VEGAS Pro 21

Eine Komponente und ein Plugin für Joomla 1.6 und 1.7 erlaubt die Überprüfung von installierten Extensions in Joomla auf ihre Sicherheit.

Vulnerable Extensions

Vulnerable Extensions Benachrichtigung!

Ein komplexes CMS wie Joomla lebt von der Möglichkeit, eine Unmenge von Erweiterungen für nahezu jeden Zweck nutzen zu können.

Leider sind Extensions naturgemäß auch immer wieder von Sicherheitsproblemen betroffen. Securitylecks zu erkennen und die Erweiterungen immer auf dem neuesten Stand zu halten, ist ein oft schwieriges Unterfangen für den Administrator.

Um immer die aktuellen Sicherheitsinformationen zu erhalten, lohnt sich der Security-Feed von Joomla. Viel besser wäre es aber doch, wenn aktuelle Infos jederzeit im Joomla Backend ersichtlich wären. Und noch besser wäre eine Benachrichtigung per E-Mail über kritische Extensions.

Und genau diese Features wurden jetzt mit "Vulnerable Extensions List Notice" zur Verfügung gestellt. Hierbei handelt es sich um eine Komponente und ein Plugin, welche beide kostenlos erhältlich sind.

Die Installation ist sehr einfach und wird wie üblich mit dem Joomla-Installer erledigt. Nach der Installation ist im Backend unter Komponenten "Vulnerable Extensions" zu finden von wo aus auch gleich direkt auf die Benachrichtigungs-Liste oder die Ignore-Liste geklickt werden kann.

Vulnerable Extensions - Komponente

Unter dem Reiter "Extension Report" befindet sich ein verlinkter Text, welcher mit einem Klick einen Bericht erstellt. 

Vulnerable Extensions - Report erstellen

Das Erstellen des Berichtes kann etwas dauern. Hier findet jetzt ein Vergleich mit den im Security-Feed von Joomla.org gelisteten und den installierten Erweiterungen statt.

Je nach Problem werden drei unterschiedliche Meldungen bzw. Ampelfarben ausgegeben. Die rote Farbe weist auf ein gefährliches Problem mit der installierten Version hin und die Erweiterung sollte umgehend aktualisiert werden, falls das möglich ist. Ansonsten sollte eine solche Erweiterung besser deaktiviert werden.

Bei der gelben Ampel gibt es eventuell auch Probleme, welche aber nicht unbedingt so schlimm sein müssen. Hier sind es also eher Warnungen.

Schließlich gibt es noch die grüne Farbe, welche eine problembefreite Version der Erweiterung nach einem Update anzeigt.

Standardmäßig wird hier immer das Atomic-Template angezeigt. Dies ist möglicherweise eine Falschmeldung, was zeigt, wie unausgereift Vulnerable Extensions noch ist. Aber das wird sich künftig sicher noch stark verbessern und der Ansatz ist sehr gut.

Vulnerable Extensions - Ampel

Im Falle des Atomic-Templates wird darauf hingewiesen, dass Ordner mit den Rechten 777 erstellt werden. Das ist natürlich unsicher. Normalerweise sollten die Ordner die Werte 755 und Dateien 644 haben, was zb. mit vielen FTP-Programmen eingestellt werden kann. Ein Klick auf den Namen atomic, führt dann auch zur Erklärung der Warnung.

Soll also zb. das Atomic Template vom Report ausgenommen werden, kann es mit Klick auf den entsprechenden Reiter in die Ignore List eingetragen werden. Hier muss nur noch der Button "Neu" angeklickt werden.

Vulnerable Extensions - Ignore Details

Ignore ist hier schon vorausgewählt. Darunter wird dann nur noch die gewünschte zu ignorierende Erweiterung ausgewählt und schließlich die Seite mit Speichern und Schließen wieder verlassen. Nun sind alle zu ignorierenden Extensions in der Ignore List-Übersicht gelistet. Im Extension Report tauchen sie dann natürlich nicht mehr auf.

Um nun automatisch eine Benachrichtigung auch per E-Mail erhalten zu können, muss noch das vorher installierte Plugin unter Erweiterungen -> Plugins aktiviert werden. Es handelt sich um ein System-Plugin und nennt sich System - Vulnerable Extensions List Notice Plugin.

Dieses Plugin kann auf Wunsch auch noch individuell konfiguriert werden. Es kann ein eigener Feed-URL eingegeben werden, was wohl eher keinen Sinn macht.

Wichtig ist eher, wie oft man benachrichtigt werden möchte. Hier hat man die Wahl zwischen einer täglichen, wöchentlichen oder monatlichen Benachrichtigung. Allerdings wird bei jedem Erstellen eines Berichtes auch die Joomla-Seite für einen gewissen Zeitraum ausgebremst. Das dauert aber meistens nicht allzu lange.

Und natürlich muss hier auch eine gültige E-Mail-Adresse eingetragen werden, wohin die Meldung dann gesendet wird. Außerdem hat man noch die Wahl, welche Art von Meldung man erhalten möchte. Das kann alles sein, aber auch nur Meldungen mit dem Status Rot oder Gelb. Auch kann hier die Ignorierliste der Komponente genutzt werden.

Vulnerable Extensions - Plugin Optionen

Vulnerable Extensions ist eine absolut sinnvolle und mehr Sicherheit bringende Erweiterung, welche eigentlich fest in den Joomla Kern integriert gehört. Ein Muß für jeden sicherheitsbewussten Anwender und das sollten wir doch alle sein.

Hier geht es zum Vulnerable Extensions List Notice - Download.

Der Link funktioniert nicht mehr und wurde entfernt.

Auf der Downloadseite ist das Plugin und die Komponente jeweils in Version 1.5 erhältlich, welche ein Versionierungsproblem der Vorgängerversion behebt.

Speichern
Cookies Einstellungen
Wir verwenden Cookies, um Ihnen das beste Erlebnis auf unserer Webseite zu ermöglichen. Wenn Sie die Verwendung von Cookies ablehnen, funktioniert diese Website möglicherweise nicht wie erwartet.
Alle akzeptieren
Alle ablehnen
Essential
Für grundlegende Funktionalität der Website notwendig
Website
Akzeptieren
Marketing
Eine Reihe von Techniken, die die Handelsstrategie und insbesondere die Marktstudie zum Gegenstand haben.
Diverse
Akzeptieren
Ablehnen
Functional
Tools, die Ihnen beim Navigieren auf der Website mehr Funktionen bieten, dies kann soziales Teilen einschließen.
Osano
Akzeptieren
Ablehnen
Analytics
Werkzeuge zur Analyse der Daten, um die Wirksamkeit einer Webseite zu messen und zu verstehen, wie sie funktioniert.
Google Analytics
Akzeptieren
Ablehnen