Automatische Software Installationen | Finger weg!

Ich habe in diesem Artikel kurz erwähnt, dass ich niemals die automatischen Software Installer eines Hosters nutzen würde. In der Antwort auf den (einen) Kommentar dort, bin ich noch etwas detaillierter auf meine Gründe eingegangen. In dem besagten Artikel ging es eigentlich um eine Joomla Installation bei all-inkl.com und nur am Rande um die automatische Software Installation. Ich habe dann aber aus reiner Neugier dort und auch bei anderen Hostern auf die ich Zugriff habe, testweise mal den Softwareinstaller genutzt und mir jeweils eine Joomla Website aufsetzen lassen. Die Ergebnisse trieben mir die Tränen in die Augen. Grund genug, etwas ausführlicher über das Thema zu schreiben, die Schwachstellen aufzuzeigen und auch die betroffenen Hoster zu nennen.

Unter den Begriffen 1Click, Click&Build, Software Installations Manager, Anwendungsinstallation oder Softwaremanager bieten viele Hoster ihren Kunden die Möglichkeit mit wenigen Klicks die Installation eines CMS wie z. B. Joomla, Drupal, Typo3 oder eines Blogsystemes wie z. B. WordPress im eigenen Webspace durchführen zu lassen. Zielgruppe sind eindeutig Neulinge denen es so erleichtert werden soll, die erste eigene Webpräsenz auf die Beine zu stellen.
Mit wenigen Klicks zum eigenen Blog! oder Schnell zum eigenen Shop! sind halt sehr werbewirksame Slogans.

Gerade für Anfänger ist so etwas völlig ungeeignet!

Ich stelle jetzt einfach mal die Behauptung auf, dass niemand, der über fortgeschrittene Kenntnisse im Bereich Server oder Hosting verfügt, so einen Softwareinstaller nutzen wird. Es dauert einfach viel zu lange hinterher wieder aufzuräumen, das lohnt sich nicht. Außerdem ist eine manuelle Installation auch innerhalb von maximal 5 Minuten erledigt. Die Zielgruppe ist also klar. Und da wird es problematisch. Gerade als Einsteiger, egal in welchem Bereich, sollte ich mir nämlich Grundkenntnisse der Materie, mit der ich mich beschäftige, aneignen. Das schützt mich in gewissem Rahmen davor, übervorteilt zu werden und ich bin in der Lage grundlegende Pflege- und Wartungsarbeiten alleine durchzuführen. Falls ich mir dann einmal externe Hilfe einholen muss, und dieser Zeitpunkt wird kommen, kann ich wenigstens gewisse Grundkenntnisse und Informationen zur Problembehebung beisteuern.

Automatiken sind etwas für Fortgeschrittene

Mit der automatischen Softwareinstallation nehme ich mir die Möglichkeit, wenigstens einmal die grundlegenden Schritte eines Setups von z. B. Joomla oder WordPress - und es ist wirklich nicht kompliziert - durchzugehen. Diese manuell durchgeführte Installation wäre zu dem, selbst wenn immer nur den Standardvorgaben gefolgt würde, um Längen besser abgesichert und mit sinnvolleren Vorgaben versehen, als die beste automatische Installation. Ich habe es ausprobiert.

Häufig veraltet und nie richtig sicher

Ganz grob gesagt, geht es immer wieder um 2 Aspekte: Es werden veraltete Softwareversionen mit entsprechenden Sicherheitslücken zur Installation angeboten und es werden mehr oder weniger unsinnige und sicherheitskritische Voreinstellungen gewählt, die im schlimmsten Fall nicht nur den eigenen Webspace sondern auch den der anderen Kunden auf demselben Server gefährden können.

1. Problem: Sicherheitslücken durch veraltete Installationspakete

Bei vielen Skripten ist der Hauptgrund für ein Update das Entdecken einer oder mehrerer Sicherheitslücke(n). Wenn ich jetzt eine Version verwende, die schon 2 oder 3 Updatezyklen zurückliegt, ist es so gut wie sicher, dass die enthaltenen Sicherheitslücken spätestens jetzt, (Monate nach dem Erscheinen) garantiert im großen Stile aktiv ausgenutzt werden.

Nun sind mittlerweile Joomla (alle halbwegs aktuellen Versionen) und WordPress (ab Version 3.7 sogar automatisch im Hintergrund) in der Lage ein Update über das jeweilige Backend mit 2 oder 3 Klicks durchzuführen. Die Praxis zeigt aber, dass es keine Selbstverständlichkeit ist, direkt nach erfolgter Erstinstallation den Updateprozess anzustoßen. Wer mir das nicht glaubt, schaue bitte in den entsprechenden Supportforen nach. Ein Großteil der Anfragen bezieht sich leider immer noch auf (teilweise stark) veraltete Versionen.

