10 Tipps zur Absicherung der eigenen TYPO3-Installation

Martin Herr, 12.02.2009 - 12:06 | 33 Kommentare |
tweet this!
 |  Teilen

Nachdem TYPO3 mit den neuesten Sicherheitslücken bei vielen Webagenturen und Administratoren für Aufruhr gesorgt hat, scheint es an der Zeit, einmal die wichtigsten Tipps zur Absicherung einer TYPO3-Installation zusammenzufassen, um für etwaige zukünftige Sicherheitsprobleme gewappnet zu sein.

1) INFORMATION
Abonniere und lies den TYPO3-Security-Bulletin-Feed oder die offizielle TYPO3-Announce-Mailingliste.

2) WENIGER IST MEHR
Installiere nach Möglichkeit nur weit verbreitete Extensions (tt_news,...).

3) LEICHT LÄUFT ES SICH BESSER
Entferne alle ungenutzten Extensions aus dem typo3conf/ext-Ordner.

4) IMMER UP-TO-DATE
Nutze die Update-Funktion im TYPO3-Extension-Manager, um veraltete Extensions zu finden und gezielt zu aktualisieren. Achtung: Nicht vergessen, vorher die Extension-Liste zu aktualisieren!

5) HOSTING-BASIS
Sorge im Vorfeld für eine sichere Hosting-Umgebung (keine unnötigen Dienste, PHP-Safemode, begrenzter SSH-Zugang,...) und wähle den richtigen Provider. Jeder bekanntere TYPO3-Spezial-Provider wie z.B. Mittwald, punkt.de oder jweiland.net wird Sicherheitslücken sofort automatisiert stopfen.

» weiterlesen

1 2 3

Ähnliche News und Artikel

Beitrag mit anderen teilen:

  • Twitter
  • Facebook
  • FriendFeed
  • t3n Social News
  • del.icio.us
  • MisterWong.DE
  • Digg
  • Identi.ca
  • Technorati
  • RSS
  • E-mail this story to a friend!

33 Antworten zu “10 Tipps zur Absicherung der eigenen TYPO3-Installation”

  1. #1 Sacha Vorbeck schrieb am 12. Februar 2009 um 12:15

    HTML-Inhaltselement für Redakteure verbieten,
    Verzeichnis typo3/install mit .htaccess schützen...

  2. #2 Kian Gould schrieb am 12. Februar 2009 um 12:30

    Serviceverträge mit seiner TYPO3 Agentur abschließen und nur mit Agenturen arbeiten, die umfangreiches TYPO3 Know-How vorweisen können.

    Es gibt keine fehlerfreie Software, das weiß jeder, aber wenn man niemand hat, der Fehler sofort stopft gibt es schnell Probleme.

  3. #3 andylenz77 schrieb am 12. Februar 2009 um 12:39

    beim TYPO3 Security Team vorbei schauen http://typo3.org/teams/security/ und der Link dort auf das TYPO3 Security Cookbook ist auch sehr hilfreich. Michael Stucki sagt gerade noch "...abonnieren des feeds ist ok. andernfalls kann man aber auch typo3-announce als mailingliste abonnieren. wir informieren immer beides gleichzeitig, aber ich glaube, mails checkt man häufiger als newsfeeds (war z.b. diese woche von vorteil)..."

  4. #4 Peter schrieb am 12. Februar 2009 um 13:04

    Ich würde auch ehr die Announce Mailingliste als die Feeds empfehlen.

  5. #5 olivier.dobberkau.dkd.de schrieb am 12. Februar 2009 um 13:08

    Backups nicht vergessen. Diese sicher auf einem anderen System lagern. Das Zurückspielen auch mal üben. Dadurch bleibt ruhig, wenn es einen doch mal erwischt haben sollte.
    Dokumentation auch als Ausdruck haben.
    Regelmäßig nicht benötigte TYPO3 Installationen vom Server entfernen.

  6. #6 olivier.dobberkau.dkd.de schrieb am 12. Februar 2009 um 13:10

    Kunden immer über die Notwendigkeit von Updates informieren.

  7. #7 Wolfgang Zenker schrieb am 12. Februar 2009 um 13:11

    Ergänzung zu 9): Wenn die TYPO3 Installation mit php im cgi mode und suexec läuft (also mit einem anderen user als der Webserver), dann sollte die localconf.php nur für den php-User und eben NICHT den Webserver lesbar sein.

    11) Wenn man das selbst beeinflussen kann: Den von TYPO3 verwendeten Datenbank-Login nur vom Webserver aus zulassen; wenn externer DB-Zugriff gebraucht wird, dafür andere User/Kennwort Kombination verwenden und soweit möglich auf bestimmte IP(-Bereiche) beschränken.

  8. #8 Julian schrieb am 12. Februar 2009 um 14:20

    zu 8) Finde, für einfache Verschlüsselung reichen fürs Backend auch die "SSL 123"-Zertifikat-Varianten, die es ab 35,-/Jahr gibt. Da wird zwar nicht viel geprüft, aber es gibt ein von allen Browsern akzeptiertes Zertifikat und eine verschlüsselte Verbindung.

