Das könnte dich auch interessieren

Du hast deinen AdBlocker an?

Es wäre ein Traum, wenn du ihn für t3n.de deaktivierst. Wir zeigen dir gerne, wie das geht. Und natürlich erklären wir dir auch, warum uns das so wichtig ist. Digitales High-five, deine t3n-Redaktion

t3n 17

Tipps und Tricks für Admins: TYPO3 sicher betreiben

Die TYPO3-Sicherheitslücke, die im Februar 2009 für eine Blamage des Innenministers Schäuble und die irrtümliche Entlassung Kevin Kurányis beim FC Schalke 04 sorgte, ist schon fast vergessen. Dieser Artikel bündelt daher zahlreiche wichtige Tipps, wie man die Sicherheit der eigenen TYPO3-Installation erhöhen kann.

Die Ereignisse rund um die TYPO3-Sicherheitslücke im Februar 2009 sorgten nicht nur bei Administratoren und Webentwicklern für große Aufruhr, sondern auch viele Entscheider stellten sich die Frage nach der Verlässlichkeit von Open-Source-Systemen in puncto Sicherheit. Keine Software ist fehlerfrei, aber es reichen wenige Schritte aus, um ein hohes Maß an Sicherheit in der eigenen TYPO3-Installation zu gewährleisten.

Extensions als Schwachpunkt

In aller Regel öffnet nicht der TYPO3-Kern selbst die Sicherheitslücke, sondern die Website wird durch Fehler in einer oder mehreren TYPO3-Extensions angreifbar. Häufig sind diese Extensions nicht sicher gegenüber bekannten Eindring-Mechanismen wie Cross-Site-Scripting oder SQL-Injections. Es empfiehlt sich daher, in Ihrer TYPO3-Installation darauf zu achten, dass Sie nur die jeweils aktuellsten Versionen der verwendeten Extensions installiert haben. Darüber hinaus sollten Sie nur die so genannten „Reviewed“-Extensions aus dem TER installieren. Diese Extensions wurden vom TYPO3-Security-Team auf eventuelle Schwachstellen überprüft und genügen den Ansprüchen an Sicherheit. Der Extension-Manager führt im Bereich „Import Extensions“ normalerweise nur solche Extensions auf, die als „reviewed“ gelten. Bei vielen Entwicklern hat sich nach dem Anlegen einer neuen TYPO3-Installation aber die Routine eingeschlichen, diese Einstellung zu ändern und alle Extensions im Manager anzeigen zu lassen. Hier muss sich jeder Entwickler fragen, ob es wirklich notwendig ist, auf nicht geprüfte Erweiterungen zurückzugreifen.

Nicht mehr benötigte Extensions sollten nicht nur über den Extension-Manager deaktiviert, sondern vollständig vom Server entfernt werden, da auch inaktive Extensions über den Webserver direkt angesprochen werden und Schaden verursachen können. Über die Funktion „Backup/Delete“ in der Detailansicht einer Extension können Sie nicht mehr verwendete Erweiterungen komfortabel entfernen.

Darüber hinaus sollten Sie darauf achten, die jeweils aktuellste Version im System zu verwenden. Dazu gibt es seit TYPO3 4.2 eine nützliche Funktion im Extension-Manager. Unter „Check for Extension Updates“ zeigt er eine Liste aller Erweiterungen mit neuen Versionen an, die Sie mit wenigen Klicks aktualisieren können.

Wer noch Installationen des Zweigs 4.1 oder 4.0 pflegen muss, dem sei die Extension „ter_update_check“ [1] empfohlen. Diese stellt die Funktionalität auch in älteren TYPO3-Versionen zur Verfügung. Auch für Version 4.2 bietet die Extension ein nettes Extra für leidgeplagte Administratoren: Ein CLI-Skript kann automatisch die Extension-Liste aktualisieren und neue Versionen auf der Kommandozeile ausgeben. Im Zusammenspiel mit einem Cronjob ist dies ein starkes Werkzeug, mit dem sich auch mehrere TYPO3-Installationen auf einem Server überwachen lassen.

