TYPO3 Security – Ein Leitfaden für die Sicherheit

Nachfolgend wird beschrieben, wie Sie Ihr TYPO3 System nach der Installation sinnvoll absichern.
Im weiteren Verlauf erhalten Sie wichtige Hinweise, welche die Sicherheit und Wartbarkeit Ihres
TYPO3 Systems erhöhen.

Die TYPO3 Installation

  1. Wählen Sie ein ausreichend langes und sicheres Passwort für die Datenbank. Das Passwort kann aus Buchstaben und Zahlen bestehen. Sie können auch Groß- und Kleinschreibung mischen.
  2. Nachdem Sie im TYPO3 Install Tool Ihre Einstellungen unter „1: Basic Configuration“ vorgenommen haben, sollten Sie in jedem Fall den „Encryption key“ durch klicken auf die Schaltfläche „Generate radom key“verändern. Dieser Key sichert die Cache Dateien in TYPO3 ab. Dieser Key wird, fehl vieler Annahmen nicht als „Salt (dt. Salz)“ für das Sichern der Passwörter im Fronend/Backend verwendet.
  3. Setzen Sie im Install Tool im Bereich „5:All Configuration“ folgende Einstellungen:
    [BE][warning_email_addr] = ihrem@mailadresse.tld[BE][warning_mode] = 1

    Dies bewirkt, das Sie bei jedem Login eines Backend Users per Email darüber informiert werden.

  4. Sollten Sie an Ihrem Arbeitsplatz über eine feste IP Adresse verfügen, können Sie zusätzlich folgende Einstellung setzen:
    [BE][IPmaskList] = 12.45.211.222 <- Ihre feste IP Adresse

    Fortan kann nur noch von dieser Adresse aus auf das Backend zugegriffen werden.

  5. Wenn Sie über eine SSL Zertifikat verfügen, können Sie durch das Setzen der Einstellung
    [lockSSL] = 1-3

    die Benutzung der HTTPS Adresse erzwingen.

Nachdem Sie alle diese Einstellungen vorgenommen haben und die Installation des TYPO3 Systems abgeschlossen wurde, müssen Sie in jeden Fall das Passwort für das Install Tool im Bereich „10:About“ durch eine ausreichend komplexes Passwort sichern.

Das Standard Passwort für das Install Tool lautet „joh316“ und ist vor allem in Hacker Kreisen jedem bekannt. Wählen Sie hierfür auch nicht das selbe Passwort, welches Sie für den Admin Zugang im TYPO3 Backend verwenden werden.

Erster Login in TYPO3

Nach dem ersten Login im TYPO3 Backend sehen Sie in der Regel eine gelbe Hinweisbox. Befolgen Sie in jedem Fall alle Hinweise. Im nachfolgenden werden die wichtigsten erklärt.

  1. Falls nicht schon bei der Installation geschehen, ändern Sie das Passwort für das Install Tool. Dies ist äußerst wichtig!
  2. Entfernen Sie die Datei „ENABLE_INSTALL_TOOL“ durch einen Klick auf den Link, falls vorhanden. Sie können die Datei auch per FTP / SSH im Verzeichnis typo3conf entfernen oder umbenennen. Unsere Kunden können diese Aufgabe auch über das WHF Panel erledigen.
  3. Ändern Sie das Passwort des Backend Benutzers „admin“ oder besser; Legen Sie einen neuen Backend Benutzer an, welcher über Admin Rechte verfügt. Vergeben Sie für diesen ein sicheres Passwort. Melden Sie sich mit diesem Benutzer neu an und entfernen Sie im folgenden den Admin Benutzer. Hierdurch haben Sie eine zusätzliche Barriere geschaffen, da ein Angreifer jetzt auch noch den Benutzernamen erraten müsste, wovon dieser jedoch meist nicht ausgehen wird.

Tägliches Brot mit TYPO3 – Auf dem laufenden bleiben

Auch im laufenden Betrieb sollte man einige Grundsätze beachten, welche automatisch der Sicherheit zugute kommen.

Bleiben Sie auf dem laufenden.

TYPO3 ist ein sehr aktives Projekt, vor allem was die verfügbaren Extension betrifft. Um hier auf dem aktuellen Stand zu bleiben haben Sie unter anderem folgende Möglichkeiten:

Sehen Sie mindestens ein mal pro Woche im TYPO3 Extension Repository vorbei. Evtl. gibt es fehlerbereinigte Versionen von Extensions, welche auch Sie verwenden. Hier werden sehr oft Sicherheitslücken geschlossen bevor diese überhaupt bekannt werden.

TYPO3 Extensions – Weniger ist oft mehr

Gerne neigt man dazu, alle möglichen Erweiterungen zu installieren, obwohl diese nicht benötigt werden.

Entfernen Sie nicht benötigte Erweiterungen vollständig aus dem System. Nur deaktivieren bringt nichts, da die Erweiterung immer noch von aussen erreicht werden kann und evtl. vorhandene Sicherheitslücken offen liegen. Auch das Löschen direkt im Verzeichnis typo3conf/ext ist möglich. Achten Sie aber darauf, dass die Erweiterung nicht doch geladen sind, da es sonst sehr wahrscheinlich zu Fehlern kommt.

Die Redaktion

Entfernen Sie nicht benötigte Redakteure und Frontend Benutzer.
Zwingen Sie Ihre Redakteure dazu, sichere Passwörter zu verwenden. „Gewinner“ (wie beim Innenminister Schäuble) oder „geheim“ ist kein Passwort. Hier muss es eins auf die Finger geben.

Entziehen Sie Redakteuren mit wenig Fachwissen alle Rechte auf Elemente die diese nicht benötigen. Vor allem das Element HTML sollte verboten werden, da hier unter Umständen gefährlicher (JavaScript) Code eingebaut und ausgeführt werden kann, was Tür und Tor für Cross Site Scripting (XXS) öffnen kann.

Der Arbeitsplatz – Halten Sie Ihren Virenscanner immer aktuell.

Stellen Sie sicher, das auch die Arbeitsplätze (Windows) ausreichend abgesichert sind. Das beste Passwort nützt nichts wenn sich ein Keylogger oder sonstige Schadsoftware auf Ihrem Windows eingenistet hat, was nicht nur für Ihr TYPO3 gefährlich werden kann.

Benutzen Sie, um sich das Leben zu erleichtern, ein anderes Betriebssystem wie MacOSX oder Linux, sofern dies irgendwie für Sie möglich ist. Gleiches gilt für den Webbrowser, wo an dieser Stelle Firefox, Opera oder Safari empfohlen werden kann.

Abschließende Erklärung

Nehmen Sie nicht an, dass diese Probleme nur TYPO3 betreffen würden. Jede Art von Software ist auf die ein oder andere Weise angreifbar, wobei klar gesagt werden muss, dass TYPO3 zu den sichersten Systemen im OSS Bereich gehört. Die Annahme, eine fehlerfreie Software zu betreiben ist meist schon der Anfang eines Problems.

Bei Software die frei im Internet erreichbar ist sollten Sie insbesondere ein waches Auge haben. Das Internet ist, auch wenn Sie möglicherweise nichts davon merken, eine Art Kriegsschauplatz für nicht ausgelastete Kinder und Jugendliche und vor allem auch für Kriminelle.

Deshalb gilt grundsätzlich: „Halten Sie Ihre Software aktuell !“

Ihr Webhosting Franken Team

Weiterführenden Links:

%d Bloggern gefällt das: