Anzeige
Anzeige
Software & Entwicklung
Artikel merken

10 Tipps zur Absicherung der eigenen TYPO3-Installation

Nachdem TYPO3 mit den neuesten Sicherheitslücken bei vielen Webagenturen und Administratoren für Aufruhr gesorgt hat, scheint es an der Zeit, einmal die wichtigsten Tipps zur Absicherung einer TYPO3-Installation zusammenzufassen, um für etwaige zukünftige Sicherheitsprobleme gewappnet zu sein.

Von Martin Brüggemann
2 Min. Lesezeit
Anzeige
Anzeige


1) INFORMATION
Abonniere und lies den
TYPO3-Security-Bulletin-Feed oder die offizielle TYPO3-Announce-Mailingliste.

2) WENIGER IST MEHR
Installiere nach Möglichkeit nur weit verbreitete Extensions (tt_news,…).

Anzeige
Anzeige

3) LEICHT LÄUFT ES SICH BESSER
Entferne alle ungenutzten Extensions aus dem typo3conf/ext-Ordner.

4) IMMER UP-TO-DATE
Nutze die Update-Funktion im TYPO3-Extension-Manager, um veraltete Extensions zu finden und gezielt zu aktualisieren. Achtung: Nicht vergessen, vorher die Extension-Liste zu aktualisieren!

Anzeige
Anzeige

5) HOSTING-BASIS
Sorge im Vorfeld für eine sichere Hosting-Umgebung (keine unnötigen Dienste, PHP-Safemode, begrenzter SSH-Zugang,…) und wähle den richtigen Provider. Jeder bekanntere TYPO3-Spezial-Provider wie z.B. Mittwald, punkt.de oder jweiland.net wird Sicherheitslücken sofort automatisiert stopfen.

Anzeige
Anzeige

6) SECURITY-BASICS
Speichere Passwörter deiner TYPO3-Frontend-Accounts immer nur verschlüsselt in der Datenbank, z.B. mit der Extension kb_md5fepw oder einem anderen TYPO3-Service. Deaktiviere alle ungenutzten Accounts (BE und FE) und erstelle eine Sicherheitsrichtlinie für alle Nutzer der Accounts (z.B. Passwort-Management-Tool verwenden und auf gar keinen Fall Passwörter auf den Monitor kleben,…).

7) KEINE EIGENPROGRAMMIERUNG OHNE FÜHRERSCHEIN
Beachte die Coding-Guidelines beim Entwickeln eigener TYPO3-Extensions und nutze die Möglichkeiten zu TYPO3-Schulungen und -Zertifizierungen, um Dein Wissen auf dem aktuellen Stand zu halten. Als ideale Basis zur Know-How-Vermehrung bieten sich auch die zahlreichen TYPO3-Veranstaltungen wie die T3BOARD und die TYPO3 Developer Days an.

Anzeige
Anzeige

8) SSL FÜR LOGINS UND DAS BACKEND
Nutze nach Möglichkeit SSL-Verschlüsselung für das komplette Backend und alle Login-Formulare. Mit einem „echten“ Zertifikat (das pro Jahr um die 150 Euro kostet) ist das nicht gerade günstig, aber den zusätzlichen Schutz wert.

9) WISSEN, WANN ES BRENNT
Schalte die Admin-Mail-Funktion für fehlgeschlagene Backend-Logins in der typo3conf/localconf.php an ($TYPO3_CONF_VARS[‚BE‘][‚warning_email_addr‘] = ‚admin@beispiel.de‘; $TYPO3_CONF_VARS[‚BE‘][‚warning_mode‘] = ‚0‘;) und beschränke die Dateirechte der localconf.php auf den Webserver-User. Bei der localconf.php macht es außerdem Sinn, wichtige Parameter mit PHP-Include-Befehlen auszulagern. Außerdem sollte man regelmäßig die Logfiles des Webservers auf Auffälligkeiten (Auffällige Zugriffe, Exploits,…) kontrollieren.

