Keine sichere Webseite ohne Updates! Markus 27. April 2020

Keine sichere Webseite ohne Updates!

27. April 2020
Blog

Viele Betreiber und Inhaber von Webseiten, Onlineshops und anderen Webapps wissen zwar, dass sie ihre Webseiten aktualisieren und Updates einspielen müssen, vernachlässigen diese Arbeit allerdings viel zu häufig. Wir erläutern, warum dies sehr gefährlich sein kann und wie Sie dieses Problem möglichst einfach gestalten können. Viele Betreiber und Inhaber von Webseiten, Onlineshops und anderen Webapps wissen zwar, dass sie ihre Webseiten aktualisieren und Updates einspielen müssen, vernachlässigen diese Arbeit allerdings viel zu häufig. Wir erläutern, warum dies sehr gefährlich sein kann und wie Sie dieses Problem möglichst einfach gestalten können.

Verschiedene Updates mit verschiedenen Risiken

Damit wir näher auf die Problematik mit den Updates eingehen können, müssen wir erklären, dass es für jede Webseite verschiedene Arten von Updates gibt. Diese lassen sich auf verschiedenen Wegen einspielen und können bei Vernachlässigung andere Probleme verursachen.

Aktualisierung Ihres Systems

Sehr wahrscheinlich verwenden Sie für Ihre Webseite ein sogenanntes Content-Management-System (kurz CMS) wie WordPress oder Typo3. Führen Sie einen Onlineshop, könnte es sich unter anderem um PrestaShop, Shopware oder WooCommerce handeln. Eventuell aber verwenden Sie zumindest ein Framework wie Laravel oder Symfony. Und eben diese Systeme benötigen sehr regelmäßige Updates. Dabei werden häufig Sicherheitspakete von Funktionspaketen unterschieden. Letztere können Sie fast immer nach eigenem Bedarf aktualisieren, da diese lediglich den Umgang mit Ihrem System verbessern und somit rein dem Komfort dienen. Sicherheitsupdates hingegen sind ausgesprochen dringend, wenn auch nicht verpflichtend.

Sicherheitsupdates werden von jedem CMS oder E-Commerce-System unterschiedlich gehandhabt. Wenn Sie sich für ein System entscheiden müssen, sollten Sie dieses Kriterium mit in Betracht ziehen, da dies sehr wichtig sein kann, wenn sie nur wenig Zeit oder Fachkenntnisse haben. Denn dann sollten Sie ein CMS bevorzugen, dass die Sicherheitsupdates fast von alleine einspielt. Wir nennen Ihnen hierbei ein paar Beispiele der meistverwendeten Systeme.

WordPress

Eigentlich als Blogsystem konzipiert wird WordPress mittlerweile für einen Großteil aller Webseiten im Internet verwendet. Das macht dieses System allerdings auch besonders für Hacker und Angreifer interessant. Sie suchen systematisch nach Webseiten, die alte Sicherheitslücken aufweisen und nutzen diese dann aus. Wer aber kein großes und komplexes System benötigt, kann ruhig zu diesem greifen, denn WordPress bringt den großen Vorteil mit Updates teilweise von selbst einzuspielen. Im Zweifelsfall werden Sie aber direkt darauf hingewiesen, dass Aktualisierungen notwendig sind. Dabei bezieht WordPress sich nicht nur auf das eigene Kernsystem, sondern auch auf alle möglichen Erweiterungen bzw. Plugins und Themes, die Sie installiert haben.

Sie werden direkt beim Login auf Ihrer Seite im Dashboard darauf hingewiesen, dass Aktualisierungen vorliegen. Daher sollten Sie sich regelmäßig, möglichst täglich, einloggen und diese ausführen. Dazu genügt es sämtliche Plugins und Themes auszuwählen, im Dropdown „Update“ auszuwählen und zu bestätigen. Das System von WordPress selbst wird sogar direkt per Knopfdruck komplett aktualisiert.

