Vorheriger Artikel Nächster Artikel

TYPO3-Websites vor Hackerangriffen schützen

Aus dem
t3n Magazin Nr. 26

12/2011 - 02/2012

Die Unternehmens-Präsenz einer international operierenden Firma und die Website des Kaninchenzüchter-Vereins haben eines gemein: Sie sind Teil des World Wide Web und damit global erreichbar – für Kunden, Kaninchenliebhaber, aber auch für Hacker. Denn sie sind ein potenzielles Angriffsziel. Dabei ist es keineswegs so, dass die Unternehmens-Website eher zum Ziel wird. Umso wichtiger ist es daher, für den Fall der Fälle vorbereitet zu sein.

TYPO3-Websites vor Hackerangriffen schützen

 

tec typo3 website hack
Foto: olly/Fotolia

Im Jahr 2011 war das Thema Sicherheit im Internet medial präsenter denn je. Nicht nur in den einschlägigen Kreisen, sondern auch in den klassischen Massenmedien Radio, Fernsehen und Zeitung wurde viel darüber berichtet. Hacker-Gruppierungen wie „LulzSec“ oder „Anonymous“ haben anhand prominenter Beispiele gezeigt, dass sogar die „großen“ Firmen offensichtlich nicht genug in die Absicherung ihrer eigenen Systeme investieren. Ob nun die GEMA, Sony oder gar die CIA – Hacker sind in ihre Systeme eingedrungen und haben sich entweder geheime Informationen angeeignet oder aber die Websites lahmgelegt. Das zeigt auch, dass auf diesem Gebiet aktuell sowohl Wissensmangel als auch Handlungsbedarf besteht.

Dem Kompromittieren (Hacken) einer Website liegen unterschiedliche Motivationen zugrunde. Es können Freizeit-Spaß, Ruhm und (Hacker-)Ehre oder aber schlicht finanzielle Interessen sein. Denn dem finanziell motivierten Hacker kommt die Kaninchenzüchter-Website gerade recht, wenn er dort ohne viel Aufwand ein paar Links zu dubiosen pharmazeutischen Händlern unterbringen kann. Wer eine Internetseite betreibt, sollte deshalb grundsätzlich damit rechnen, Angriffsversuchen ausgesetzt zu sein. Dabei ist es egal, ob für die Website WordPress, Drupal, oder einfache HTML-Seiten im Einsatz sind. Im Folgenden wird generell auf die Problematik eingegangen, wobei TYPO3 an einigen Stellen als Beispiel dient.

Was ist eine sichere Internetseite?

Allgemein gesprochen gilt etwas als sicher, wenn die Integrität, Erreichbarkeit und Vertraulichkeit gewährleistet ist. Eine Website ist unsicher, wenn unerwünschte Inhalte untergebracht werden können, sie gar keine Inhalte mehr liefert oder der Zugriff auf vertrauliche Informationen möglich ist. Eine Internetseite sicher zu betreiben bedeutet also, eben dies zu verhindern. Was einfach klingt, kann aber durchaus eine komplexe und aufwändige Angelegenheit sein. Grundsätzlich gilt: Je größer der Schaden sein kann, desto mehr Aufwand muss man in die Absicherung investieren. Die CIA wird hier zwar sicher mehr Budget haben als die Kaninchenzüchter, trotzdem können beide Seiten ausreichend abgesichert werden. Handlungsbedarf besteht aber nicht nur, nachdem eine Website kompromittiert wurde, sondern schon vorher. Und dafür gibt es vier überlebenswichtige Grundregeln.

1. Updates

Es ist unerlässlich, die eingesetzte Software auf dem Server (bspw. TYPO3), aber auch den eigenen PC, der ja zur Administration der Website verwendet wird, aktuell zu halten. Dadurch werden zumindest bekannt gewordene Sicherheitslücken geschlossen. Für Software auf dem PC wird man in den meisten Fällen benachrichtigt, sobald Updates vorhanden sind. Für Benachrichtigungen über Aktualisierungen der eingesetzten Software auf Server-Seite abonniert man am besten die entsprechenden Newsletter, Mailinglisten oder RSS-Feeds. Im Falle von TYPO3 ist das etwa die Mailing-Liste [1]. Ebenfalls eine gute Anlaufstelle ist Heise Security [2], die über alle bekannt gewordenen Sicherheitsprobleme berichten.

dms 9a80cab948689274ce5cec28479cc23f
Die wichtigsten Kriterien für Sicherheit.