10) ES GIBT NICHT NUR 10 REGELN
Sei auf der Hut und vergiss nie, dass die Sicherheit einer TYPO3-Installation aber auch von jedem anderen Projekt mit direkter Internet-Verbindung in vielen kleinen Details beginnt und nicht in 10 Punkten zusammengefasst werden kann. Ein 11. Tipp könnte z.B. sein, dass man sich aktiv an der Weiterentwicklung von TYPO3 beteiligt und so die Geschichte des Projekts, die Menschen dahinter und potenzielle Stärken/Gefahren besser verstehen lernt.

Anzeige
Anzeige

So. Aber jetzt genug Vorgeplänkel: Was macht Ihr, um Eure TYPO3-Installation sicherzuhalten? Und wen hat’s außer Schäuble und Schalke 04 noch erwischt?

Bildnachweis: TimurD – Fotolia.com

Mehr zu diesem Thema
Fast fertig!

Bitte klicke auf den Link in der Bestätigungsmail, um deine Anmeldung abzuschließen.

Du willst noch weitere Infos zum Newsletter? Jetzt mehr erfahren

Anzeige
Anzeige
33 Kommentare
Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Sacha Vorbeck

HTML-Inhaltselement für Redakteure verbieten,
Verzeichnis typo3/install mit .htaccess schützen…

Antworten
Kian Gould

Serviceverträge mit seiner TYPO3 Agentur abschließen und nur mit Agenturen arbeiten, die umfangreiches TYPO3 Know-How vorweisen können.

Es gibt keine fehlerfreie Software, das weiß jeder, aber wenn man niemand hat, der Fehler sofort stopft gibt es schnell Probleme.

Antworten
andylenz77

beim TYPO3 Security Team vorbei schauen http://typo3.org/teams/security/ und der Link dort auf das TYPO3 Security Cookbook ist auch sehr hilfreich. Michael Stucki sagt gerade noch „…abonnieren des feeds ist ok. andernfalls kann man aber auch typo3-announce als mailingliste abonnieren. wir informieren immer beides gleichzeitig, aber ich glaube, mails checkt man häufiger als newsfeeds (war z.b. diese woche von vorteil)…“

Antworten
Peter

Ich würde auch ehr die Announce Mailingliste als die Feeds empfehlen.

Antworten
olivier.dobberkau.dkd.de

Backups nicht vergessen. Diese sicher auf einem anderen System lagern. Das Zurückspielen auch mal üben. Dadurch bleibt ruhig, wenn es einen doch mal erwischt haben sollte.
Dokumentation auch als Ausdruck haben.
Regelmäßig nicht benötigte TYPO3 Installationen vom Server entfernen.

Antworten
olivier.dobberkau.dkd.de

Kunden immer über die Notwendigkeit von Updates informieren.

Antworten
Wolfgang Zenker

Ergänzung zu 9): Wenn die TYPO3 Installation mit php im cgi mode und suexec läuft (also mit einem anderen user als der Webserver), dann sollte die localconf.php nur für den php-User und eben NICHT den Webserver lesbar sein.

11) Wenn man das selbst beeinflussen kann: Den von TYPO3 verwendeten Datenbank-Login nur vom Webserver aus zulassen; wenn externer DB-Zugriff gebraucht wird, dafür andere User/Kennwort Kombination verwenden und soweit möglich auf bestimmte IP(-Bereiche) beschränken.

Antworten
Julian

zu 8) Finde, für einfache Verschlüsselung reichen fürs Backend auch die „SSL 123“-Zertifikat-Varianten, die es ab 35,-/Jahr gibt. Da wird zwar nicht viel geprüft, aber es gibt ein von allen Browsern akzeptiertes Zertifikat und eine verschlüsselte Verbindung.

Antworten
Clemens

Ich persönlich finde, dass für Backend-Logins sogar ein selbstausgestelltes Zertifikat ausreichend ist (kostet genau 0 EUR). Schliesslich geht es doch hauptsächlich um die Verschlüsselung.
Und besser ist jedenfalls SSL mit eigenem Zertifikat als ClearText.

