ende und die Straßen werden voller. Gerade für Shop Betreiber beginnt nun die spannendste Zeit des Jahres, die Vorbereitungen für das Jahres-Endgeschäft inkl. Cyber Monday, Black Friday und dem Weihnachtsgeschäft laufen an.

Wir haben die letzten Wochen und Monate damit verbracht unsere High-Performance Hosting-Plattform auf diese Zeit vorzubereiten und weiter auszubauen!

Hochverfügbar und skalierbar – unsere SSD Cluster

skalierbares Premium Cluster Setup

Heute möchten wir euch daher unsere hochverfügbaren und skalierbaren SSD Cluster vorstellen. – Es  handelt sich um Konfigurationsvorschläge damit ihr einen groben Überblick über die Möglichkeiten bekommt, das jeweilige Setup entwickeln wir natürlich individuell mit euch zusammen.

Sommerspecial 2018 – 17% auf alles!

Ein Bild sagt mehr… ?- Daher möchten wir mit euch das Ende eines legendären Sommers feiern um euch den Wiedereinstieg in den Arbeits-Alltag etwas zu erleichtern! – Promocode: SUMMERENDS18

Bis zum 26.09.2018 gibt 17% Rabatt auf alles außer Domains und SSL-Zertifikate.


Neue Features: cPanel v74

Nachdem es im Zuge der DSGVO und den hochsommerlichen Temperaturen in NRW nun einige Zeit sehr still geworden ist, möchten wir uns langsam aber sicher zurück melden und euch die neusten Entwicklungen nicht länger vorenthalten!

cPanel v74

Bereits seit einigen Tagen laufen die cPanel Updates auf unserer High-Performance Hosting-Plattform um diese komplett mit cPanel Version 74 auszustatten.

GIT – Versionskontrolle und Auto-Deployment

Ab sofort könnt ihr mit einem Klick Git-Repos erstellen, verwalten und Änderungen sogar automatisch deployen!

cPanel v74 Git

Damit Ihr auch bei größeren Projekten und vielen Projektteilnehmern den Überblick behaltet steht euch Gitweb zur Visualisierung der Repos zur Verfügung.

cPanel v74 Gitweb

SSH – Terminal: In-Browser SSH Terminal

Als nächstes Highlight möchten wir euch das In-Browser SSH-Terminal vorstellen. Bisher mussten für eine SSH-Session relativ aufwendige Vorbereitungen getroffen werden, dazu gehört u.a. das generieren, kopieren und freischalten der Schlüsselpaare genauso wie die Einrichtung des lokalen SSH-Clients. – Aus dem täglichen Supporter-Leben wissen wir, dass es gerade für Einsteiger in diesem Bereich mitunter sehr kompliziert werden kann.

Dies hat nun ein Ende, denn nur 1 Klick trennt dich vom direkten Zugang zum Server – deiner SSH Shell!

cPanel v74 Terminal

Das SSH-Terminal stellen wir zuerst unseren CloudServer Kunden zur Verfügung, unsere Hosting Kunden müssen sich leider noch wenige Wochen gedulden bis das Zusammenspiel zwischen dem SSH-Terminal und dem von uns eingesetzten CloudLinux OS perfektioniert wurde. Aktuell gibt es kleinere Probleme die zuerst gelöst werden müssen, wir sind zuversichtlich das dies in Kürze der Fall sein wird. 🙂


DSGVO, wir kommen!

Am 25. Mai tritt die neue DSGVO in der EU in Kraft. Wir ist darauf vorbereitet!

Die Fakten kurz & knapp

  • Unsere Server stehen ausschließlich in Deutschland
  • Unsere Server sind zu 100% unser Eigentum, wir sind keine Reseller!
  • Wir nutzen ausschließlich ISO 27001 zertifizierte Rechenzentren, nur wir haben Zugang zu unseren Servern.
  • Wir nutzen keinerlei Subunternehmer, außer Rechenzentren und Domainregistrare
  • Wir stellen unseren Kunden fertige AV-Verträge im Kundencenter zum Download zur Verfügung
  • Externer Datenschutzbeauftragter und regelmäßige Audits
  • Selbstverständlich keinerlei Weitergaben, Verarbeitung oder Verkauf eurer Daten

Wie schließe ich einen AV-Vertrag mit rack::SPEED ab?

