Hosting von TYPO3 Websites inkl. Service und regelmäßige Sicherheits-Updates

Viele unserer Kundenprojekte basieren auf TYPO3 und diversen Extensions, um die gewünschten Anforderungen abzudecken. Die Erweiterungen aus dem TYPO3 Repository stehen jedem zur Verfügung. Jeder Entwickler kann bei seiner Arbeit Fehler machen. Ein großer Vorteil bei OpenSource Systemen ist jedoch, dass eventuelle Fehler und Sicherheitslücken auch gefunden und ausgebessert werden können.

Die Herausforderung ist der Workflow danach. Auch der Kunde muss bereit sein, seine Website durch ständige Wartungsarbeiten auf dem aktuellsten Stand zu halten. 

TYPO3 Sicherheitsupdates des Core-Systems und wahrscheinlich noch viel wichtiger: die Aktualisierung von Extensions, die bereits als unsicher im Repository markiert sind.

Kopf in den Sand! Mir passiert schon nichts!

Natürlich kann es jahrelang gut gehen und keine Sicherheitslücke wird ausgenutzt. Das Erwachen kommt jedoch meistens erst hinterher, wenn die eigenen Inhalte plötzlich mit Links zu Medikamenten oder Schlimmerem versehen sind, oder Schadsoftware über die eigene Seite verteilt wird. Es wird jedem einleuchten, dass die Reparatur nun unwesentlich aufwändiger ist, als vorher die Sicherheitslücken zu beseitigen.

Effektiver Schutz, aber nie 100%

Wie bereits erwähnt, gibt es im Quellcode immer Fehler und Schwachstellen. Wer etwas anderes behauptet, hat selbst nie programmiert. Aber die beste Vorsorge in diesem Bereich ist ständige Achtsamkeit. 

Maßnahmen, die regelmäßig durchgeführt werden sollten

Die folgenden Maßnahmen sollten auch vom Websiteinhaber selbst durchgeführt werden: 

  • Prüfung im Extension Manager auf "unsichere" Erweiterungen
  • Erweiterungen entfernen, die nicht mehr benötigt werden
  • TYPO3 Updates durchführen bzw. veranlassen
  • Back-End Benutzer entfernen, wenn diese nicht mehr nötig sind
  • Keine Standardbenutzer, wie z.B. "admin" verwenden
  • FTP User deaktivieren, wenn nicht mehr nötig
  • Benachrichtigung bei fehlerhaften Login-Versuchen aktivieren

Diese Liste ist keineswegs vollständig, aber alle Punkte lassen sich schnell und ohne viel Vorarbeit durchführen.

Auf der anderen Seite ist man als Server-Betreiber selbst bestrebt, alles Mögliche zu tun, um die Sicherheit zu gewährleisten. Ständige Apache- und PHP-Updates werden durchgeführt. Als Kunde sollte man das im Normalfall gar nicht merken. 

Beim eigenen Auto ist es ganz normal, einmal im Jahr ein Service durchzuführen oder bei jedem zweiten Mal Tanken die Luft im Reifen zu prüfen. Idealerweise wäre ein ähnliches Verhalten für die eigene Website auch wünschenswert.