Antworten
Clemens

Weitere Tipps wären: Die Version nicht beim Backend-Login anzeigen lassen (localconf.php), ja ich weiss, security through obscurity …) das gleich für apache version und os inkl. version (in der apache sysconfig). Das default-webrootverzeichnis des servers verdrehen.
mittels htaccess (direkt in der apache konfiguration) dateiendungen wie .log.txt .conf.txt oder .conf, .log .tmpl, .tpl verbieten.
Ganz wichtig ist: die Anwender zum Thema Sicherheit sensibilisieren. Das beste Passwort nützt nichts gegen einen lokal installierten Keylogger, oder veraltete Browser mit Sicherheitslecks!

Antworten
Dortumund-Fan

Am genialsten finde ich den Hack auf der Schalke-Seite. Da hat jemand den Rauswurf von Dumpfbacke Kurany angekündigt und alle sind wild geworden. Hut ab – das ist mal ein Spaß….
…und der VFL macht dann die Krise perfekt.

Wer braucht schon Gelsenkirchen. Ihr kennts ja. Wir haben nichts gegen Kirchen, bis auf Gelsen…

Hahahahahahaha

DANKE Typo3, den Fehler verzeiht man gerne…..

Antworten
Mittwald CM Service

Auf der Basis unserer umfangreichen Erfahrungen im Bereich TYPO3 Hosting lässt sich eindeutig feststellen, dass bereits mit einem Minimum der im Artikel genannten Vorsichtsmaßnahmen ein sehr hohes Maß an Sicherheit erreicht werden kann:

Einsatz aktueller Softwarekomponenten: CMS, PHP, MySQL

Verwendung sicherer Passwörter: Tipp! Die Eingabe eines Datums mit gedrückter Shifttaste ist leicht zu merken und sicher zugleich. Natürlich kombiniert mit üblichen Elementen wie Klein- oder Großbuchstaben.

Löschen nicht mehr benötigter Extensions im Extensionmanager: Häufig wird das Deaktivieren von Extensions fälschlicherweise als ausreichend angesehen, obwohl nachwievor ein Aufruf der unsicheren PHP Dateien über den Browser möglich ist.

Der mit diesen drei Punkten verbundene Aufwand ist gering und auch durch CMS Einsteiger umzusetzen.

Um den Rest (Updates der Serverdienste, Benachrichtigung bei neuen CMS Versionen oder Sicherheitslücken, Durchführen von Versionsupdates, Einspielen von Sicherheitsupdates) sollte sich im Normalfall der spezialisierte Hostinganbieter kümmern. Wir informieren unsere Kunden beispielsweise sofort, wenn eine neue Version raus ist oder eine Sicherheitslücke bekannt geworden ist. Der TYPO3 und Joomla! Versionsmanager macht unseren Kunden das Update dabei so einfach wie möglich. Die eingesetzte chroot Umgebung schützt darüber hinaus andere Hostingkunden, sollte es dennoch zu einem unbefugten Zugriff auf eine Webseite kommen.

Denn obwohl wir unser Bestes geben, um unsere Systeme sicher und aktuell zu halten, ist letztlich der Kunde selbst das entscheidende Glied in der Sicherheitskette.

Als Hostinganbieter möchten wir daher dem T3N für den Artikel danken: das Thema Sicherheit kann nicht genug in das Bewusstsein der Anwender gerückt werden!

Antworten
Clemens

@grac:

Bit 1: If set, warning_email_addr gets a mail everytime a user logs in. Bit 2: If set, a mail is sent if an ADMIN user logs in! Other bits reserved for future options.

was das wohl heisst?

einfach mal statt 0 eine 1 eingeben. sollte wunder wirken. ;)

Antworten
Horsti

@Mittwald CM Service:

Gute Idee mit dem Passwort bez. Shift + irgendein Datum um verlässlich leicht merkbare Sonderzeichen zu verwenden.

Leider krankt die Idee an anderen Tastaturlayouts und eine amerikanische Tastatur hat man ja ab und zu doch mal vor sich oder ein BS-Image mit anderem Layout.
Wer sich da nur das Datum gemerkt hat, ist leicht aufgeschmissen.

Eine brauchbare Idee, um zumindest Zahlen verlässlich unterzubringen sind Wörter entsprechend einer Handytastatur zu verwenden.

