Software & Infrastruktur

Tipps und Tricks für Admins: TYPO3 sicher betreiben

Seite 3 / 3

Die Schotten dicht machen

Der beste Schutz auf Serverseite ist nutzlos, wenn das Klartextpasswort bereits auf dem Weg zum Server durch einen bösen „Man in the middle“ abgehört wird. Benutzen Sie daher die Extension nur im Zusammenhang mit einem SSL-Zertifikat!

Viele Webhoster bieten schon für wenige Euros im Monat ein Zertifikat an. Wenn Sie Ihre Seiten auf einem eigenen Root-Server betreiben, können Sie sich das SSL-Zertifikat auch selbst generieren und ausstellen. Backend-Benutzer müssen dann zwar einmalig das vermeintlich unsichere Zertifikat akzeptieren, um das Backend zu betreten, es bietet aber genauso viel Sicherheit wie ein kostenpflichtiges fremdverifiziertes SSL-Zertifikat.

Ist ein Zugang via SSL möglich, sollte man Benutzer nur noch den Zugang über das sichere Protokoll gestatten und den „normalen“ HTTP-Zugang auf die sichere Leitung umleiten. Dies geht beispielsweise über eine mod_rewrite-Regel des Apache. Dazu legen Sie eine .htaccess-Datei im Ordner „/typo3/“ mit folgendem Inhalt und Ihrem individuellen Pfad zum Backend an:

.htaccess
RewriteEngine On
RewriteBase /typo3/
RewriteCond %{SERVER_PORT} !443
RewriteRule ^(.*)$ https://www.example.com/typo3/ [R,L]

Listing 5

Nicht selten werden Sicherheitslecks erst im Zusammenspiel mit Lücken in PHP-eigenen Funktionen richtig kritisch. Stellen Sie daher sicher, dass Sie stets aktuelle Versionen von PHP, MySQL und Webserver einsetzen. Sollten Sie keinen Einfluss auf Versionen der Serversoftware haben und sollte diese stark veraltet sein, weisen Sie Ihren Provider dringend darauf hin oder ziehen Sie direkt einen Wechsel in Betracht. Wird zudem Apache als Webserver eingesetzt, gibt es einige kleinere Tricks und Kniffe, um diesen ein wenig sicherer zu machen. So können Sie beispielsweise über den Eintrag „Options-Indexes“ in der .htaccess-Datei im Wurzelverzeichnis Ihrer TYPO3-Installation das so genannte Directory-Listing deaktivieren. Dies verhindert den Zugriff auf Ordner, die keine index-Datei beinhalten und so eine Liste aller enthaltenen Dateien zeigen würden (z. B. das Verzeichnis „/fileadmin/ “). Wer direkten Zugriff auf die httpd.conf des Apache-Servers hat, kann auch mittels „ServerTokens ProductOnly“ verhindern, dass der Webserver bei jeder Anfrage im HTTP-Header oder bei Fehlerseiten die vollständige Server- und Betriebssystemversion anzeigt.

Auf der Hut sein

Ein nicht unwichtiger Faktor bei der Sicherheit von Systemen ist die Information. Sie sollten wissen, wann es eine neue TYPO3-Version gibt oder wann das TYPO3-Security-Team auf Schwachstellen in Erweiterungen hinweist. Das Team veröffentlicht dazu so genannte Security-Bulletins [3]. Um immer auf dem aktuellsten Stand zu bleiben, sollten Sie zudem die Mailingliste „TYPO3-announce“ [4] abonnieren. So bekommen Sie aktuelle Informationen zu Veröffentlichungen in den E-Mail-Postkasten. Und keine Sorge: Sie bekommen außer diesen E-Mails auch keine anderen, wie es in Diskussions-Mailinglisten der Fall ist.

