Angriffe auf Webseiten nehmen immer weiter zu. Nach einer Umfrage von Statista unter deutschen Unternehmern waren 69 Prozent in den vergangenen zwei Jahren Opfer von Datendiebstahl, Industriespionage oder Sabotage. Die Sicherheit Ihrer Webseite sollte daher höchste Priorität haben. Auch die Entwickler von TYPO3 nehmen das Thema sehr ernst, letztlich hängt die Sicherheit aber von der Konfiguration ab. Lernen Sie jetzt typische Risiken und geeignete Schutzmaßnahmen kennen.
Maximale Sicherheit der TYPO3-Installation
In der Vergangenheit wurden TYPO3-Webseiten immer wieder Opfer von Hackerangriffen. Erste Regel: Bringen Sie die TYPO3-Installation und alle Erweiterungen regelmäßig auf den neuesten Stand. Je älter die TYPO3-Installation, desto größer ist das Sicherheitsrisiko. Mit den folgenden Tipps schützen Sie Ihre Webseite zusätzlich.
Passwort während der Installation ändern und sichere Passwörter verwenden
Bezüglich der allgemeinen Sicherheit Ihrer Seite hängt viel von der Qualität des Passworts ab. Experten empfehlen Passwörter mit mindestens zehn Zeichen, die sowohl Groß- und Kleinschreibung wie auch Sonderzeichen enthalten. Der Verband Bitkom empfiehlt, die Passwörter alle drei Monate zu ändern. Simple Passwörter werden von Hackern ohne Aufwand geknackt. Vor allem die Passwörter für das Backend und den FTP-Zugang dürfen nicht in die falschen Hände gelangen und müssen sehr sicher sein. Ändern Sie das Passwort für das Install-Tool am besten noch während der Installation oder spätestens direkt im Anschluss.
Tipp zum Basteln einer Zeichenkette: Nutzen Sie die Anfangsbuchstaben eines Spruches, den Sie sich leicht merken können und fügen Sie ein Sonderzeichen und Ihre Lieblingszahl hinzu, zum Beispiel das Geburtsdatum oder die Hausnummer. Aus „Der frühe Vogel fängt den Wurm“ wird so etwa das Passwort „DfVfdW.1980“.
Den Default-Admin-Account ersetzen
Erstellen Sie nach der Installation von TYPO3 ein neues Administrator-Konto mit vollen Rechten und löschen Sie den Default-Admin. Mit dieser kleinen Maßnahme laufen bereits zahlreiche Angriffe auf Ihre Webseite ins Leere.
Nur mit bewährten Erweiterungen arbeiten und Überflüssiges löschen
Jede Erweiterung stellt für Hacker einen potenziellen Angriffspunkt dar. Installieren Sie nur bewährte und weit verbreitete Erweiterungen, die regelmäßig aktualisiert werden. Überflüssige oder nicht mehr benötigte Erweiterungen sollten Sie löschen, nicht nur deaktivieren. Deaktivierte Extensions sind ein potenzielles Sicherheitsrisiko, Hacker können auf diese weiter von außen zugreifen.
log-Dateien analysieren und Hacker-Angriffe erkennen
Ein weiterer Tipp: Analysieren Sie regelmäßig die log-Dateien auf versuchte Zugriffe durch unbefugte Dritte. Laden Sie den Ordner „logs“ aus dem root-Verzeichnis mit einem FTP-Programm herunter und analysieren Sie die „access.log„- und „error.log„-Dateien. Sie können die Dateien zum Beispiel nach dem Wort „administrator“ durchsuchen, in der access.log-Datei kann folgender Eintrag stehen:
186.90.190.67 – [01/Dec/2016:08:12:01 +0100] „GET /administrator/…..
Die Zeile bedeutet, dass ein Angreifer über die IP 186.90.190.67 versucht hat, auf eine Datei im Administrator-Verzeichnis zuzugreifen. Bei TYPO3 existiert dieser Ordner gar nicht, weshalb die Anfrage keinen Schaden verursachen kann. In Joomla! ist dieser Ordner jedoch vorhanden, der Angriff könnte bei einer Joomla!-Seite also zum Erfolg führen. Als Reaktion können Sie die IP-Adresse des Angreifers über den Blocklistmanager oder die htaccess-Datei sperren.
Regelmäßige Datensicherungen
Laden Sie zudem regelmäßig vollständige Backups der Webseite herunter, damit Sie diese im Ernstfall sofort wiederherstellen können. Bewahren Sie diese über einen längeren Zeitraum auf, damit Sie im Notfall auf ein definitiv sauberes System zurückgreifen können. Mit einem Textvergleich-Programm wie WinMerge können Sie vorgenommene Änderungen in den Dateien schnell finden.
Den Datenbankzugriff einschränken
Für einen besseren Schutz sollten Sie für das Frontend und Backend unterschiedliche Datenbankbenutzer anlegen. Der Vorteil: Mithilfe des Rechte-Managements verwehren Sie den Frontend-Usern das Erstellen, Ändern oder Löschen von Tabellen in der Datenbank. Wichtig: Niemals die Verbindung mit dem root-Benutzer herstellen.
Das Rechte-Management optimieren
Nutzen Sie die umfangreichen Möglichkeiten des Rechte-Managements aus. Jeder Anwender sollte nur über die für ihn notwendigen Rechte verfügen. So braucht etwa ein Redakteur keinen Admin-Zugriff, viele Fehler durch unerfahrene Anwender lassen sich auf diesem Weg vermeiden.
Die localconf.php vor unbefugtem Zugriff schützen
Hacker haben es bei TYPO3 auf die localconf.php abgesehen – mit Zugriff auf diese Datei lässt sich der größte Schaden anrichten. Eine gute Möglichkeit ist die Auslagerung relevanter Daten in eine Datei außerhalb des root-Verzeichnisses.
Regelmäßige Sicherheitstipps für TYPO3 – den TYPO3-Sicherheitsguide lesen
Der TYPO3-Sicherheitsguide steckt voller wertvoller Informationen, Tipps und Anleitungen, wie Sie Ihre TYPO3-Webseite noch sicherer machen. Melden Sie sich am besten beim Newsletter an, so erhalten Sie regelmäßig aktuelle Sicherheitstipps für TYPO3 und sind über Neuerungen und aktuelle Risiken optimal informiert.
Sie haben weitere Sicherheitstipps für TYPO3 oder Fragen zum Thema? Schicken Sie uns einen Kommentar. Wir freuen uns auf Ihr Feedback.