Categorie: Joomla

Storingen door updates WordPress 5.4 en plugins

wordpress logoWordPress heeft recent versie 5.4 uitgebracht van haar CMS-programma. Ook zijn veel plugin-makers erg actief met het uitbrengen van updates. Dit is uiteraard noodzakelijk want vaak gerelateerd aan beveiligingsupdates en/of nieuwe functionaliteiten.

Update: Inmiddels heeft WordPress in verband met onderstaande problemen een patch uitgebracht (versie 5.4.1). Dit lost de meeste problemen op echter zijn er nog wel een aantal plugins die problemen lijken te hebben.

PROBLEMEN DOOR UPDATES

Een aantal van onze cliënten ervaart echter problemen door deze updates: websites die opeens ‘vastlopen’ of crashen. Plugins die niet meer werken of, erger nog, de hele website ontoegankelijk maken. Ook was bij een aantal cliënten de website nog wel beschikbaar maar het dashboard niet te benaderen. Op de WordPress.org site lezen we dat dit probleem niet alleen bij ons voorkomt maar dat mensen wereldwijd er door worden getroffen.

Het lijkt er dus op dat ofwel in WordPress 5.4 er iets dusdanig veranderd is dat er problemen ontstaan ofwel dat bepaalde (verouderde) plugins niet meer ondersteund worden. Er is niet een éénduidige reden aan te wijzen op dit moment, we hebben het gelukkig tot nu toe ook nog maar op slechts een handjevol sites, verspreid over verschillende servers, gezien.

UPDATES UITVOEREN? MAAK EERST EEN BACKUP!

We kunnen het niet vaak genoeg herhalen: maak éérst een backup van uw website alvorens updates uit te voeren van plugins of WordPress zelf. Dit kan zelfs volledig automatisch, en gratis, via bijvoorbeeld UpDraft. Wanneer u gebruik maakt van de installatron module, die wij bij onze hosting gratis meeleveren in het DirectAdmin panel, en daarmee WordPress updates (eventueel automatisch) laat uitvoeren maakt Installatron in principe altijd éérst een backup. Let er wel op dat de backup goed wordt afgerond: als uw hosting account te weinig ruimte heeft, maak dan eerst ruimte vrij en/of upgrade naar een pakket met meer schijfruimte.

!! Let op – De backups die wij maken zijn “full account backups”, dus als wij die moeten terugzetten is de kans groot dat u “terug in de tijd” gaat: dus ook (zeer) recente email kan verdwijnen. Daarnaast: als u ons té laat van problemen op de hoogte stelt, kan het zijn dat de backup al overschreven is met de data van een inmiddels niet meer werkende site omdat onze backups incrementeel zijn. Handel bij storingen dus altijd direct en maak een support-ticket aan als u ons wilt inschakelen. Een incrementele back-up is namelijk een type backup, dat door nagenoeg alle hostingproviders maar ook door veel mensen thuis, dat alleen de wijzigingen wegschrijft naar een reeds bestaande backup. Is de wijziging een ‘niet werkende website’ dan heeft terug zetten van de backup géén zin meer.

ZORG DAT DE SOFTWARE UP TO DATE BLIJFT

Wij zien regelmatig dat WordPress, Joomla en Drupal websites door de beheerders niet of nauwelijks worden onderhouden. Dit gaat er op een dag onherroepelijk voor zorgen dat uw website het niet meer doet. De onderliggende software, zoals PHP en de MySQL/MariaDB databases worden wél up to date gehouden en verouderde WordPress-websites werken dan “opeens” niet meer. Deze updates móeten wij wel uitvoeren, als wij dat niet zouden doen zouden onze servers kwetsbaar (kunnen) zijn voor hacks. Echter, ook uw website is kwetsbaar als u géén regelmatige updates uitvoert.

HEALTH CHECK

WordPress 5.3 is voorzien van een nieuwe feature: “health check”. Deze controleert op een aantal functies en geeft soms ‘alarmerende’ waarschwuingen. Deze waarschuwingen zijn mede gerelateerd aan de nieuwe Gutenberg-editor, en een melding over cURL-problemen, die sinds versie 5.0 onderdeel uitmaakt van WordPress. Op de WordPress fora zijn daar diverse topics over geopend inmiddels.

https://wordpress.org/support/topic/site-health-status-3/
https://wordpress.org/support/topic/site-health-curl-issues/
https://wordpress.org/support/topic/your-site-could-not-complete-a-loopback-request-3/

En nog veel meer: https://wordpress.org/search/loopback+request+cURL+error+28/?forums=1

We hebben zelf geconstateerd dat de melding over cURL-problemen ‘komen en gaan’.  We hebben dit nog in onderzoek. Het lijkt geen probleem op onze servers te zijn. Eén oorzaak lijkt te zijn het gebruik van bepaalde beveiligings-plugins die soms het uitvoeren van code blokkeren.

Ook zijn er meldingen over PHP-versies en wordt u aangeraden deze te upgraden naar ‘de laatste versie’. Wij werken altijd met een courante, recente, PHP-versie. We waken er echter voor niet altijd de állerlaatste versie direct te implementeren omdat we daarin afhankelijk zijn van de beschikbaarheid er van via DirectAdmin én het implementeren van de allernieuwste versie mogelijk problemen kan leveren voor onze cliënten. Daarnaast kunt u in  DirectAdmin zelf uw voorkeur instellen. Sommige cliënten hebben nog steeds een hele oude PHP-versie ingesteld. Pas deze eventueel aan.

LIEVER GEEN OMKIJKEN NAAR?