Dies ist natürlich nicht das ganze Geheimnis der Sicherheit, sondern es sind lediglich einige simple Methoden, die helfen können, Ihre TYPO3-Installation ein wenig sicherer zu machen. Grundsätzlich gilt natürlich immer auch, sich selbst und die Redakteure für das Thema Sicherheit zu sensibilisieren. Zu einfach zu erratene Passwörter oder die Verwendung alter Webbrowser können zu ebenbürtigen Sicherheitsproblemen führen wie Fehler in der Software.

Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

5 Kommentare
Sebastian Gebhard

1. Ich weiß der Artikel wurde 1:1 aus dem Magazin übernommen, aber vllt könnt ihr das SVN-Beispiel noch auf die aktuelle Version 4.2.10 oder 4.3.0 anpassen. Jemand, der das hier als aktuellen Artikel versteht, könnte denken 4.2.8 wäre die aktuelle Version und holt sich möglicherweise einen gefährdeten Core.

2. Der Tipp mit den reviewed extensions ist ja theoretisch nett, leider zeigt sich in der Praxis, dass dieses Feature seinen Nutzen verloren hat. Es werden schon seit langem keine Extensions mehr reviewed. Das bedeutet, dass viele essentielle Extensions dann nicht zur Verfügung stehen. Andersherum wurden die früher schon einmal reviewten Extensions in der Zwischenzeit meistens deutlich weiterentwickelt, wobei sich auch Sicherheitslücken eingeschlichen haben können. Leider fehlt der Association wohl die Manpower um diese Aufgabe weiter zu bewältigen. Helfen kann man übrigens indem man Mitglied wird.

Viele Grüße,
(derzeitiges Nicht-Mitglied) Sebastian

Antworten
no5251
no5251

Wer mehrere Installationen zu pflegen hat und nicht ständig alle manuell auf Risiken prüfen möchte kann auch den Dienst von http://www.typo3watchdog.com nutzen.

Viele Grüße
Marco

Antworten
Ulf Kosack

Zu dem Abschnitt „Schotten dicht machen“. SSL ist natürlich das mittel der Wahl, aber es reicht doch auch im Install-Tool den Wert $TYPO3_CONF_VARS[BE][lockSSL] auf 1 zu setzen. Dann erfolgt die Anmeldung am BE über SSL und nach erfolgreichem Login geht es wieder mit http weiter. Wer ganz sicher gehen will, kann es ja auch auf 2 setzen. Dann ist das komplette Backend verschlüsselt.

Meines Erachtens hat das den gleichen Effekt wie die Rewrite-Regel in htaccess, nur dass das Install-Tool ein Konfigurationsoberfläche dafür bietet, oder?

Viele Grüße
Ulf

Antworten
Michael Feinbier

@Sebastian: Natürlich könnte man den Artikel anpassen und auf die Version 4.3.0 anpassen. Aber das löst ja das ‚Problem‘ nicht. Mittlerweile gibt es ja schon 4.3.1 die gegenüber der .0 wieder wichtige Sicherheitsupdates enthält.
Man müsste so also bei jedem Update alle Artikel durchgehen und anpassen. Schätze, die Arbeit wird sich niemand machen wollen. Die geistige Leistung eines Administrators beim Checkout die Versionsnummer mit der aktuellsten zu vertauschen sollte wohl nicht zu viel verlangt sein, oder?

@Ulf: Ja die Option im Install Tool ist durchaus eine adäquate Lösung die vermutlich auch einfacher ist als eine RewriteRegel. Wie gut oder sicher das gegenüber mod_rewrite ist, kann ich nicht sagen. Schlecht wird es sicher nicht sein ;)

Antworten
t3manager

@ No5251

Auch t3manager.com bietet inzwischen ein nützliches Dashboard um detailierte Informationen über jede TYPO3 Installation zu erhalten.

Antworten

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!

Hey du! Schön, dass du hier bist. 😊

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team bestehend aus 65 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Danke für deine Unterstützung.

Digitales High Five,
Stephan Dörner (Chefredakteur t3n.de) & das gesamte t3n-Team

Anleitung zur Deaktivierung