Im Kundencenter steht sowohl der AV-Vertrag als auch die technischen und organisatorischen Maßnahmen (TOM) zum Download zur Verfügung.

  1. Download der DSGVO Unterlagen (AV-Vertrag und TOM)
  2. Fülle die Felder auf Seite 1, 4 und 10 aus, unterzeichne den Vertrag als „Auftraggeber“
  3. Senden uns einen Scan oder ein hochauflösendes Foto per eMail an vertrag@rackspeed.de zurück

Der AV-Vertrag ist von unserer Seite aus bereits digital unterzeichnet und in dieser Form gültig.


Support über die Ostertage 2018!

Wir möchten euch darauf hinweisen, dass wir vom 30.03.2018 bis zum 02.04.2018 nur eingeschränkten Support leisten können.

Ab dem 03.04.2018 stehen wir euch wieder wie gewohnt und ohne Einschränkung zur Verfügung!

Im Notfall erreicht ihr uns an den Feiertagen über das Kundencenter, Kunden mit einem 24/7 Support-Vertrag wählen die Rufnummer 0800-RACKSPEED (0800-722577333) um nach der PIN-Eingabe direkt mit einem Techniker zu sprechen.

Das rack::SPEED Team wünscht euch und eurer Familie ein frohes Osterfest.

P.S.: Direkt nach Ostern feiern wir mit euch unsere 10-Jahre rackSPEED Geburtstagsparty mit dicken Rabatten!


rack::SPEED ist zertifizierter „Software hosted in Germany“ Partner!

Immer öfter werden wir gefragt wo unser Rechenzentrum beheimatet ist und ob wir wissen wo die Daten unserer Kunden gespeichert sind, daher haben wir uns um eine unabhängige und vertrauensvolle Zertifizierung bemüht.

Um so mehr freuen wir uns, dass die Einhaltung der Standards für sicheres Datenhandling nun auch offiziell vom BITMi e.V. (Bundesverband IT-Mittelstand e.V.) bestätigt wurde. Der BITMi e.V. vertritt über 2.000 IT-Unternehmen und ist damit der größte Fachverband für mittelständische IT-Unternehmen in Deutschland.

Das Siegel Software Hosted in Germany garantiert, dass deine Daten in Deutschland gehostet werden und somit deutsches Recht und vor allem das deutsche Datenschutzrecht gilt. Das bedeutet auch, dass wir keiner Behörde zur Auskunft oder zum Zulassen eines Zugriffs verpflichtet sind zumindest solange kein Straftatbestand vorliegt. 🙂

Deine Daten speichern und verarbeiten wir ausschließlich auf eigener Hardware im Rechenzentrum von Interxion in Düsseldorf.

Du möchtest das Siegel für deine eigenen Software-Produkte und Angebote beantragen? Durch unsere Zertifizierung als offizieller „Software hosted in Germany“ Partner kann das Siegel nun schnell ausgegeben werden, gerne helfen wir euch dabei.

Um das Siegel zu erhalten, müssen folgende Kriterien erfüllt sein:

  • Die Software und die Daten werden in einem Rechenzentrum in Deutschland gehostet.
  • Die Software und die Daten verlassen Deutschland nicht, außer der Auftraggeber verlangt dies.
  • Für den Hostingvertrag gilt ausschließlich deutsches Recht, insbesondere das deutsche Datenschutzrecht, das BGB und das HGB.
  • Die mit dem Siegel ausgezeichneten Unternehmen hinterlegen den jeweils aktuellen Standard ihrer technischen und organisatorischen Maßnahmen in Bezug auf den Datenschutz (vgl. § 9 BDSG) beim BITMi e.V.

In Kürze werden wir auf unserer Website weitere Infos zum Siegel veröffentlichen.


Kurz notiert: Let’s Encrypt ab sofort verfügbar!

Lets Encrypt Logo

Die meisten von euch werden es bereits bemerkt haben, in den letzten Wochen haben wir viel hinter den Kulissen gearbeitet und an unseren Angeboten geschraubt. Unter anderem haben wir damit begonnen die teilweise problematischen AlwaysOnSSL Zertifikate gegen die von euch angefragten Let’s Encrypt Zertifikate auszutauschen.

Ab sofort müsst ihr euch in Sachen SSL- / TLS-Verschlüsselung um nichts weiter kümmern! Wenige Stunden nachdem ihr neue Domains in eurem Account aufgeschaltet habt stellen wir automatisiert Let’s Encrypt Zertifikate für diese Domains aus. – Selbstverständlich kannst du jederzeit über uns hochwertigere SSL- / TLS-Zertifikate, zB EV-Zertifikate mit „grüner Leiste“ oder SiteSeal, bei uns bestellen.

Den Status und die automatische Verlängerung deiner Let’s Encrypt Zertifikate kannst du jederzeit im cPanel einsehen. Im Bereich „Sicherheit“ findest du den Menüpunkt „SSL/TLS Status“:

cPanel Sicherheit

Hier siehst du auf einen Blick welche deiner Domains bereits mit einem SSL- / TLS-Zertifikat ausgestattet sind, wie lange dieses noch läuft und ob es automatisch verlängert wird. Natürlich kannst du deine Domains auch jederzeit von der Ausstellung der Zertifikate ausschließen.

cPanel SSL- / TLS-Status

Sicherheitsupdate: Magento SUPEE-10415

Bei diesem Patch sind eine Reihe von Voraussetzungen zu erfüllen damit der Patch fehlerfrei installiert wird, wir raten daher dringend dazu die Doku vorher genau zu lesen.

Das Magento Team hat ein Sicherheitsupdate für das Shopsystem herausgegeben, der Patch trägt den Namen SUPEE-10415 und beseitigt 5 kritische und 5 wichtige Sicherheitslücken.

Gleichzeitig wurde eine komplett neue Magento Version 1.9.3.7 erstellt, die Sicherheitsprobleme betreffen daher alle im Einsatz befindlichen Magento-Versionen! 

Wie immer sollte dieser Patch schnellstmöglich eingespielt werden um einen Hack oder den Abfluß sensibler Kundendaten zu unterbinden, auf die einzelne Auflistung der Schwachstellen verzichten wir an dieser Stelle. Die vergangenen Patches haben gezeigt das bekannte Lücken bereits wenige Stunden nach Bekanntwerden ausgenutzt werden, wir gehen davon aus das dies nicht länger als 72 Stunden dauern wird.

Mit dem folgenden Tool könnt ihr schnell prüfen ob euer Shop sicher ist bzw. welche Patches fehlen:

Wir raten jedem dazu vor Einsatz des Patches eine komplette Sicherung des Magento Shops durchzuführen um im Fall der Fälle schnell reagieren zu können!


Mega-Panne / Ausfall beim Hoster OVH

OVH Statuswebsite

Aufgrund von massiven Netzwerkproblemen des französischen Hosters OVH verzeichnen auch wir derzeit vereinzelt kleinere Probleme, dies liegt daran das viele Plugins der Shop- und CMS-System dort gehostet werden.

Ein prominentes Beispiel ist die Kundenbewertungsplattform ekomi.de – Hier funktionierte bis vor wenigen Minuten der Aufruf von api.ekomi.de nicht, zusammen mit dem fehlenden Timeout in der Shop-Extension führt dies zu einer Nichterreichbarkeit des Shops.

Solltet Ihr derzeit Probleme mit eurem Shop oder CMS haben checkt bitte zuerst das error_log, dort werden mit großer Sicherheit Timeouts aufgrund nicht erreichbarer Websites geloggt. Das Ganze sieht dann in etwa so aus:

[09-Nov-2017 10:23:37 Europe/Berlin] PHP Fatal error: SOAP-ERROR: Parsing WSDL: Couldn’t load from ‚http://api.ekomi.de/v3/disp.soapwsdl.php‘ : failed to load external entity „http://api.ekomi.de/v3/disp.soapwsdl.php“
in /home/GEKÜRZT/public_html/custom/plugins/WnsEkomi/vendor/ekomi/api-php/lib/Ekomi/Service/SOAPService.php on line 20

Da einer unserer Nameserver ebenfalls bei OVH untergebracht ist dauert die Erstellung von Alias-, AddOn- oder Subdomains ungewöhnlich lange. Lasst den Prozess einfach laufen, nach ca. 1 Minute wird dieser dennoch korrekt beendet.

Weitere Infos findet ihr im Netz unter:

heise.de
status.ovh.net