Was es zu beachten gibt:

  • Machen Sie vor jedem Update ein komplettes Update von Ihrer Webseite, inklusive Datenbank.
  • Prüfen Sie, ob alle Plugins nach dem Update kompatibel zueinander sind, da die Seite sonst abstürzen kann.
  • Führen Sie erst danach alle Updates durch.
  • Auch nach einem erfolgreichen Update sollten Sie sich die gesamte Seite ansehen und prüfen, dass Sie vollständig und auf allen Endgeräten funktioniert.

WooCommerce: Da das E-Commerce-System WooCommerce eine Erweiterung für WordPress ist, können Sie dieses ebenso updaten, wie alle anderen Plugins auch.

Typo3

Als Gegenbeispiel zu WordPress verwenden viele Konzerne und mittelständische Unternehmen mit höherer Auslastung durch Redakteure oder Besuchern bevorzugt Typo3. Das System aus deutschem Hause hat sich als ausgesprochen zuverlässig und stabil erwiesen. Allerdings ist es deutlich schwieriger zu aktualisieren als WordPress. Denn hier ist der Automatismus nicht ganz so eindeutig.

Hier müssen Sie auch unterscheiden, ob es sich dabei um ein Update innerhalb eines Releases (Minor-Update) handelt oder ein sogenanntes Major-Update. Ein Minor-Update ist eines, dass nur Teile des Systems aktualisiert. Es wird also häufiger vorgenommen und ist seltener problematisch. Es aktualisiert dabei beispielsweise das System von Typo3 Version 10.0.1 auf Version 10.3.0. Ein Major-Update ist schon deutlich größer und bedarf bei Typo3 meistens eines kompletten Relaunches der Seite, da selten alle Erweiterungen kompatibel bleiben und auch das Theme angepasst werden muss. Hier würde die Version beispielsweise von 9.45.2 auf 10.0.1 steigen. Wir erläutern hier lediglich Minor-Updates, da Relaunches ein ganz eigenes Thema darstellen.

Sofern Sie Typo3 ab Version 8 führen, können Sie Minor-Updates wie folgt vornehmen: Zunächst loggen Sie sich in das Backend des Typo3-Systems ein. Dort scrollen Sie runter bis zum Reiter System. Im Bereich „Important Actions“ können Sie via „Core-Update“ prüfen lassen, ob eine aktuelle Version vorliegt. Sollte keines vorliegen, bekommen Sie eine entsprechende Meldung. Wenn aber eines gefunden wurde, wird Ihnen angeboten via „Update now“ das System zu aktualisieren. Wenn alles problemlos läuft, werden alle Einzelschritte grün dargestellt.

Gesondert davon müssen Sie die Erweiterungen aktualisieren. Dies tun Sie im Erweiterungs-Manager. Wenn Sie diesen über die Modulliste öffnen, wird Ihnen in jedem Modul angezeigt, ob ein Update vorliegt. Mit einem Klick können Sie den jeweiligen Prozess starten.

Was Sie beachten sollten:

  • Es ist dringend ratsam die Seite inklusive Datenbank zu sichern.
  • Prüfen Sie auch vorsichtshalber selbst, ob alle Erweiterungen mit der neuen Version kompatibel wären.
  • Führen Sie erst Updates für die Erweiterungen durch, dann die des Typo3-Systems und anschließend erneut für die Erweiterungen. So vermeiden Sie Konflikte und sehen frühzeitig, ob Erweiterungen nicht weiter kompatibel sind.

Prüfen Sie die Seite nach erfolgreichem Update auf Aussehen und Funktionalität auf allen Endgeräten.

Shopware

Shopware gehört mittlerweile wohl zum größten E-Commerce-System weltweit und ist wie Typo3 für Großkunden ausgelegt. Es verfügt ebenso über einen Update-Automatismus, der sich in Minor-Updates und Major-Updates unterteilt. Letztere betreffen leider häufig Kompatibilität zu Plugins und Theme, weshalb nicht selten ein Relaunch des gesamten Shops notwendig macht. Daher beschreiben wir hier lediglich die Minor-Updates.

