Vorheriger Artikel Nächster Artikel

Tipps und Tricks für Admins: TYPO3 sicher betreiben

Aus dem
t3n Magazin Nr. 17

09/2009 - 11/2009

Die TYPO3-Sicherheitslücke, die im Februar 2009 für eine Blamage des Innenministers Schäuble und die irrtümliche Entlassung Kevin Kurányis beim FC Schalke 04 sorgte, ist schon fast vergessen. Dieser Artikel bündelt daher zahlreiche wichtige Tipps, wie man die Sicherheit der eigenen TYPO3-Installation erhöhen kann.

Die Ereignisse rund um die TYPO3-Sicherheitslücke im Februar 2009 sorgten nicht nur bei Administratoren und Webentwicklern für große Aufruhr, sondern auch viele Entscheider stellten sich die Frage nach der Verlässlichkeit von Open-Source-Systemen in puncto Sicherheit. Keine Software ist fehlerfrei, aber es reichen wenige Schritte aus, um ein hohes Maß an Sicherheit in der eigenen TYPO3-Installation zu gewährleisten.

Extensions als Schwachpunkt

In aller Regel öffnet nicht der TYPO3-Kern selbst die Sicherheitslücke, sondern die Website wird durch Fehler in einer oder mehreren TYPO3-Extensions angreifbar. Häufig sind diese Extensions nicht sicher gegenüber bekannten Eindring-Mechanismen wie Cross-Site-Scripting oder SQL-Injections. Es empfiehlt sich daher, in Ihrer TYPO3-Installation darauf zu achten, dass Sie nur die jeweils aktuellsten Versionen der verwendeten Extensions installiert haben. Darüber hinaus sollten Sie nur die so genannten „Reviewed“-Extensions aus dem TER installieren. Diese Extensions wurden vom TYPO3-Security-Team auf eventuelle Schwachstellen überprüft und genügen den Ansprüchen an Sicherheit. Der Extension-Manager führt im Bereich „Import Extensions“ normalerweise nur solche Extensions auf, die als „reviewed“ gelten. Bei vielen Entwicklern hat sich nach dem Anlegen einer neuen TYPO3-Installation aber die Routine eingeschlichen, diese Einstellung zu ändern und alle Extensions im Manager anzeigen zu lassen. Hier muss sich jeder Entwickler fragen, ob es wirklich notwendig ist, auf nicht geprüfte Erweiterungen zurückzugreifen.

Nicht mehr benötigte Extensions sollten nicht nur über den Extension-Manager deaktiviert, sondern vollständig vom Server entfernt werden, da auch inaktive Extensions über den Webserver direkt angesprochen werden und Schaden verursachen können. Über die Funktion „Backup/Delete“ in der Detailansicht einer Extension können Sie nicht mehr verwendete Erweiterungen komfortabel entfernen.

Darüber hinaus sollten Sie darauf achten, die jeweils aktuellste Version im System zu verwenden. Dazu gibt es seit TYPO3 4.2 eine nützliche Funktion im Extension-Manager. Unter „Check for Extension Updates“ zeigt er eine Liste aller Erweiterungen mit neuen Versionen an, die Sie mit wenigen Klicks aktualisieren können.

Wer noch Installationen des Zweigs 4.1 oder 4.0 pflegen muss, dem sei die Extension „ter_update_check“ [1] empfohlen. Diese stellt die Funktionalität auch in älteren TYPO3-Versionen zur Verfügung. Auch für Version 4.2 bietet die Extension ein nettes Extra für leidgeplagte Administratoren: Ein CLI-Skript kann automatisch die Extension-Liste aktualisieren und neue Versionen auf der Kommandozeile ausgeben. Im Zusammenspiel mit einem Cronjob ist dies ein starkes Werkzeug, mit dem sich auch mehrere TYPO3-Installationen auf einem Server überwachen lassen.

Seit TYPO3 4.2 informiert der Extension-Manager Admins über neue Versionen.
Seit TYPO3 4.2 informiert der Extension-Manager Admins über neue Versionen.

