500 Internal- Server Error bei Avada und Strato Hosting

500 Internal- Server Error bei Avada und Strato Hosting

Fehlermeldung im Zusammenhang mit dem Theme Avada V 6.2.3. und 7.0.1 bei Strato gehosteten Websites

Dieser Hinweis betraf bei uns die Avada Theme Versionen 6.2.3 und 7.0.1 gleichermaßen. Um es kurz zu machen, lag die notwendige Änderung bei der PHP-Konfiguration, allerdings nicht wie erwartet in der PHP-Version, sondern im Strato-eigenen “PHP-Boost”-Feature.

Wer als Websitebetreiber das Avada-Template mit den oben genannten Versionen 6.2.3. und 7.0.1 nutzt und die Website bei Strato hostet, erhält unter Umständen einen Internal Server Error beim Erstellen oder Ändern von Beiträgen. In unserem Fall konnten die Seiteninhalte normal bearbeitet werden.

internal-servererror-avada-strato

Nach Prüfung der standardmäßigen Fehlerquellen wie das Prüfen von memory limit, PHP Post Max Size, aktueller PHP Version hier PHP 7.3. und dem anschließenden Deaktivieren von Plugins und Theme – alles step by step – lag die Lösung dann bei Strato im sogenannten PHP-Booster-Feature.

Wer die Website bei Strato gehostet hat, sollte in den PHP-Einstellungen prüfen, ob das sogenannte PHP-Boost-Feature aktiviert ist. Bei uns half allein das Deaktivieren des PHP-Boost Feature, andere Nutzer mussten anscheinend dazwischen noch die PHP-Versionen von 7.3. auf 7.2. ändern, und dann wieder aktivieren.  Gut zu wissen!

 

strato-php-boost

 

 

WordPress Theme Update – Avada 7.0

WordPress Theme Update – Avada 7.0

Am 21. Juli 2020 hat ThemeFusion die Version 7.0 ihres Premium-Themes Avada veröffentlicht. Dieses Update bringt eine große Anzahl von Neuerungen mit. Im folgenden Artikel zeigen wir Ihnen kurz die wichtigsten Veränderungen.

Wir raten diesmal ganz besonders dringend dazu, vor dem Update ein vollständiges Backup aller Daten inklusive der Datenbank von WordPress zu machen, da es sich um ein Major-Update handelt.

Neues Dashboard

Sofort nach dem Update fällt auf, dass das Avada-Dashboard einen moderneren Look bekommen hat. Die Avada-Plugins sind gleich auf der Startseite zu sehen, statt wie früher hinter dem Reiter “Plugins” versteckt zu sein. Die beiden Hauptbestandteile von Avada, Fusion Core und Fusion Builder wurden in Avada Core und Avada Builder umbenannt.

Neuer Header-Builder

Der Headerbereich kann mit dem neuen Header-Builder vollkommen flexibel gestaltet werden. Dazu benutzt man jetzt Layouts, in denen man dann wiederum entweder vorgefertigte Headerbereiche benutzen oder eigene Headerbereiche einfügen kann. Layouts funktionieren dann global oder auch individuell für einzelne Seiten, Beiträge usw. Die Gestaltung des eigenen Headerbereichs erfolgt mit dem gewohnten Builder von Avada. ThemeFusion liefert hier auch 16 Header mit, die man im Builder nach eigenen Vorstellungen weiterbearbeiten kann.

Flexibleres Layout

Neu in Avada 7.0 wird nun auch die CSS flexbox benutzt. Dadurch wird eine erheblich verbesserte Flexibilität für Layouts auf den unterschiedlichen Displaygrössen erreicht. War man bisher bei den Spalten festgelegt auf Layout-Raster von 1-6 Spalten, so können jetzt Spaltenbreiten mit Prozentangaben frei angegeben werden. Die Reihenfolge, Ausrichtung, und Ausrichtung der Inhalte von Spalten kann nun ganz individuell für unterschiedliche Displays gesteuert werden. Diese Verbesserung im responsiven Design gilt für alle Layout-Container. Neu hinzugekommen ist auch ein feststehender (“sticky”) Container.

Andere Verbesserungen

Im Avada Builder gibt es ein neues Element “Menu”. Damit ist es möglich, ein Menü frei auf den Seiten zu positionieren.

Auf der Website von Avada finden Sie eine detaillierte Liste mit allen Neuerungen und Verbesserungen.

Großangriff auf Datenbank-Zugangsdaten

Großangriff auf Datenbank-Zugangsdaten

Großangriff auf Datenbank-Zugangsdaten

Wie Wordfence, der amerikanische Anbieter von Sicherheitslösungen für WordPress in einem Beitrag vom 3. Juni 2020 berichtet, konnten in der Zeit vom 29. bis 31. Mai 2020 ein Großangriff auf Datenbank-Zugangsdaten von WordPress Websites durch die Wordfence Firewall blockiert und abgewehrt werden. Ziel des Angriffs war es, Anmeldedaten von 1,3 Millionen WordPress Datenbanken zu stehlen. Die Angreifer versuchten bekannte Schwachstellen von WordPress Plugins und Themes auszunutzen, um die Konfigurationsdateien der angegriffenen Websites herunterzuladen.

WordPress Plugin- und Themes-Schwachstellen als Angriffsziel

Laut Wordfence hatte die Angriffswelle am 30. Mai ihren Höhepunkt. An diesem Tag erfolgten rund 75 % der insgesamt 130 Millionen Angriffe. Wo die Angriffe gestartet wurden, ist bekannt.. Wordfence beobachtet die Aktivitäten dieser Gruppe bereits seit längerem und konnte sie mit einem ebenfalls umfangreichen Angriff auf XSS-Schwachstellen in Verbindung bringen. Möglich war dies, da die Akteure für beide Angriffe die gleichen IP-Adressen benutzen. Rund 20.000 verschiedene IP-Adresen, von denen die Angriffe ausgingen, hat Wordfence registriert.