Antworten
Mittwald CM Service

@Horsti:

Unsere Kundschaft hat nach unseren Erfahrungen insgesamt wenig mit wechselnden Tastaturlayouts zu tun, da wir in punkto Hosting und Support eher im Massenbereich aktiv sind. Für professionelle Nutzer oder Administratoren ist der Hinweis jedoch in der Tat ungeeignet ;-)

Dieser Zielgruppe unterstelle ich jedoch mal ein gewisses Know How und einen angemessenen Umgang mit sicherheitsrelevanten Themen.

Antworten
olivier.dobberkau.dkd.de

Bin der Meinung, dass es möglich ist die Fehlversuche nach SYSLOG zu schreiben. Mit einer passenden Fail2ban Regel werden so Bruteforce attacken abgeschwächt…

Antworten
Marcus Krause

@Klaus W.
Salted Passwords — extension t3sec_saltedpw

Macht aber derzeit nur Sinn, wenn das BE über SSL/TLS abgesichert ist.

Antworten
Bernhard Berger

Sorry, aber der Artikel ist Bullshit!

Security ist ein seriöses Thema und sollte von einem vermeindlich seriösen Magazin nicht zu Werbezwecken ausgeschlachtet werden. Ich empfinde das als empörend und lächerlich.

Wenn ein Provider den safe_mode braucht um sagen zu können „wir sind sicher“, dann läuft da etwas schief.

Ich finde es außerdem lächerlich veralgemeinernd zu sagen „Installiert nur die neuesten Extensions, denn die sind die sichersten!“ -> Bullshit.

Aber okay. Wenn man genug Geld hat, denkt man nicht mehr daran was man schreibt. Muss schon sagen – 90% der Kommentare sind niveauvoller und tragen eindeutig mehr zum Thema Sicherherheit bei als es der Artikel jemals könnte.

Leute, leute. Zuerst DENKEN, dann ÜBERLEGEN, dann Schreiben, dann nochmals denken und wenn sowas dabei rauskommt -> Strg+A, Delete. Dankeschön :(

Antworten
maerr

Hallo Herr Berger,

zum Thema „Berichterstattung über Web-Security“ kann man sicher geteilter Meinung sein. Ziel dieses Artikels ist es, Sicherheitstipps von TYPO3-Administratoren und -Hostern zu sammeln, um praxisnahe Ideen zum Absichern einer TYPO3-Installation zu bündeln.

Ich würde mich freuen, wenn Sie ihre Kritik etwas konstruktiver fassen, dann gehe ich gerne im Einzelnen darauf ein.

Antworten
maerr

@Bernhard Berger: Wenn Sie wirklich der sind, für den Sie sich ausgeben, sollten Sie – egal was Sie von diesem „unseriösen“ t3n-Artikel halten – sich folgenden „seriösen“ Artikel noch einmal in aller Ruhe durchlesen TYPO3-SA-2009-002, gut darüber nachdenken und dann mit vollem Elan: UPDATEN! :)

Antworten
Alex

Auch ich finde den Artikel sehr schlecht… zu viel Verbindung zu Hostern, ratschläge ohne begründung (warum teures ssl zertifikat für backend)

Antworten
olivier.dobberkau.dkd.de

Wird t3n die neueste Trollburg?

Antworten
Ingo Fabbri

warum? kritik auf heitere art und weise verfasst. tipp 1 finde ich gut.

Antworten
Alex

olivier.dobberkau.dkd.de@
wie soll ich das verstehen?

Antworten
Abbrechen

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!
Hallo und herzlich willkommen bei t3n!

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team von mehr als 75 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Schon jetzt und im Namen der gesamten t3n-Crew: vielen Dank für deine Unterstützung! 🙌

Deine t3n-Crew

Anleitung zur Deaktivierung
Artikel merken

Bitte melde dich an, um diesen Artikel in deiner persönlichen Merkliste auf t3n zu speichern.

Jetzt registrieren und merken

Du hast schon einen t3n-Account? Hier anmelden

oder
Auf Mastodon teilen

Gib die URL deiner Mastodon-Instanz ein, um den Artikel zu teilen.

Anzeige
Anzeige