Hebt u liever geen omkijken naar het software-onderhoude van uw website? Voor slechts €17,50/jaar (ex BTW) regelen wij de updates van WordPress en de plugins (niet voor thema’s!). Klik hier voor meer informatie over onze managed wordpress oplossing.

ONDERHOUD IS NIET INBEGREPEN BIJ HOSTING

Wilt u zelf uw website onderhouden en het niet uitbesteden aan ons, dan hebben wij daar uiteraard alle begrip voor. Er kunnen namelijk veel redenen zijn, afgezien van de (bescheiden) kosten van een managed oplossing, waarom u ons liever géén toegang tot uw website geeft (AVG, omzetcijfers, klantenbestand, enz). Dit wordt echter afgedekt door de verwerkersovereenkomst (u bent verplicht, in veel situaties, die met ons af te sluiten).

Echter, we hopen dat u in voorkomende situatie dan ook begrip hebt voor het feit dat u ook zélf verantwoordelijk bent voor het oplossen van eventuele problemen en wanneer u ons hier alsnog voor inschakelt wij hiervoor ons reguliere uurtarief in rekening zullen moeten brengen. Ook kunnen we niet altijd per direct uw probleem oplossen in dergelijke gevallen.

We weten dat dit wellicht heel vervelend kan overkomen, en we vinden het ook vervelend als we u eventueel moeten laten wachten en extra kosten moeten berekenen, maar: laten we het eens vergelijken met het onderhoud van uw CV-ketel. Als u géén onderhoudscontract afsluit voor uw CV-ketel bent u zelf verantwoordelijk. Laat u dan, bij een storing, de installateur langs komen dan moet u hem (of haar) daar ook een vergoeding voor betalen. Onderhoud van uw website is nadrukkelijk niet bij uw hosting pakket inbegrepen.

 

Werkzaamheden servers: Upgrade Database-systeem (MariaDB/MySQL)

MariaDB (MySQL) wordt op onze shared hosting servers gebruikt als database-systeem voor veel websites en andere taken op onze servers. Omdat nieuwere CMS-systemen en nieuwe versies van onder andere Joomla nieuwe versies van MariaDB/MySQL vereisen wordt op de diverse shared-hosting servers het systeem donderdagavond geupdate.

De update kan tot een korte downtime leiden. Ingeval U na de update problemen ondervindt met uw website kunt u contact met ons opnemen (klik hier).

Het is mogelijk dat zéér oude “legacy-systemen” problemen ondervinden die helaas niet meer opgelost kunnen worden. Het is raadzaam uw systeem in voorkomende gevallen te updaten. Op de voormalige parkstad-server wordt géén upgrade uitgevoerd.

UPDATE:
Werkzaamheden succsvol afgerond zonder noemenswaardige downtime. Wij hebben ca. 100 websites (random) gecontroleerd en geen problemen geconstateerd.

Joomla websites beveiligingsupdates uitgevoerd

Vandaag hebben wij voor zo’n 150 Joomla websites een beveiligingsupdate uitgevoerd. De update zorgt er voor dat onbevoegden geen toegang meer krijgen tot de inlogpagina van beheerders.

Deze aanpassing was noodzakelijk wegens een grote brute force aanval op een groot aantal websites (klik hier voor meer informatie).

Aangezien deze beveiliging op basis van whitelisting (ip-adres) is kan het noodzakelijk zijn, wanneer U zelf of een webdesignbureau het onderhoud uitvoert, dat u een aanpassing moet maken in de .htaccess file in de administrator folder.

U dient dit bestand niet te verwijderen doch slechts aan te passen met extra ip-adressen. Voeg hiervoor een extra regel toe en sla het bestand daarna op.

Bij een aantal websites zagen wij dat de betreffende beveiliging uitgeschakeld was door het bestand te hernoemen. Dit kan en mag nooit de bedoeling zijn, hiermee schakelt U immers (goede) beveiliging uit met alle gevolgen van dien!

Wij willen onze cliënten er nadrukkelijk op wijzen dat deze update door ons is uitgevoerd ter bescherming van andere cliënten hun websites en onze eigen hardware. U bent zelf verantwoordelijk voor het correct functioneren én de beveiliging van uw website ténzij U met ons hiervoor een onderhoudscontract hebt afgesloten.

Brute force aanvallen Joomla websites

Joomla is een CMS systeem dat, net als andere CMS systemen, gevoelig is voor zogeheten brute force aanvallen. Deze methode bestaat uit het botweg uitproberen van alle mogelijke inlogopties, net zo lang tot er een gevonden is die overeenkomt met de gewenste invoer. Dit wordt geautomatiseerd uitgevoerd.

Vandaag zijn de voormalige parkstad vof servers getroffen door een massale brute force op nagenoeg alle Joomla websites gehost op deze servers.

Voorafgaand aan de aanval zagen wij een plotselinge, enorme, piek in crawler-activiteiten van websites die zich voordeden als een bepaalde zoekmachine. Wij gaan er vanuit dat hier een relatie bestaat tussen deze twee.

TIJDELIJK AFGESLOTEN
Omdat de servers overbelast dreigden te raken (hoge ‘server load’) was het noodzakelijk dat we ingrepen. Wij hebben daarom als maatregel voorlopig de toegang tot alle administrator-pagina’s dichtgezet totdat ‘de storm voorbij is’. Daarna zullen we andere maatregelen introduceren om de toegang tot deze administrator pagina’s te beperken voor externen en externe systemen.

Vooralsnog is toegang tot de administrator pagina voor alle Joomla websites dus tijdelijk afgesloten.