Drücke die Tasten ◄ ► für weitere Artikel  

TYPO3-Websites vor Hackerangriffen schützen

Aus dem
t3n Magazin Nr. 26

12/2011 - 02/2012

Die Unternehmens-Präsenz einer international operierenden Firma und die Website des Kaninchenzüchter-Vereins haben eines gemein: Sie sind Teil des World Wide Web und damit global erreichbar – für Kunden, Kaninchenliebhaber, aber auch für Hacker. Denn sie sind ein potenzielles Angriffsziel. Dabei ist es keineswegs so, dass die Unternehmens-Website eher zum Ziel wird. Umso wichtiger ist es daher, für den Fall der Fälle vorbereitet zu sein.

TYPO3-Websites vor Hackerangriffen schützen

 

tec typo3 website hack
Foto: olly/Fotolia

Im Jahr 2011 war das Thema Sicherheit im Internet medial präsenter denn je. Nicht nur in den einschlägigen Kreisen, sondern auch in den klassischen Massenmedien Radio, Fernsehen und Zeitung wurde viel darüber berichtet. Hacker-Gruppierungen wie „LulzSec“ oder „Anonymous“ haben anhand prominenter Beispiele gezeigt, dass sogar die „großen“ Firmen offensichtlich nicht genug in die Absicherung ihrer eigenen Systeme investieren. Ob nun die GEMA, Sony oder gar die CIA – Hacker sind in ihre Systeme eingedrungen und haben sich entweder geheime Informationen angeeignet oder aber die Websites lahmgelegt. Das zeigt auch, dass auf diesem Gebiet aktuell sowohl Wissensmangel als auch Handlungsbedarf besteht.

Dem Kompromittieren (Hacken) einer Website liegen unterschiedliche Motivationen zugrunde. Es können Freizeit-Spaß, Ruhm und (Hacker-)Ehre oder aber schlicht finanzielle Interessen sein. Denn dem finanziell motivierten Hacker kommt die Kaninchenzüchter-Website gerade recht, wenn er dort ohne viel Aufwand ein paar Links zu dubiosen pharmazeutischen Händlern unterbringen kann. Wer eine Internetseite betreibt, sollte deshalb grundsätzlich damit rechnen, Angriffsversuchen ausgesetzt zu sein. Dabei ist es egal, ob für die Website WordPress, Drupal, oder einfache HTML-Seiten im Einsatz sind. Im Folgenden wird generell auf die Problematik eingegangen, wobei TYPO3 an einigen Stellen als Beispiel dient.

Was ist eine sichere Internetseite?

Allgemein gesprochen gilt etwas als sicher, wenn die Integrität, Erreichbarkeit und Vertraulichkeit gewährleistet ist. Eine Website ist unsicher, wenn unerwünschte Inhalte untergebracht werden können, sie gar keine Inhalte mehr liefert oder der Zugriff auf vertrauliche Informationen möglich ist. Eine Internetseite sicher zu betreiben bedeutet also, eben dies zu verhindern. Was einfach klingt, kann aber durchaus eine komplexe und aufwändige Angelegenheit sein. Grundsätzlich gilt: Je größer der Schaden sein kann, desto mehr Aufwand muss man in die Absicherung investieren. Die CIA wird hier zwar sicher mehr Budget haben als die Kaninchenzüchter, trotzdem können beide Seiten ausreichend abgesichert werden. Handlungsbedarf besteht aber nicht nur, nachdem eine Website kompromittiert wurde, sondern schon vorher. Und dafür gibt es vier überlebenswichtige Grundregeln.

1. Updates

Es ist unerlässlich, die eingesetzte Software auf dem Server (bspw. TYPO3), aber auch den eigenen PC, der ja zur Administration der Website verwendet wird, aktuell zu halten. Dadurch werden zumindest bekannt gewordene Sicherheitslücken geschlossen. Für Software auf dem PC wird man in den meisten Fällen benachrichtigt, sobald Updates vorhanden sind. Für Benachrichtigungen über Aktualisierungen der eingesetzten Software auf Server-Seite abonniert man am besten die entsprechenden Newsletter, Mailinglisten oder RSS-Feeds. Im Falle von TYPO3 ist das etwa die Mailing-Liste [1]. Ebenfalls eine gute Anlaufstelle ist Heise Security [2], die über alle bekannt gewordenen Sicherheitsprobleme berichten.

dms 9a80cab948689274ce5cec28479cc23f
Die wichtigsten Kriterien für Sicherheit.

