Einige wichtige Punkte sind angeführt, mit denen sich jeder TYPO3-Administrator beschäftigt haben sollte. Im Rahmen dieses Artikels kann aber unmöglich auf alle Einzelheiten der allgemeinen Absicherung einer TYPO3-Installation eingegangen werden. Zurzeit entsteht unter [3] ein TYPO3-Sicherheitsportal.
| Checkliste zur Konfiguration | |
| Die eingesetzte Datenbank ist nur lokal erreichbar. | |
| Für Front- und Backend werden unterschiedliche Datenbank-Benutzer verwendet. | |
| Bei der Konfiguration von PHP wurden die Einstellungen „display_errors=Off“, „log_errors = On“ und „register_globals=Off“ überprüft. | |
| Durch „open_basedir“ wurde der Verzeichniszugriff mit PHP sinnvoll limitiert. | |
| In PHP ist „safe_mode=On“ gesetzt. | |
| Eingesetzte Drittsoftware ist im safe_mode-Verzeichnis verlinkt. | |
| Die TYPO3-Konfigurationsdatei localconf.php ist aus dem Webroot entfernt und verlinkt. | |
| Die Verzeichnisrechte wurden auf das Notwendigste reduziert. | |
| Das TYPO3-InstallTool ist entfernt oder per die()-Funktion unbrauchbar gemacht. | |
| Backend-Benutzer arbeiten in den von TYPO3 verwalteten User- und Group-Verzeichnissen. | |
| User- und Group-Verzeichnisse befinden sich außerhalb des Webroots. | |
| Der Zugriff auf Backend sowie auf die geschützten Frontend-Seiten erfolgt per HTTPS. | |
Dateisicherheit – (k)ein Problem?
Ein häufig vernachlässigter Aspekt bei der Nutzung von TYPO3 ist die Absicherung von geschützten Dateien. Auf den öffentlichen Seiten dürfen von unangemeldeten Besuchern alle verlinkten Bilder und Dateien angezeigt oder heruntergeladen werden. Diese Dateien werden von TYPO3 im Dateisystem abgelegt und mit direkten Links eingebunden. Daher ist das generelle Sperren der entsprechenden Ordner per .htaccess oder die Ablage außerhalb des Webroots nicht ohne weiteres möglich.
![TYPO3: 10 Jahre in 60 Sekunden zusammengefasst [Video]](http://t3n.de/uploads/t3n-news-post-361575_typo3_medium.jpg)