Die Gründe für das nicht-updaten sind vielfältig, einige höre und lese ich immer wieder: Das Update hat nicht funktioniert, ich habe erst mal so weitergemacht. Ich wollte doch nur mal schnell etwas ausprobieren. Wenn mir das hier angeboten wird, wird das schon in Ordnung sein. Ich hatte Angst, dass durch das Update etwas kaputt geht.

Selbst wenn man unmittelbar nach der Installation auf die aktuelle Version seiner Software aktualisiert, bleibt der nächste Kritikpunkt leider immer noch unberücksichtigt.

2. Problem: Sicherheitslücken durch unsinnige und gefährliche Vorgabewerte

Jeder Hoster kocht sein eigenes Süppchen wenn es darum geht so eine automatische Installation möglichst reibungslos auf der technischen Seite und möglichst benutzerfreundlich auf der Kundenseite durchzuführen. Es werden intern bestimmte Installationsskripten erstellt, die dann im Laufe der Installation auch Werte wie z. B. den Benutzernamen, das Passwort und die Zugangsdaten für die Datenbankanbindung erzeugen und an den entsprechenden Stellen eintragen. Alles, damit möglichst wenig Rückfragen nötig sind. Diese automatisch erzeugten Daten genügen häufig den heutigen Ansprüchen an Sicherheit in keinster Weise mehr. Da wird im Jahre 2013 immer noch "admin" als Benutzername vorgewählt.  Dieser Name ist der erste, der bei einem automatisierten Angriff auf eine Webseite ausprobiert wird.  Der erste Benutzer, der angelegt wird ist nun auch der mit den meisten Rechten und der größten Befugnis, gerade da sollte man sich besondere Mühe geben. Auch reichen Passworte, die nur aus 5 Kleinbuchstaben und Zahlen bestehen heute in keinster Weise mehr aus. Eine gängige Praxis ist es auch, Passworte mehrfach zu vergeben, z. B. für den Login und die Datenbank. Selbst wenn ich dann darauf hingewiesen werde, mein Login Passwort regelmäßig zu ändern, bleibt in den Zugangsdaten der Datenbank ein unsicheres Passwort bestehen. Der entsprechende Benutzer weiß sogar häufig gar nichts davon. Er war ja bei der Installation nicht dabei.

Zu der Problematik der gefährlichen Vorgabewerte kommt noch die Tatsache, dass einige Hoster, wohl um diese automatisierten Installationen überhaupt erst möglich zu machen, sehr leichtsinnige Datei- und Ordnerzugriffsberechtigungen auf ihren Servern erteilen. Das macht es einem Angreifer sehr einfach, Schadcode an vielen Stellen im Dateisystem zu verteilen an die er sonst nie herangekommen wäre. Eventuell ist sogar der Zugriff von einem Kundenaccount auf einen anderen möglich, so kann ein ganzer Server "übernommen" werden.

Fazit:

Eine aus Marketinggründen angebotene Komfort Option - es soll heutzutage jeder in der Lage sein, schnell alles mögliche im WWW ans Laufen zu kriegen, egal ob er weiß was er da tut oder nicht, Hauptsache es geht schneller und einfacher als bei der Konkurrenz - wird aus ökonomischen Gründen - es ist sehr aufwendig und damit teuer, diese automatischen Installationen immer auf dem neuesten Stand zu halten und deshalb machen wir es einfach nicht - zu einem erheblichen Unsicherheitsfaktor. Da es grundsätzlich von Vorteil ist, Dinge auch zu verstehen und sie nicht nur zu tun, sollte man die automatischen Software Installationen, die viele Hoster anbieten, nicht benutzen. Eine manuelle Installation ist auch für einen Anfänger eine Sachen von wenigen Minuten. Eine Suche bei den gängigen Suchmaschinen, auch über youtube oder vimeo fördert viele Anleitungen zu Tage. Man sollte auch immer die Dokumentationen auf den Downloadseiten der entsprechenden Entwickler lesen. Dort werden sich sehr viele Fragen schnell beantworten lassen. Wer Pros und Contras oder besondere Erfahrungen zum Thema automatische Softwareinstallation beisteuern möchte, ist herzlich eingeladen das zu tun.