Ist TYPO3 sicher?

typo3.fruit-lab.de » TYPO3 Sicherheit

Wie sicher ist TYPO3?

Neben normalen Mechanismen um einen Server zu schützen, muss natürlich auch das benutze System über ausgereifte Sicherheitskonzepte verfügen, um die Stabilität eines Systems zu gewährleisten. Auf dieser Seite stelle ich Texte zur Verfügung, die Ihr TYPO3 vielleicht sicherer machen.

Benutzerverwaltung

TYPO3 verfügt über eine ausgeklügelte Benutzerverwaltung die sowie FE (Frontend) als auch BE (Backend) User verwalten kann. Durch das einfache Gruppieren von Benutzern und das Verwalten von BE-zugriffen mittels ACL´s (Access Control List) hat der Administrator tiefgehende Optionen die man manipulieren kann. Einziger Nachteil ist, das bei TYPO3 die FE User mit einem Klartext Passwort gespeichert werden. Dieses Problem kann aber mittels einer Extension gelöst werden (kb_md5fepw)

Extensions <- Die Gefahr

von den Extensions geht glaube ich die größte Gefahr einer TYPO3 Installation aus. Damit die Sicherheit bei einzelnen Webseiten gewährt bleibt ist der erste Schritt den man machen sollte, dass verbieten von "AllowGlobalInstall", weil dann Sichergestellt ist, dass kein "schmutziger Code" in das src - Verzeichniss kommt.

Desweiteren ist auch noch zu beachten...

 

!!! Extensions von typo3.org aus dem reviewed Reiter wurden auf Sicherheit geprüft und man hat eine relativ hohe Sicherheit, dass diese Extensions nichts an TYPO3 verändern was sich negativ auf das System auswirkt.

 

!!! Man sollte im Extension Manager versuchen mit den Extensions auszukommen die vom Sicherheitsteam (typo3.org) kontrolliert wurden. Kontrollierte Extensions tragen das Merkmal reviewed (siehe oben). Dazu einfach unter Settings ausschalten, das alle Extensions angezeigt werden (siehe Abb. 1).

 

!!! In der Extension Liste sollte man nicht nur auf den Status (Alpha, Beta, Stable, ...) achten, sondern auch auf die Downloads. Die Downloadzahlen einer Extension sagen oft viel über eine Extension aus und sind genau vor dem Status zu finden. Der "/" trennt dabei die Downloads der aktuellen Version und der gesamten Extension.

 

Abb. 1
Abb. 1
Abb. 2
Abb. 2

Loggen

In vielen IT Systeme treten Fehler auf. Dies ist aber nicht immer unbedingt die Folge von Sicherheitslöchern. Dennoch sollte man vielleicht bei Anomalien einen Blick in eine Logfile werfen. TYPO3 bietet direkt die Möglichkeit Aktionen zu loggen. Über das Installationstool kann man die Eigenschaften systemLog und systemLogLevel so setzen, das man Abläufe im Content Management System leicht nachvollziehen kann.

TYPO3 Versionen

TYPO3 Versionen kommen ca. 2 monatig zumindest oft eine Subversion. Ich habe es mir angewöhnt immer direkt auf die nächste Version zu Updaten, weil oft auch Sicherheitslücken oder andere Unannehmlichkeiten zu einer neuen Subversion geführt haben. Desweiteren gibt es Extensions mit denen man auch leicht Extensions mit dem TER vergleichen kann (auch Updaten). Sehr zu empfehlen.

Fazit

Wenn man sich an diese 2-3 Tipps hält ist eine mittlere bis gute TYPO3 Sicherheit gewährleistet. Wenn Ihr noch Ergänzungen habt, schreibt mir die doch bitte einfach ins Board.

Seite drucken |  | © Tim Lochmller 2006, Ist TYPO3 sicher?