2. Backups

Die Nützlichkeit und Notwendigkeit, ein regelmäßiges Backup anzufertigen, liegt auf der Hand. Allein um das Sicherheits-Kriterium der Erreichbarkeit gewährleisten zu können, wenn es zu Datenverlust durch Fehlbedienung oder Fehlfunktion kommt. Ebenso unabdingbar ist die Verfügbarkeit eines Backups, wenn eine Website nach einem erfolgreichen Agriff kompromittiert und verändert wurde.

1 3
Autor:
49 Shares bis jetzt –Dankeschön!

Bewerten
VN:F [1.9.22_1171]
4 Antworten
  1. von Patrick am 22.03.2012 (12:09Uhr)

    Schön geschriebener Artikel, war interessant zu lesen!

    Aber leider nichts neues erfahren ;)

  2. von brandeer am 22.03.2012 (14:40Uhr)

    Hinweis an dieser Stelle: oft wird die Webseite auch schon Wochen / Monate vorher gehackt und mit div. versteckten PHP Shells kompromittiert um weitere Fallbacks für den Hacker zu ermöglichen. Der eigentliche Hack wird dann erst später "aufgeschaltet". So wird es umso
    schwieriger, den Zeitpunkt und die Sicherheitslücke auffindig zu machen.

    Hier hilft auch oft die Suche nach Inhalten wie "base64" oder langen Zeilen über den kompletten PHP Source Code um die Shells zu finden.

    Generell sollte nicht auf den Einsatz einer WAF wie mod_security verzichtet werden.

    übrigens - gerde gestern bemerkt: Google informiert mittlerweile auch über veraltete TYPO3 Installationen via Webmaster Tool. :o)

  3. von TYPO3 Kompakt News – last 14 days… am 27.03.2012 (15:58Uhr)

    [...] soll gemacht werden wenn die TYPO3 Webseite angegriffen wurde. T3N (function($){ var options = {"info_link":"http://heise.de/-1333879","txt_help":"Wenn Sie [...]

  4. von digitalfriend am 30.03.2012 (12:13Uhr)

    Ein gut eingestellet WAF kann eine vielzahl von Angriffen abwehren, sogar dann wenn eine Sicherheitslücke vorhanden ist. https://www.infected-web.de/webapplikation-schuetzen/

Deine Meinung

Bitte melde dich an!

Du musst angemeldet sein, um einen Kommentar schreiben zu können.

Jetzt anmelden

Aktuelles aus dem Bereich TYPO3
Wahlzettel verschickt: TYPO3-Association wählt BCC und EAB
Wahlzettel verschickt: TYPO3-Association wählt BCC und EAB

Am 18. Januar wurde an alle Mitglieder der TYPO3-Association eine E-Mail verschickt, die euch die Wahl für das Expert-Advisory-Board und das Business-Controll-Commitee, ermöglicht. Nutzt eure Chan ... » weiterlesen

TYPO3 CMS 6.2: Alle Features der neuen Version im Überblick
TYPO3 CMS 6.2: Alle Features der neuen Version im Überblick

Am gestrigen Dienstag wurde die neue Version 6.2 des beliebten Content-Management-Systems (CMS) TYPO3 veröffentlicht. Welche Änderungen und Verbesserungen es gibt, haben wir hier für euch... » weiterlesen

Inspiring Conference: Networking mit dem Who-Is-Who der TYPO3-Szene [Ticketverlosung]
Inspiring Conference: Networking mit dem Who-Is-Who der TYPO3-Szene [Ticketverlosung]

Ende März trifft sich die TYPO3-Szene zur Inspiring Conference in Kolbermoor. Besucher können sich auf Vorträge von bekannten TYPO3-Köpfen freuen. » weiterlesen

Kennst Du schon unser t3n Magazin?

t3n 35 jetzt kostenfrei probelesen! Alle Inhalte des t3n Magazins Diesen Hinweis verbergen