  9. #9 Clemens schrieb am 12. Februar 2009 um 14:29

    Ich persönlich finde, dass für Backend-Logins sogar ein selbstausgestelltes Zertifikat ausreichend ist (kostet genau 0 EUR). Schliesslich geht es doch hauptsächlich um die Verschlüsselung.
    Und besser ist jedenfalls SSL mit eigenem Zertifikat als ClearText.

  10. #10 Clemens schrieb am 12. Februar 2009 um 14:39

    Weitere Tipps wären: Die Version nicht beim Backend-Login anzeigen lassen (localconf.php), ja ich weiss, security through obscurity ...) das gleich für apache version und os inkl. version (in der apache sysconfig). Das default-webrootverzeichnis des servers verdrehen.
    mittels htaccess (direkt in der apache konfiguration) dateiendungen wie .log.txt .conf.txt oder .conf, .log .tmpl, .tpl verbieten.
    Ganz wichtig ist: die Anwender zum Thema Sicherheit sensibilisieren. Das beste Passwort nützt nichts gegen einen lokal installierten Keylogger, oder veraltete Browser mit Sicherheitslecks!

  11. #11 Dortumund-Fan schrieb am 12. Februar 2009 um 20:58

    Am genialsten finde ich den Hack auf der Schalke-Seite. Da hat jemand den Rauswurf von Dumpfbacke Kurany angekündigt und alle sind wild geworden. Hut ab - das ist mal ein Spaß....
    ...und der VFL macht dann die Krise perfekt.

    Wer braucht schon Gelsenkirchen. Ihr kennts ja. Wir haben nichts gegen Kirchen, bis auf Gelsen...

    Hahahahahahaha

    DANKE Typo3, den Fehler verzeiht man gerne.....

  12. #12 Mittwald CM Service schrieb am 13. Februar 2009 um 10:21

    Auf der Basis unserer umfangreichen Erfahrungen im Bereich TYPO3 Hosting lässt sich eindeutig feststellen, dass bereits mit einem Minimum der im Artikel genannten Vorsichtsmaßnahmen ein sehr hohes Maß an Sicherheit erreicht werden kann:

    Einsatz aktueller Softwarekomponenten: CMS, PHP, MySQL

    Verwendung sicherer Passwörter: Tipp! Die Eingabe eines Datums mit gedrückter Shifttaste ist leicht zu merken und sicher zugleich. Natürlich kombiniert mit üblichen Elementen wie Klein- oder Großbuchstaben.

    Löschen nicht mehr benötigter Extensions im Extensionmanager: Häufig wird das Deaktivieren von Extensions fälschlicherweise als ausreichend angesehen, obwohl nachwievor ein Aufruf der unsicheren PHP Dateien über den Browser möglich ist.

    Der mit diesen drei Punkten verbundene Aufwand ist gering und auch durch CMS Einsteiger umzusetzen.

    Um den Rest (Updates der Serverdienste, Benachrichtigung bei neuen CMS Versionen oder Sicherheitslücken, Durchführen von Versionsupdates, Einspielen von Sicherheitsupdates) sollte sich im Normalfall der spezialisierte Hostinganbieter kümmern. Wir informieren unsere Kunden beispielsweise sofort, wenn eine neue Version raus ist oder eine Sicherheitslücke bekannt geworden ist. Der TYPO3 und Joomla! Versionsmanager macht unseren Kunden das Update dabei so einfach wie möglich. Die eingesetzte chroot Umgebung schützt darüber hinaus andere Hostingkunden, sollte es dennoch zu einem unbefugten Zugriff auf eine Webseite kommen.

    Denn obwohl wir unser Bestes geben, um unsere Systeme sicher und aktuell zu halten, ist letztlich der Kunde selbst das entscheidende Glied in der Sicherheitskette.

    Als Hostinganbieter möchten wir daher dem T3N für den Artikel danken: das Thema Sicherheit kann nicht genug in das Bewusstsein der Anwender gerückt werden!

  13. #13 Clemens schrieb am 13. Februar 2009 um 10:42

    @grac:

    Bit 1: If set, warning_email_addr gets a mail everytime a user logs in. Bit 2: If set, a mail is sent if an ADMIN user logs in! Other bits reserved for future options.


    was das wohl heisst?

    einfach mal statt 0 eine 1 eingeben. sollte wunder wirken. ;)

  14. #14 Horsti schrieb am 13. Februar 2009 um 11:39

    @Mittwald CM Service:

    Gute Idee mit dem Passwort bez. Shift + irgendein Datum um verlässlich leicht merkbare Sonderzeichen zu verwenden.

    Leider krankt die Idee an anderen Tastaturlayouts und eine amerikanische Tastatur hat man ja ab und zu doch mal vor sich oder ein BS-Image mit anderem Layout.
    Wer sich da nur das Datum gemerkt hat, ist leicht aufgeschmissen.