Newsletter

Bleibe immer up-to-date. Sichere dir deinen Wissensvorsprung!

Vorheriger Artikel Zurück zur Startseite Nächster Artikel
5 Antworten
  1. von Sebastian Gebhard am 12.01.2010 (09:10 Uhr)

    1. Ich weiß der Artikel wurde 1:1 aus dem Magazin übernommen, aber vllt könnt ihr das SVN-Beispiel noch auf die aktuelle Version 4.2.10 oder 4.3.0 anpassen. Jemand, der das hier als aktuellen Artikel versteht, könnte denken 4.2.8 wäre die aktuelle Version und holt sich möglicherweise einen gefährdeten Core.

    2. Der Tipp mit den reviewed extensions ist ja theoretisch nett, leider zeigt sich in der Praxis, dass dieses Feature seinen Nutzen verloren hat. Es werden schon seit langem keine Extensions mehr reviewed. Das bedeutet, dass viele essentielle Extensions dann nicht zur Verfügung stehen. Andersherum wurden die früher schon einmal reviewten Extensions in der Zwischenzeit meistens deutlich weiterentwickelt, wobei sich auch Sicherheitslücken eingeschlichen haben können. Leider fehlt der Association wohl die Manpower um diese Aufgabe weiter zu bewältigen. Helfen kann man übrigens indem man Mitglied wird.

    Viele Grüße,
    (derzeitiges Nicht-Mitglied) Sebastian

    Antworten Teilen
  2. von No5251 am 12.01.2010 (10:34 Uhr)

    Wer mehrere Installationen zu pflegen hat und nicht ständig alle manuell auf Risiken prüfen möchte kann auch den Dienst von http://www.typo3watchdog.com nutzen.


    Viele Grüße
    Marco

    Antworten Teilen
  3. von Ulf Kosack am 02.02.2010 (18:07 Uhr)

    Zu dem Abschnitt "Schotten dicht machen". SSL ist natürlich das mittel der Wahl, aber es reicht doch auch im Install-Tool den Wert $TYPO3_CONF_VARS[BE][lockSSL] auf 1 zu setzen. Dann erfolgt die Anmeldung am BE über SSL und nach erfolgreichem Login geht es wieder mit http weiter. Wer ganz sicher gehen will, kann es ja auch auf 2 setzen. Dann ist das komplette Backend verschlüsselt.

    Meines Erachtens hat das den gleichen Effekt wie die Rewrite-Regel in htaccess, nur dass das Install-Tool ein Konfigurationsoberfläche dafür bietet, oder?

    Viele Grüße
    Ulf

    Antworten Teilen
  4. von Michael Feinbier am 03.02.2010 (10:28 Uhr)

    @Sebastian: Natürlich könnte man den Artikel anpassen und auf die Version 4.3.0 anpassen. Aber das löst ja das 'Problem' nicht. Mittlerweile gibt es ja schon 4.3.1 die gegenüber der .0 wieder wichtige Sicherheitsupdates enthält.
    Man müsste so also bei jedem Update alle Artikel durchgehen und anpassen. Schätze, die Arbeit wird sich niemand machen wollen. Die geistige Leistung eines Administrators beim Checkout die Versionsnummer mit der aktuellsten zu vertauschen sollte wohl nicht zu viel verlangt sein, oder?

    @Ulf: Ja die Option im Install Tool ist durchaus eine adäquate Lösung die vermutlich auch einfacher ist als eine RewriteRegel. Wie gut oder sicher das gegenüber mod_rewrite ist, kann ich nicht sagen. Schlecht wird es sicher nicht sein ;)

    Antworten Teilen
  5. von t3manager am 19.03.2011 (20:55 Uhr)

    @ No5251

    Auch t3manager.com bietet inzwischen ein nützliches Dashboard um detailierte Informationen über jede TYPO3 Installation zu erhalten.

    Antworten Teilen
Deine Meinung

Bitte melde dich an!

Du musst angemeldet sein, um einen Kommentar schreiben zu können.

Jetzt anmelden

Alle Hefte Jetzt abonnieren – für nur 35 €

Kennst Du schon unser t3n Magazin?