Wie sichere ich mein TYPO3 CMS richtig ab?

TYPO3 CMS Sicherheit

Um Ihr TYPO3 CMS vor unerlaubten Zugriffen zu schützen und die hinterlegten Daten vor unbefugten Personen abzusichern, ist es empfehlenswert über den Tellerrand hinaus zu schauen.

Zwar bringt das TYPO3 CMS von Haus aus bereits einen hohen Sicherheits-Standard mit, es gibt aber über die standardmäßige Installation hinaus einige Konfigurationsmöglichkeiten, die Ihr System vor unerlaubten Zugriffen schützen.

Wir möchten hier einige Wege aufzeigen, wie Sie mit wenig Aufwand eine höhere Datensicherheit erzielen können, dabei gehen wir zum einen auf die Sicherung des Backend und zum anderen auf die Frontend-Sicherheit ein.

Die takomat Agentur GbR hat ein Sicherheitskonzept für TYPO3 CMS entwickelt, das für eine besonders hohe Sicherheit aller Kundensysteme sorgt. Dem Redakteur werden dabei keine Bedienhürden in den Weg gestellt.

Mit YubiKey wird Ihr TYPO3 CMS sicher

Die Extension „sf_yubikey“ bietet eine sichere Authentifizierungs-Methode über einen Token. Diese Token werden von der Firma Yubico hergestellt und im unkonfigurierten Zustand vertrieben. Dabei steht es dem Nutzer frei zu entscheiden, welchen Verwendungszweck dieser erfüllen soll.

Wir nutzen den YubiKey in erster Linie zur Absicherung des TYPO3 CMS Backend. Dabei wird die Login-Maske durch ein weiteres Feld ergänzt, welches durch einen einfachen Klick auf den entsprechend konfigurierten YubiKey, der sich im USB-Port Ihres Rechners befindet, mit einem Einmalpasswort ausgefüllt wird. Damit ist ein Login ausschließlich mit der Kombination aus Benutzername, Passwort und persönlichem YubiKey möglich. Diese Methode verhindert, dass sich Benutzer unbefugten Zugriff, z.B. mit gestohlenen Zugangsdaten, verschaffen können.

TYPO3 CMS Backend YubiKey

Auf diesem Wege lassen sich ebenfalls Login-Formulare für Frontend-Benutzer absichern. Dies wird besonders dann empfohlen, wenn wenige Nutzer auf den internen Bereich einer Webseite zugreifen sollen, der besonders sensible Daten enthält.

Die wichtigsten Features des YubiKey sind:

  • 128-Bit-AES-Verschlüsselung
  • Option zur eigenen Konfiguration
  • Funktioniert mit Windows, Mac OS X, Linux sowie Firefox, Chrome und anderen Browsern
  • Mehrere Konfigurationen möglich: einschließlich OATH, Challenge-Response
  • Der YubiKey passt durch seine handliche Größe an jeden Schlüsselbund
  • Wasserdicht, stabil, batterielos
  • Niedrige Kosten für eine starke Zwei-Faktor-Authentifizierung

SSL-Zertifizierung für sicheren Datentransfer

Besonders bei Seiten mit Formularen die sensible Daten zwischen Server und Client austauschen, ist es wichtig, eine sichere Verbindung zwischen diesen beiden Parteien zu schaffen. Über eine SSL-Verschlüsselung des Datentransfers ist es möglich, den Versand von Daten zwischen Client und Server abzusichern. Diese Möglichkeit wird vom TYPO3 CMS geboten und muss über das Install-Tool entsprechend konfiguriert werden:

[BE][lockSSL] = 1-3

Dazu muss vorher ein entsprechendes SSL-Zertifikat für die betroffene Domain eingerichtet werden. Dieses können Sie in den meisten Fällen über den Hosting-Provider beantragen und anbinden lassen.

Das Backend mit einer IP-Sperre absichern

Eine weitere Sicherungsmaßnahme ist das Absichern des Backend mit einer IP-Sperre. Diese Möglichkeit besteht jedoch nur, wenn Ihr Unternehmen über eine Internet-Leitung mit fester IP-Adresse verfügt.

Damit wird der Zugriff ausschließlich auf Ihre IP-Adresse beschränkt und der Zugriff einzig über diese Internet-Leitung ermöglicht.

[BE][IPmaskList] = XXX.XXX.XXX.XXX

Regelmäßige TYPO3 CMS Updates

Als Letztes möchten wir noch das Thema Updates ansprechen. Oft werden TYPO3 CMS Installationen vorgenommen und später aus Kostengründen nicht auf dem aktuellen Stand gehalten. Das ist häufig ein schwerer Fehler, denn bei der Entwicklung einer so großen Software wie TYPO3 CMS kann es vorkommen, dass in der Programmierung Schlupflöcher für Angreifer entstehen.

Einmal erkannt, werden diese Schlupflöcher durch Updates geschlossen. Natürlich greifen die Änderungen nur, wenn Sie Ihre TYPO3 CMS Installation stets auf dem neusten Stand halten. Daher ist es wichtig, sich in regelmäßigen Abständen über den aktuellen Status der TYPO3 CMS Entwicklung zu informieren.

Sicherheitsrelevante Updates sind in der Regel Minor-Updates, welche nur kleine Änderungen im Core mit sich bringen und somit einen geringen Update-Aufwand verursachen.
Ebenfalls sollten alle installierten Erweiterungen stets auf dem aktuellen Stand gehalten werden, denn auch diese können potenziellen Angreifern ein Schlupfloch bieten.

TYPO3 CMS Extensions

Kennen Sie weitere Möglichkeiten, eine TYPO3 Installation vor ungewünschten Zugriffen zu schützen? Dann würden wir uns über einen entsprechenden Kommentar freuen.

Schreibe einen Kommentar

Pflichtfelder sind mit * markiert.