Um geringere Versionsschritte von Shopware zu aktualisieren, dies gilt übrigens sowohl für Version 5 als auch 6, müssen Sie die jeweilige gewünschte Version von der offiziellen Webseite herunterladen. Dies benötigt etwas Hintergrundwissen, welche Version überhaupt benötigt wird, denn Sie sollten immer beachten, dass verschiedene Systemversionen auch verschiedene Voraussetzungen haben. Das heißt beispielsweise, dass eine Shopware-Version noch unter PHP 5, die nächste aber schon PHP 7 benötigten könnte. Wenn Ihr Server also eine veraltete PHP-Version anbietet, zu wenig RAM oder andere Kriterien nicht erfüllt, könnten gewisse Updates nicht vorgenommen werden. Daher sollten Sie sich informieren, welches Paket das richtige für Sie ist.

Haben Sie das richtige ZIP heruntergeladen, entpacken Sie es und laden es via FTP auf Ihren Server hoch. Legen Sie es im Shopware-Verzeichnis ab. Danach rufen Sie die Adresse https://Ihre-Shopseite.de/recovery/update/index.php auf. Sie sollten dann in den Installationsprozess geführt werden. Von hier an müssen Sie nur den Anweisungen folgen.

Was Sie beachten müssen:

  • Wie in jedem System sollten Sie immer ein Backup von Ihrer Seite ziehen, bevor Sie ein Update vornehmen.
  • Prüfen Sie, ob Ihre Plugins mit der geplanten Shopware-Version kompatibel sind.
  • Führen Sie dann das Update durch.
  • Nach erfolgreichem Updaten prüfen Sie Ihre komplette Webseite auf mögliche Fehler auf allen Endgeräten.

Server Updates

Neben Ihrem System gibt es auch die Möglichkeit, dass Sie Updates auf Ihrem Server durchführen. In diesem Zusammenhang passiert es häufig, dass Sie irgendwann einmal die PHP-Version auf Ihrem Server aktualisieren müssen. Besonders kritisch ist der Wechsel von PHP 5 auf PHP 7. Die Zwischenversion PHP 6 hat übrigens nie das Licht der Welt erblickt, wundern Sie sich also nicht. Allerdings kann auch innerhalb von PHP 7 schon ein gravierender Fehler entstehen, wenn Sie das System unbedacht updaten. Daher müssen Sie immer prüfen, ob das System nach einem Update eine höhere PHP-Version benötigt oder umgekehrt.

Ein Update der PHP-Version auf dem Server geschieht ganz abhängig davon wie Ihr Hoster dies anbietet. Wenn Sie einen eigenen Server führen, wissen Sie dies vermutlich ohnehin. Bei einem Hoster können Sie häufig einfach in der Konfiguration via Dropdown auswählen, welche Version Sie gerade benötigen. Dabei bietet allerdings nicht jeder Hoster auch jede Version an. Mittwald beispielsweise bietet grundsätzlich kein PHP 5 mehr an und bittet Kunden verständlicherweise auf das sicherere PHP 7 zu wechseln. All-Inkl hingegen bietet Kunden PHP 5 weiterhin regulär an, was viele Kunden freut, die vielleicht kein Update Ihrer Webseite vornehmen können.

Zusammenfassung

Grundsätzlich ist, wie bereits beschrieben, ein Update Ihrer Webseite unerlässlich. Nicht nur aus rechtlichen, sondern auch aus funktionellen Gründen. Denn je länger Sie mit einem Update warten, desto größer ist der Sprung auf die aktuellste Version. Viele schaffen dies dann nicht mehr und sind dann sogar zu einem Relaunch gezwungen. Wer sich diese Mehrkosten ersparen möchte und eventuell gar keine Zeit für all dies hat, weil sie bzw. er sich auf das Hauptgeschäft konzentrieren möchte, schließt mit Fachleuten einen Wartungsvertrag ab. Wir kümmern uns dann zeitnah und regelmäßig, um alle notwendigen und funktionalen Updates Ihrer Seite. So sind Sie immer auf dem neuesten Stand und können Ihre Zeit effektiver nutzen.

Wenn Sie wissen wollen, wie wir bei Ihrer Seite helfen können, rufen Sie kurz unter 0176 5577 1122 an. Wir unterstützen Sie sehr gerne bei Ihrem Vorhaben!