Seit TYPO3 4.2 informiert der Extension-Manager Admins über neue Versionen.
Seit TYPO3 4.2 informiert der Extension-Manager Admins über neue Versionen.

Links und Literatur

  1. Extension „ter_update_check“
  2. Extension „t3sec_saltedpw“
  3. Security-Bulletins
  4. Announce-Mailingliste

Finde einen Job, den du liebst zum Thema TYPO3, PHP

5 Reaktionen
t3manager
t3manager

@ No5251

Auch t3manager.com bietet inzwischen ein nützliches Dashboard um detailierte Informationen über jede TYPO3 Installation zu erhalten.

Antworten

Michael Feinbier
Michael Feinbier

@Sebastian: Natürlich könnte man den Artikel anpassen und auf die Version 4.3.0 anpassen. Aber das löst ja das 'Problem' nicht. Mittlerweile gibt es ja schon 4.3.1 die gegenüber der .0 wieder wichtige Sicherheitsupdates enthält.
Man müsste so also bei jedem Update alle Artikel durchgehen und anpassen. Schätze, die Arbeit wird sich niemand machen wollen. Die geistige Leistung eines Administrators beim Checkout die Versionsnummer mit der aktuellsten zu vertauschen sollte wohl nicht zu viel verlangt sein, oder?

@Ulf: Ja die Option im Install Tool ist durchaus eine adäquate Lösung die vermutlich auch einfacher ist als eine RewriteRegel. Wie gut oder sicher das gegenüber mod_rewrite ist, kann ich nicht sagen. Schlecht wird es sicher nicht sein ;)

Antworten

Ulf Kosack
Ulf Kosack

Zu dem Abschnitt "Schotten dicht machen". SSL ist natürlich das mittel der Wahl, aber es reicht doch auch im Install-Tool den Wert $TYPO3_CONF_VARS[BE][lockSSL] auf 1 zu setzen. Dann erfolgt die Anmeldung am BE über SSL und nach erfolgreichem Login geht es wieder mit http weiter. Wer ganz sicher gehen will, kann es ja auch auf 2 setzen. Dann ist das komplette Backend verschlüsselt.

Meines Erachtens hat das den gleichen Effekt wie die Rewrite-Regel in htaccess, nur dass das Install-Tool ein Konfigurationsoberfläche dafür bietet, oder?

Viele Grüße
Ulf

Antworten

no5251
no5251

Wer mehrere Installationen zu pflegen hat und nicht ständig alle manuell auf Risiken prüfen möchte kann auch den Dienst von http://www.typo3watchdog.com nutzen.

Viele Grüße
Marco

Antworten

Sebastian Gebhard
Sebastian Gebhard

1. Ich weiß der Artikel wurde 1:1 aus dem Magazin übernommen, aber vllt könnt ihr das SVN-Beispiel noch auf die aktuelle Version 4.2.10 oder 4.3.0 anpassen. Jemand, der das hier als aktuellen Artikel versteht, könnte denken 4.2.8 wäre die aktuelle Version und holt sich möglicherweise einen gefährdeten Core.

2. Der Tipp mit den reviewed extensions ist ja theoretisch nett, leider zeigt sich in der Praxis, dass dieses Feature seinen Nutzen verloren hat. Es werden schon seit langem keine Extensions mehr reviewed. Das bedeutet, dass viele essentielle Extensions dann nicht zur Verfügung stehen. Andersherum wurden die früher schon einmal reviewten Extensions in der Zwischenzeit meistens deutlich weiterentwickelt, wobei sich auch Sicherheitslücken eingeschlichen haben können. Leider fehlt der Association wohl die Manpower um diese Aufgabe weiter zu bewältigen. Helfen kann man übrigens indem man Mitglied wird.

Viele Grüße,
(derzeitiges Nicht-Mitglied) Sebastian

Antworten

Melde dich mit deinem t3n-Account an oder fülle die unteren Felder aus.

Abbrechen