2. Backups

Die Nützlichkeit und Notwendigkeit, ein regelmäßiges Backup anzufertigen, liegt auf der Hand. Allein um das Sicherheits-Kriterium der Erreichbarkeit gewährleisten zu können, wenn es zu Datenverlust durch Fehlbedienung oder Fehlfunktion kommt. Ebenso unabdingbar ist die Verfügbarkeit eines Backups, wenn eine Website nach einem erfolgreichen Agriff kompromittiert und verändert wurde.

NEU: Lass dir diesen Artikel vorlesen
Ein Service von t3n, in Kooperation mit Narando.

1 3
Vorheriger Artikel Zurück zur Startseite Nächster Artikel
3 Antworten
  1. von Patrick am 22.03.2012 (12:09 Uhr)

    Schön geschriebener Artikel, war interessant zu lesen!

    Aber leider nichts neues erfahren ;)

    Antworten Teilen
  2. von brandeer am 22.03.2012 (14:40 Uhr)

    Hinweis an dieser Stelle: oft wird die Webseite auch schon Wochen / Monate vorher gehackt und mit div. versteckten PHP Shells kompromittiert um weitere Fallbacks für den Hacker zu ermöglichen. Der eigentliche Hack wird dann erst später "aufgeschaltet". So wird es umso
    schwieriger, den Zeitpunkt und die Sicherheitslücke auffindig zu machen.

    Hier hilft auch oft die Suche nach Inhalten wie "base64" oder langen Zeilen über den kompletten PHP Source Code um die Shells zu finden.

    Generell sollte nicht auf den Einsatz einer WAF wie mod_security verzichtet werden.

    übrigens - gerde gestern bemerkt: Google informiert mittlerweile auch über veraltete TYPO3 Installationen via Webmaster Tool. :o)

    Antworten Teilen
  3. von digitalfriend am 30.03.2012 (12:13 Uhr)

    Ein gut eingestellet WAF kann eine vielzahl von Angriffen abwehren, sogar dann wenn eine Sicherheitslücke vorhanden ist. https://www.infected-web.de/webapplikation-schuetzen/

    Antworten Teilen
Deine Meinung

Bitte melde dich an!

Du musst angemeldet sein, um einen Kommentar schreiben zu können.

Jetzt anmelden

Aktuelles aus dem Bereich TYPO3
TYPO3 CMS 7.0: Das bringt die neue Version
TYPO3 CMS 7.0: Das bringt die neue Version

Am 2. Dezember wurde von den TYPO3-Entwicklern mit der Version 7.0 der erste Sprint Release auf dem Weg zur Long-Time-Support-Version (kurz LTS) von TYPO3 CMS 7 veröffentlicht. Dabei lag der Fokus … » weiterlesen

Mehrsprachigkeit leicht gemacht: Das und mehr bringt TYPO3 Neos 1.2
Mehrsprachigkeit leicht gemacht: Das und mehr bringt TYPO3 Neos 1.2

Am 11. Dezember ist TYPO3 Neos 1.2 erschienen. Ein großes neues Feature ist die eingeführte Möglichkeit zur Mehrsprachigkeit. Diese und weitere Neuerungen stellen wir euch hier vor. » weiterlesen

TYPO3: 10 NEOS-Projekte im Einsatz
TYPO3: 10 NEOS-Projekte im Einsatz

TYPO3 Neos legt als jüngste Schöpfung aus dem TYPO-Universum den Fokus auf den Content-Manager und die Usability. Trotz des noch jungen Alters des CMS finden sich bereits jetzt viele mit TYPO3 … » weiterlesen

Kennst Du schon unser t3n Magazin?

t3n-Newsletter t3n-Newsletter
Top-Themen der Woche für Web-Pioniere
Jetzt kostenlos
anmelden
Diesen Hinweis verbergen