Du hast deinen AdBlocker an?

Es wäre ein Traum, wenn du ihn für t3n.de deaktivierst. Wir zeigen dir gerne, wie das geht. Und natürlich erklären wir dir auch, warum uns das so wichtig ist. Digitales High-five, deine t3n-Redaktion

Software & Infrastruktur

10 Tipps zur Absicherung der eigenen TYPO3-Installation

Nachdem TYPO3 mit den neuesten Sicherheitslücken bei vielen Webagenturen und Administratoren für Aufruhr gesorgt hat, scheint es an der Zeit, einmal die wichtigsten Tipps zur Absicherung einer TYPO3-Installation zusammenzufassen, um für etwaige zukünftige Sicherheitsprobleme gewappnet zu sein.

1) INFORMATION
Abonniere und lies den TYPO3-Security-Bulletin-Feed oder die offizielle TYPO3-Announce-Mailingliste.

2) WENIGER IST MEHR
Installiere nach Möglichkeit nur weit verbreitete Extensions (tt_news,...).

3) LEICHT LÄUFT ES SICH BESSER
Entferne alle ungenutzten Extensions aus dem typo3conf/ext-Ordner.

4) IMMER UP-TO-DATE
Nutze die Update-Funktion im TYPO3-Extension-Manager, um veraltete Extensions zu finden und gezielt zu aktualisieren. Achtung: Nicht vergessen, vorher die Extension-Liste zu aktualisieren!

5) HOSTING-BASIS
Sorge im Vorfeld für eine sichere Hosting-Umgebung (keine unnötigen Dienste, PHP-Safemode, begrenzter SSH-Zugang,...) und wähle den richtigen Provider. Jeder bekanntere TYPO3-Spezial-Provider wie z.B. Mittwald, punkt.de oder jweiland.net wird Sicherheitslücken sofort automatisiert stopfen.

Bitte beachte unsere Community-Richtlinien

24 Reaktionen
Alex

olivier.dobberkau.dkd.de@
wie soll ich das verstehen?

Ingo Fabbri

warum? kritik auf heitere art und weise verfasst. tipp 1 finde ich gut.

Alex

Auch ich finde den Artikel sehr schlecht... zu viel Verbindung zu Hostern, ratschläge ohne begründung (warum teures ssl zertifikat für backend)

maerr

@Bernhard Berger: Wenn Sie wirklich der sind, für den Sie sich ausgeben, sollten Sie - egal was Sie von diesem "unseriösen" t3n-Artikel halten - sich folgenden "seriösen" Artikel noch einmal in aller Ruhe durchlesen TYPO3-SA-2009-002, gut darüber nachdenken und dann mit vollem Elan: UPDATEN! :)

maerr

Hallo Herr Berger,

zum Thema "Berichterstattung über Web-Security" kann man sicher geteilter Meinung sein. Ziel dieses Artikels ist es, Sicherheitstipps von TYPO3-Administratoren und -Hostern zu sammeln, um praxisnahe Ideen zum Absichern einer TYPO3-Installation zu bündeln.

Ich würde mich freuen, wenn Sie ihre Kritik etwas konstruktiver fassen, dann gehe ich gerne im Einzelnen darauf ein.

Bernhard Berger

Sorry, aber der Artikel ist Bullshit!

Security ist ein seriöses Thema und sollte von einem vermeindlich seriösen Magazin nicht zu Werbezwecken ausgeschlachtet werden. Ich empfinde das als empörend und lächerlich.

Wenn ein Provider den safe_mode braucht um sagen zu können "wir sind sicher", dann läuft da etwas schief.

Ich finde es außerdem lächerlich veralgemeinernd zu sagen "Installiert nur die neuesten Extensions, denn die sind die sichersten!" -> Bullshit.

Aber okay. Wenn man genug Geld hat, denkt man nicht mehr daran was man schreibt. Muss schon sagen - 90% der Kommentare sind niveauvoller und tragen eindeutig mehr zum Thema Sicherherheit bei als es der Artikel jemals könnte.

