THEMA:

Guten Abend

Eine Seite, die ich betreue, läuft bei hosttech.ch. Seit einiger Zeit muss ich jedes Mal, wenn ich mich ins Backend einlogge, für Google Captcha lustige Bildchen mit Fahrrädern anklicken, um zu beweisen, dass ich kein Roboter bin (und dazu natürlich alle gesperrten Links zu Google freigeben).
Das stört mich vor allem, weil ich dadurch gezwungen werde, Google meine Metadaten zu senden. Ich baue Seiten, die so wenig Daten wie möglich an Dritte liefern (und das wird auch von den Kunden geschätzt!).
Der Support von hostech.ch hat auf meine Anfrage mitgeteilt, dass dies ein bekanntes Problem mit Joomla 4 sei: "Dies ist leider ein bekanntes Problem seitens der Sicherheitssoftware Imunify360, die wir auf unseren Servern nutzen, und dem von Ihnen gewählten CMS Joomla nach dem Update auf 4.x."
Bei Imunify360 habe lediglich folgendes Statement gefunden: "Outdated CMS (WordPress, Joomla, etc), Imunify360 has a subset of components providing real-time virtual patching of the vulnerable software by KernelCare, HardenedPHP, WAF and the Proactive Defense modules. So outdated CMS such as WordPress and plugins are not an issue anymore", gefolgt von einem Link zu den Features der Software.

Bei allen anderen Hostern gibt es keine Probleme (die haben offensichtlich andere Lösungen gewählt).

Ist Euch dieses Verhalten bekannt?
Falls es ein wirklich Joomla 4 (bei 3 hat es jedenfalls immer geklappt) Problem ist, gibt es eine mögliche Lösung seitens Joomla (z.B. das "schuldige" Plugin deaktivieren oder so)?

Schönen Abend und
viele Grüsse
Urs

 

Ich habe keine Seiten bei Hosttech, höre aber auch von solchen Problemen, daher denke ich, du bist nicht allein. Fun Fact: Bei Hoststar ist es so, dass man kein PDF mit dem Media Manager von J4 hochladen kann. Geht nicht, kommentarlos. Mit dem Media Manager von JCE geht es aber.
Jänu, mein Rat: Hoster wechseln, wenn sie kein Einsehen haben.

Jeder Hoster kocht seine eigenen Süppchen und hat seine eigenen Vorstellungen, wie man die Webseiten der Kunden möglichst gut schützen kann. Ich kenne einen, der den FTP-Zugang standardmässig sperrt. Das heisst: man muss FTP immer im ControlPanel temporär freischalten, bevor man zu FileZilla greift. Zwei andere haben eine Application Firewall, welche manchmal überreagieren und das Speichern eines Joomla-Beitrags verweigern, sofern im Beitrag angeblich «verdächtige» Links vorkommen. Da muss man auch jedes mal im ControlPanel diese Application Firewall temporär deaktivieren, wenn man den besagten Beitrag speichern will. Unschön dabei: Du merkst erst nach dem Speichern-Versuch, dass die Application Firewall ihr Veto einlegt. Der Beitragstext ist dann aber verloren... 

Auf joomla.org habe ich noch das da gefunden: Problem with Imunify360 firewall after update to 4.2.8

Gutem Morgen

Danke für Euren Input.

@Chris: Ich habe mir ebenfalls überlegt, einen Hosterwechsel zu empfehlen. Was ich auf jeden Fall tun werde, ist bei neuen Projekte auf die Probleme mit hosttech in diesem Zusammenhang hinzuweisen (ansonsten machen sie bei mir eigentlich kaum Probleme und sind halt auch günstig).

@Christof: Interessanter Link. Dort treten die Probleme bei mehreren Hostern auf. Bei mir war es bisher nur der eine. Das erwähnte "whitelisting" hat hosttech auch veranlasst, es hat aber nur ein paar Tage gewirkt.

Viele Grüsse
Urs

Das Einbinden von Zwangs-Captchas ist datenschutzrechtlich mehr als nur bedenklich. Sofern das nicht glasklar über die Hostingverträge geregelt ist, glaube ich nicht das das rechtens ist. Bin im Schweizer Recht aber nicht firm und eine Rechtsberatung soll dies auch nicht sein, sondern nur meine persönliche Meinung. Höre von derartigem aber ehrlich gesagt auch zum erst mal.
Die Nutzung einer Application-Firewall ist da schon eher bekannt und oft Praxis. Wir nutzen das auch, abernicht mit dem Standardregeln, sondern mit angepassten Regeln, speziell für Joomla, die teilweise ja auch direkt vom Joomla-Security-Team kommen. Die typischen Standard-Regeln solcher Firewalls sind zu restriktiv und machen bei vielen Scripten Ärger.


 

Hier ein Beispiel aus der Praxis. Die Application Firewall hat zugeschlagen, weil ich eine Template-Einstellung speichern wollte. Offensichtlich eine Überreaktion!

Sali Urs

Nur kurz bezüglich
"Bei allen anderen Hostern gibt es keine Probleme (die haben offensichtlich andere Lösungen gewählt)."

Wir haben auf unseren Servern auch Imunify360 drauf und mittlerweile zig J4-Installationen. Und damit meine ich etwa gegen hundert J4-Joomlas. Und ich logge mich täglich in viele dieser Kundenseiten ein. Und sehe dabei nie ein Captcha von Imunify306. Auch nicht mit statischer IP-Adresse am Arbeitsplatz (die übrigens nicht auf der Whitelist ist, notabene ;-)

LG
Roger

Sali Roger

Vielen Dank für den Input. Das ist sehr interessant!
Ist es denkbar, dass dies mit der bestimmten Seite zusammenhängt (migriert von 2.5 über 3 zu 4) oder habt Ihr (rsp. Imunify360) bestimmte Settings, die ggf. eine schärfere Reaktion hervorrufen würden (an denen man gefahrlos schrauben könnte natürlich)?
(Ich versuche auch mal bei Imunify360 anzufragen).

Viele Grüsse
Urs