Eines der größten Themen im Jahr 2011 für die digitale Gesellschaft ist das Problemfeld Sicherheit im Netz. Spektakuläre Fälle wie die Angriffe auf Sony oder die Aktivitäten der Gruppierung „Anonymous“ finden in der Presse Beachtung und stoßen bei vielen Webseitenbetreibern auf großes Echo. Daher steht diese Thematik auch innnerhalb der TYPO3 Community in der Diskussion. Bei den Betreibern der Webseiten herrscht derzeit zumeist Verunsicherung vor und viele stellen sich die Frage, wie sicher denn Ihre Webseite sei. Als TYPO3-Dienstleister können wir in jedem Fall nur raten, sowohl TYPO3 als auch die installierten Extensions immer auf dem neusten Stand zu halten und sich per typo3.org oder TYPO3 Announce Mailing List stets über aktuelle Probleme zu informieren. Da diese Ratschläge aber vielen als zu allgemein gelten, wollen wir hier ein paar Empfehlungen des TYPO3-Cookbooks darstellen, die, sofern befolgt, die TYPO3-Instanz gleich sicherer machen.

• Installationstool sichern: Das Installationstool sollte nach Gebrauch entweder deaktiviert oder gleich das ganze Verzeichnis entfernt werden. Alternativ kann man auch den Zugriff per .htacess auf bestimmte Hosts, Netzwerke oder Domains beschränken.
• Admin Password/Namen: Was auch für andere Netzwerke gilt, sollte auch bei der Verwaltung von TYPO3-Instanzen gelten: Das Admin-Password sollte sofort nach der Einrichtung geändert werden. Noch sicherer wird das ganz natürlich, wenn der default-Admin durch neue, personalisierte Admin-Nutzer ersetzt wird.
• Keine Demo Packages für Live-Systeme nutzen: Diese Packages sind wie der Name eigentlich schon sagt nur zum Testen gedacht.
• Rechtevergabe im Datei System: Beachten, wer welche Rechte bekommt, lieber sparsam verteilen. Auf jeden Fall User Accounts kein Schreibrecht auf Webservern geben.
• Unnötigen Code und Extensions entfernen: Wirklich nur das lassen, was wirklich gebraucht wird, um keine unnötige Angriffsfläche zu bieten.
• Sicherheitsoptionen: TYPO3 bietet einige Sicherheitsoptionen. Hier sind nur wenige allgemeingültige Aussagen möglich (bspw sollte in jedem Falle der der EncryptionKey gesetzt werden), je nach System sind aber unterschiedliche Parameter hilfreich.

Das Kochbuch hält noch weitere Tipps parat, aber die hier genannten sind auf jeden Fall die wichtigsten, um für ausreichende Sicherheit im TYPO3-System zu sorgen.

Um auf eventuelle Angriffe reagieren zu können ist es des Weiteren natürlich wichtig, immer Backups zu erstellen, am besten vom kompletten System, aber zumindest von allen Dateien im root. Ebenso sollten die Logs gespeichert werden, um eventuelle Schwachstellen zu erkennen und den oder die Angreifer ausfindig machen zu können.

Sofern es tatsächlich mal zu einem Angriff kommt und Sie erkennen diesen, sollten die betroffenen Webseiten oder gar die ganzen Server vom Netz genommen werden, bevor sich Viren und Co. noch weiter verbreiten. Danach kann in Ruhe eine saubere Version eingespielt werden. Mit den mitgespeicherten Logs kann man den Angriff analysieren. Viel wichtiger als das Erkennen der Angreifer ist dabei das Erkennen der Schwachstellen. Liegt diese im TYPO3 Core oder bei Extensions, sollte in jedem Falle das TYPO3 Security Team informiert werden.