Leute, leute. Zuerst DENKEN, dann ÜBERLEGEN, dann Schreiben, dann nochmals denken und wenn sowas dabei rauskommt -> Strg+A, Delete. Dankeschön :(

Marcus Krause

@Klaus W.
Salted Passwords — extension t3sec_saltedpw

Macht aber derzeit nur Sinn, wenn das BE über SSL/TLS abgesichert ist.

olivier.dobberkau.dkd.de

Bin der Meinung, dass es möglich ist die Fehlversuche nach SYSLOG zu schreiben. Mit einer passenden Fail2ban Regel werden so Bruteforce attacken abgeschwächt...

Mittwald CM Service

@Horsti:

Unsere Kundschaft hat nach unseren Erfahrungen insgesamt wenig mit wechselnden Tastaturlayouts zu tun, da wir in punkto Hosting und Support eher im Massenbereich aktiv sind. Für professionelle Nutzer oder Administratoren ist der Hinweis jedoch in der Tat ungeeignet ;-)

Dieser Zielgruppe unterstelle ich jedoch mal ein gewisses Know How und einen angemessenen Umgang mit sicherheitsrelevanten Themen.

Horsti

@Mittwald CM Service:

Gute Idee mit dem Passwort bez. Shift + irgendein Datum um verlässlich leicht merkbare Sonderzeichen zu verwenden.

Leider krankt die Idee an anderen Tastaturlayouts und eine amerikanische Tastatur hat man ja ab und zu doch mal vor sich oder ein BS-Image mit anderem Layout.
Wer sich da nur das Datum gemerkt hat, ist leicht aufgeschmissen.

Eine brauchbare Idee, um zumindest Zahlen verlässlich unterzubringen sind Wörter entsprechend einer Handytastatur zu verwenden.

Clemens

@grac:

Bit 1: If set, warning_email_addr gets a mail everytime a user logs in. Bit 2: If set, a mail is sent if an ADMIN user logs in! Other bits reserved for future options.

was das wohl heisst?

einfach mal statt 0 eine 1 eingeben. sollte wunder wirken. ;)

Mittwald CM Service

Auf der Basis unserer umfangreichen Erfahrungen im Bereich TYPO3 Hosting lässt sich eindeutig feststellen, dass bereits mit einem Minimum der im Artikel genannten Vorsichtsmaßnahmen ein sehr hohes Maß an Sicherheit erreicht werden kann:

Einsatz aktueller Softwarekomponenten: CMS, PHP, MySQL

Verwendung sicherer Passwörter: Tipp! Die Eingabe eines Datums mit gedrückter Shifttaste ist leicht zu merken und sicher zugleich. Natürlich kombiniert mit üblichen Elementen wie Klein- oder Großbuchstaben.

Löschen nicht mehr benötigter Extensions im Extensionmanager: Häufig wird das Deaktivieren von Extensions fälschlicherweise als ausreichend angesehen, obwohl nachwievor ein Aufruf der unsicheren PHP Dateien über den Browser möglich ist.

Der mit diesen drei Punkten verbundene Aufwand ist gering und auch durch CMS Einsteiger umzusetzen.

Um den Rest (Updates der Serverdienste, Benachrichtigung bei neuen CMS Versionen oder Sicherheitslücken, Durchführen von Versionsupdates, Einspielen von Sicherheitsupdates) sollte sich im Normalfall der spezialisierte Hostinganbieter kümmern. Wir informieren unsere Kunden beispielsweise sofort, wenn eine neue Version raus ist oder eine Sicherheitslücke bekannt geworden ist. Der TYPO3 und Joomla! Versionsmanager macht unseren Kunden das Update dabei so einfach wie möglich. Die eingesetzte chroot Umgebung schützt darüber hinaus andere Hostingkunden, sollte es dennoch zu einem unbefugten Zugriff auf eine Webseite kommen.

Denn obwohl wir unser Bestes geben, um unsere Systeme sicher und aktuell zu halten, ist letztlich der Kunde selbst das entscheidende Glied in der Sicherheitskette.

Als Hostinganbieter möchten wir daher dem T3N für den Artikel danken: das Thema Sicherheit kann nicht genug in das Bewusstsein der Anwender gerückt werden!

Dortumund-Fan

Am genialsten finde ich den Hack auf der Schalke-Seite. Da hat jemand den Rauswurf von Dumpfbacke Kurany angekündigt und alle sind wild geworden. Hut ab - das ist mal ein Spaß....
...und der VFL macht dann die Krise perfekt.

Wer braucht schon Gelsenkirchen. Ihr kennts ja. Wir haben nichts gegen Kirchen, bis auf Gelsen...

Hahahahahahaha

DANKE Typo3, den Fehler verzeiht man gerne.....

Clemens

Weitere Tipps wären: Die Version nicht beim Backend-Login anzeigen lassen (localconf.php), ja ich weiss, security through obscurity ...) das gleich für apache version und os inkl. version (in der apache sysconfig). Das default-webrootverzeichnis des servers verdrehen.
mittels htaccess (direkt in der apache konfiguration) dateiendungen wie .log.txt .conf.txt oder .conf, .log .tmpl, .tpl verbieten.
Ganz wichtig ist: die Anwender zum Thema Sicherheit sensibilisieren. Das beste Passwort nützt nichts gegen einen lokal installierten Keylogger, oder veraltete Browser mit Sicherheitslecks!

Clemens

Ich persönlich finde, dass für Backend-Logins sogar ein selbstausgestelltes Zertifikat ausreichend ist (kostet genau 0 EUR). Schliesslich geht es doch hauptsächlich um die Verschlüsselung.
Und besser ist jedenfalls SSL mit eigenem Zertifikat als ClearText.

Julian

zu 8) Finde, für einfache Verschlüsselung reichen fürs Backend auch die "SSL 123"-Zertifikat-Varianten, die es ab 35,-/Jahr gibt. Da wird zwar nicht viel geprüft, aber es gibt ein von allen Browsern akzeptiertes Zertifikat und eine verschlüsselte Verbindung.

Wolfgang Zenker

Ergänzung zu 9): Wenn die TYPO3 Installation mit php im cgi mode und suexec läuft (also mit einem anderen user als der Webserver), dann sollte die localconf.php nur für den php-User und eben NICHT den Webserver lesbar sein.

11) Wenn man das selbst beeinflussen kann: Den von TYPO3 verwendeten Datenbank-Login nur vom Webserver aus zulassen; wenn externer DB-Zugriff gebraucht wird, dafür andere User/Kennwort Kombination verwenden und soweit möglich auf bestimmte IP(-Bereiche) beschränken.

olivier.dobberkau.dkd.de

Kunden immer über die Notwendigkeit von Updates informieren.

olivier.dobberkau.dkd.de

Backups nicht vergessen. Diese sicher auf einem anderen System lagern. Das Zurückspielen auch mal üben. Dadurch bleibt ruhig, wenn es einen doch mal erwischt haben sollte.
Dokumentation auch als Ausdruck haben.
Regelmäßig nicht benötigte TYPO3 Installationen vom Server entfernen.

Peter

Ich würde auch ehr die Announce Mailingliste als die Feeds empfehlen.

andylenz77

beim TYPO3 Security Team vorbei schauen http://typo3.org/teams/security/ und der Link dort auf das TYPO3 Security Cookbook ist auch sehr hilfreich. Michael Stucki sagt gerade noch "...abonnieren des feeds ist ok. andernfalls kann man aber auch typo3-announce als mailingliste abonnieren. wir informieren immer beides gleichzeitig, aber ich glaube, mails checkt man häufiger als newsfeeds (war z.b. diese woche von vorteil)..."

Kian Gould

Serviceverträge mit seiner TYPO3 Agentur abschließen und nur mit Agenturen arbeiten, die umfangreiches TYPO3 Know-How vorweisen können.

Es gibt keine fehlerfreie Software, das weiß jeder, aber wenn man niemand hat, der Fehler sofort stopft gibt es schnell Probleme.

Sacha Vorbeck

HTML-Inhaltselement für Redakteure verbieten,
Verzeichnis typo3/install mit .htaccess schützen...

Du musst angemeldet sein, um einen Kommentar schreiben zu können.

Jetzt anmelden

Finde einen Job, den du liebst