    Eine brauchbare Idee, um zumindest Zahlen verlässlich unterzubringen sind Wörter entsprechend einer Handytastatur zu verwenden.

  15. #15 Mittwald CM Service schrieb am 13. Februar 2009 um 14:30

    @Horsti:

    Unsere Kundschaft hat nach unseren Erfahrungen insgesamt wenig mit wechselnden Tastaturlayouts zu tun, da wir in punkto Hosting und Support eher im Massenbereich aktiv sind. Für professionelle Nutzer oder Administratoren ist der Hinweis jedoch in der Tat ungeeignet ;-)

    Dieser Zielgruppe unterstelle ich jedoch mal ein gewisses Know How und einen angemessenen Umgang mit sicherheitsrelevanten Themen.

  16. #16 olivier.dobberkau.dkd.de schrieb am 13. Februar 2009 um 18:56

    Bin der Meinung, dass es möglich ist die Fehlversuche nach SYSLOG zu schreiben. Mit einer passenden Fail2ban Regel werden so Bruteforce attacken abgeschwächt...

  17. #17 Marcus Krause schrieb am 15. Februar 2009 um 10:14

    @Klaus W.
    Salted Passwords — extension t3sec_saltedpw

    Macht aber derzeit nur Sinn, wenn das BE über SSL/TLS abgesichert ist.

  18. #18 Bernhard Berger schrieb am 16. Februar 2009 um 03:08

    Sorry, aber der Artikel ist Bullshit!

    Security ist ein seriöses Thema und sollte von einem vermeindlich seriösen Magazin nicht zu Werbezwecken ausgeschlachtet werden. Ich empfinde das als empörend und lächerlich.

    Wenn ein Provider den safe_mode braucht um sagen zu können "wir sind sicher", dann läuft da etwas schief.

    Ich finde es außerdem lächerlich veralgemeinernd zu sagen "Installiert nur die neuesten Extensions, denn die sind die sichersten!" -> Bullshit.

    Aber okay. Wenn man genug Geld hat, denkt man nicht mehr daran was man schreibt. Muss schon sagen - 90% der Kommentare sind niveauvoller und tragen eindeutig mehr zum Thema Sicherherheit bei als es der Artikel jemals könnte.

    Leute, leute. Zuerst DENKEN, dann ÜBERLEGEN, dann Schreiben, dann nochmals denken und wenn sowas dabei rauskommt -> Strg+A, Delete. Dankeschön :(

  19. #19 maerr schrieb am 16. Februar 2009 um 09:22

    Hallo Herr Berger,

    zum Thema "Berichterstattung über Web-Security" kann man sicher geteilter Meinung sein. Ziel dieses Artikels ist es, Sicherheitstipps von TYPO3-Administratoren und -Hostern zu sammeln, um praxisnahe Ideen zum Absichern einer TYPO3-Installation zu bündeln.

    Ich würde mich freuen, wenn Sie ihre Kritik etwas konstruktiver fassen, dann gehe ich gerne im Einzelnen darauf ein.

  20. #20 maerr schrieb am 16. Februar 2009 um 09:40

    @Bernhard Berger: Wenn Sie wirklich der sind, für den Sie sich ausgeben, sollten Sie - egal was Sie von diesem "unseriösen" t3n-Artikel halten - sich folgenden "seriösen" Artikel noch einmal in aller Ruhe durchlesen TYPO3-SA-2009-002, gut darüber nachdenken und dann mit vollem Elan: UPDATEN! :)

  21. #21 Alex schrieb am 25. Februar 2009 um 18:32

    Auch ich finde den Artikel sehr schlecht... zu viel Verbindung zu Hostern, ratschläge ohne begründung (warum teures ssl zertifikat für backend)

  22. #22 olivier.dobberkau.dkd.de schrieb am 26. Februar 2009 um 16:41

    Wird t3n die neueste Trollburg?

  23. #23 Ingo Fabbri schrieb am 26. Februar 2009 um 16:50

    warum? kritik auf heitere art und weise verfasst. tipp 1 finde ich gut.

  24. #24 Alex schrieb am 26. Februar 2009 um 18:03

    olivier.dobberkau.dkd.de@
    wie soll ich das verstehen?

Du hast eine Ergänzung oder Frage zum Artikel? Teile sie jetzt mit!

Banner jetzt buchen »

Featured Event

re: publica, Berlin

re: publica, Berlin

14. - 16. April 2010
Social-Media- und Echtzeit-Web Konferenz

News abonnieren

Abonnieren Sie unseren Newsletter, den RSS-Feed oder folgen Sie uns auf Twitter.

RSS-FeedRSS-Feed
Twitter Twitter

Die neuesten Marktplatzeinträge »

Die neuesten Jobs »

Aktueller Artikel: 10 Tipps zur Absicherung der eigenen TYPO3-Installation