Eine weitere Gemeinsamkeit war bei beiden Angriffen der Versuch, Sicherheitslücken in veralteten WordPress Themes und Plugins zu nutzen, die den Export oder das Herunterladen der wp-config-Datei ermöglichen. Die wp-config Datei ist ein zentraler Teil aller WordPress Installationen und enthält die Datenbank-Details sowie verschiedene Authentifizierungsschlüssel. Angreifer, die Zugriff auf diese Datei erlangen, könnten sich relativ einfach Zugang zu Datenbanken verschaffen. Diese sensiblen Daten könnten einen Zugriff begünstigen und damit erheblichen Schaden anrichten.

Wie können Sie Ihre WordPress Seite schützen?

Die Wordfence Angabe zur Zahl der angegriffenen Websites beinhaltet nur die von einer Wordfence Firewall geschützten Websites. Die Dunkelziffer der vom Großangriff auf Datenbank-Zugangsdaten betroffenen Sites ist wahrscheinlich noch weitaus höher. Wenn Sie glauben oder befürchten, dass Ihre Website kompromittiert wurde, sollten Sie zunächst das Datenbank-Passwort und die eindeutigen Authentifizierungsschlüssel ändern. Den Beitrag von Wordfence finden Sie hier: Large Scale Attack Campaign Targets Database Credentials

Der von Wordfence geschilderte Angriff auf veraltete Plugins und Themes von WordPress Website zeigt, wie wichtig es ist, die Website regelmäßig zu pflegen und, sobald verfügbar, Updates für Themes und Plugins durchzuführen. Wir sind hier gerne behilflich und kümmern uns um Ihre Website. Tools wie Wordfence oder Ninja Firewall für WordPress sind ebenfalls eine überaus sinnvolle Maßnahme, um die eigene Website und sensible Daten zu schützen.

Wenn Sie Fragen zum Schutz Ihrer WordPress Website haben oder sich ausführlich über die Möglichkeiten, wie Sie Ihre Website vor Angriffen und Datendiebstahl schützen können, beraten lassen wollen, zögern Sie bitte nicht uns anzurufen oder eine E-Mail zu schicken. Wir beraten Sie gerne und helfen Ihnen dabei, Ihre WordPress Site zu schützen.

Das WordPress 5.4.2 Update ist da

Das WordPress 5.4.2 Update ist da

Am 11. Juni erschien mit dem WordPress 5.4.2 Update ein Sicherheits- und Wartungsupdate des beliebten Content Management Systems, mit dem das WordPress-Team einige alte Schwachstellen ausgeräumt hat. Das Update wird allen Usern empfohlen, ebenso die in dem Paket erschienen Sicherheitspatches für die Versionen 3.7 und aufwärts.

Das WordPress 5.4.2 Update Sicherheitslücken geschlossen

Mit dem Update 5.4.2 wurde gleich eine ganze Reihe kleinerer Sicherheitslücken geschlossen. Hierzu zählen etwa das unbefugte Anzeigen von Kommentaren in passwortgeschützten Beiträgen und Seiten, die Möglichkeit von Plug-Ins, sich zusätzliche Berechtigungen durch die set-screen-option zu geben, ein offenes Weiterleitungsproblem, das unberechtigte Hinzufügen von JavaScript zu den Mediendateien durch den Exploit und das Hinzufügen von JavaScript in den Block-Editor durch nicht berechtigte User (beide bedingt durch eine XSS-Schwachstelle). Alle Sicherheitslücken wurden von der Community gemeldet und konnten so mit dem Update recht einfach bereinigt werden.

Mit dem Update erscheint auch ein neues Wartungsupdate für User der Versionen 5.1, 5.2 und 5.3 – das WordPress 5.4.2 Sicherheitsupdate erschien außerplanmäßig, die nächste Hauptversion wird mit 5.5 erscheinen. Das Update kann über das Dashboard – “Aktualisierungen” -> Jetzt aktualisieren händisch durchgeführt werden; unterstützt Ihre Website automatische Updates, müssen Sie hingegen nichts weiter tun.

Mit der aktuellen Version sicher und funktional bleiben

Sicherheitslücken sollten nach Möglichkeit schnellstmöglichst behoben werden, daher ist die Durchführung der Updates anzuraten. Sicherheit im Netz ist stets ein Wettrüsten zwischen Entwicklern und Hackern, auch mit dem Wechsel der technischen Standards werden plötzlich neue Lücken offenbar. Wichtig ist, dass Sie Ihre Website stets aktuell halten und Updates nicht scheuen. Nur dadurch können Sicherheit und Funktionalität Ihrer Seite gewährt werden.

Sollten Sie sich unsicher sein, was sich für Sie und Ihre Website ändert, dann treten Sie mit uns in Kontakt. Gerne beraten wir Sie unter und helfen Ihnen beim Update und der Betreuung Ihrer WordPress-Seite oder Ihres WordPress-Shops, nehmen Sie Kontakt auf. Wir helfen Ihnen gerne dabei, Ihre Website stets auf dem neuesten Stand zu halten und stehen bei manuellen und automatischen Updates an Ihrer Seite. So bleibt Ihre Seite nicht nur sicher, sondern auch für Ihre Kunden stets erreichbar.