Blog single

12 TYPO3 Sicherheitsfehler, die Sie machen könnten

TYPO3 Sicherheitsfehler sind leicht zu machen! Es erfüllt uns mit Stolz, dass unser eigenes TYPO3 CMS eines der sichersten OpenSource CMS der Welt ist!

Aber, wie wir wissen, mit zunehmender Technologie und Fortschritten, ist Website-Sicherheit ein nie endender Prozess. Während TYPO3 selbst sicher ist, erfordert das Vermeiden von TYPO3-Sicherheitsfehlern auch ein wenig Aufwand von Seitenbetreibern.

"Eine einzige Schwachstelle ist alles, was ein Angreifer braucht."
- Window Snyder

Wir spüren, dass Ihre TYPO3-Website wie ein Kind für Sie ist. Sie stecken viel Mühe, Zeit und oft auch Geld hinein, um sie bestmöglich zu pflegen, sie benutzerfreundlich zu gestalten und reibungslos laufen zu lassen. Darüber hinaus tun Sie Ihr Bestes, um sie vor Schaden zu bewahren.

Aus diesem Grund wollen wir in diesem Mikroartikel über einige der häufigsten TYPO3-Sicherheitsfehler sprechen, die Benutzer machen. Indem Sie diese kennenlernen, vermeiden Sie, sie selbst zu begehen. So machen Sie Ihre TYPO3-Website viel sicherer.

P.s Diese Anleitung ist speziell für nicht-technische TYPO3-Website-Betreiber vereinfacht.

Klingt gut? Dann lassen Sie uns gleich eintauchen.

Häufige TYPO3-Sicherheitsfehler, die es zu vermeiden gilt


Fehler #1: TYPO3 nicht aktualisieren

Fehler #1: TYPO3 nicht aktualisieren

TYPO3 hat eine großartige Community, die auf Sicherheitsprobleme achtet, und das Team von TYPO3 veröffentlicht regelmäßig Updates, um Sicherheitslücken zu schließen. Aber es liegt an uns, diese Updates auf unserer TYPO3-Installation auszuführen und eventuelle Sicherheitslücken zu flicken.

Kleinere Updates

Die TYPO3-Community veröffentlicht kontinuierlich die Version der Sicherheitsprüfungen mit Zweigen z.B. TYPO3 9.5.10 Sie sollten immer die neueste Version von TYPO3 aktualisieren. Schauen Sie sich den ausführlichen Bericht unter get.typo3.org/release-notes/10.4.12 an. Sie enthält in der Regel nur Sicherheitspatches & Änderungen, so dass ein Update in Sachen 3/4 Stunden leicht zu bewerkstelligen ist.

Wichtige Updates

Das bedeutet, dass Sie die TYPO3 Update-Version von einem LTS (Long Term Support) auf ein anderes LTS berücksichtigen müssen.

In beiden Fällen ist es wichtig, die Updates so schnell wie möglich zu installieren. Dadurch wird sichergestellt, dass alle Sicherheitslücken gepatcht werden.

Die Aktualisierung von TYPO3 bei kleineren Updates ist oft ein reibungsloser Prozess, aber bei größeren Updates kann es manchmal zu Inkompatibilitätsproblemen kommen, die Ihre Website zerstören.

Hier sind einige schnelle Ressourcen für TYPO3 Upgrade,


Fehler #2 Keine Sicherung Ihrer TYPO3-Website

Obwohl TYPO3-Backups und Sicherheit nicht zusammenhängen, kann ein Backup einer TYPO3-Site, das vor einem Angriff durch Malware, Ransomware oder andere Medien erstellt wird, Ihre Daten (und Ihr Leben!) retten.

Ransomware-Angriffe werden durchgeführt, um Geld zu verdienen, und daher halten diese Angriffe Ihre Website für unzugänglich und lassen sie in einem kompromittierten Zustand. Hacker können Lösegeld verlangen, um Ihre Website wiederherzustellen und Ihnen Zugriff zu gewähren, aber ein ordentliches, detailliertes Backup kann Ihnen Zeit und Geld sparen.

Lösung:

  • Planen Sie wöchentlich Backups ein und führen Sie alle zwei Wochen ein detailliertes Backup durch.
  • Verwenden Sie zuverlässige TYPO3 Backup-Erweiterungen wie Backup Plus TYPO3 Extension.

Fehler #3 Kein SSL/TLS-Zertifikat auf Ihrer TYPO3-Website

Viele Geschäftsinhaber sind der Meinung, dass Firewalls und Antivirensoftware genug Schutz für ihre Website bieten. Einige denken, dass, da auf ihrer Website keine monetären Transaktionen erforderlich sind, keine Notwendigkeit für SSL-Sicherheit besteht. Unter diesem Mythos scheinen sie die Bedeutung des SSL-Zertifikats zu ignorieren oder zu vergessen, das Ihrer Website robuste 256-Bit-Verschlüsselungssicherheit bietet.

Hacker können leicht alle unverschlüsselten sensiblen Informationen kompromittieren. Dies setzt nicht nur Ihre Besucher dem Risiko aus, dass ihre Anmeldeinformationen gestohlen werden, sondern auch Ihre Website könnte kompromittiert werden.

Verschlüsselung von vertraulichen Informationen (besonders wichtig für E-Commerce)

  • Vertrauensindikator
  • Ein Anstieg der SEO-Rankings

Sobald ein SSL-Zertifikat installiert ist, verschlüsselt es auch Benutzernamen und Passwörter, wodurch Ihr Login-Bereich gesichert wird und ein Eindringen von Hackern nahezu unmöglich ist. Dies verbessert die Glaubwürdigkeit und Vertrauenswürdigkeit, was beides für Unternehmen, die online Produkte verkaufen oder Leads generieren wollen, unerlässlich ist.


Fehler #4 Keine hochwertige TYPO3 Vorlage & TYPO3 Plugins kaufen

Schlecht codierte TYPO3-Templates und Extensions sind ein Sicherheitsrisiko für Ihre TYPO3-Website. Sie können nicht nur Ihre Website verlangsamen, sondern auch inkompatibel mit der von Ihnen verwendeten TYPO3-Version oder untereinander sein. Außerdem können einige Erweiterungen oder Vorlagen eine Einladung für Schadsoftware sein.

Hier sollte man darauf achten, TYPO3 Templates und TYPO3 Extensions nur von hochwertigen Quellen zu beziehen. Es gibt viele gute kostenlose TYPO3-Vorlagen und TYPO3-Erweiterungen, die im TYPO3 Extension Repository kostenlos zur Verfügung stehen.

Wenn Sie sich für ein Premium-Template oder eine Premium-Extension entscheiden, suchen Sie diese auf dem T3Terminal, dem TYPO3 Marketplace.

  • Vermeiden Sie TYPO3 Themes und Plugins, die seit einiger Zeit nicht mehr aktualisiert wurden.
  • Beziehen Sie immer vertrauenswürdige Templates und Erweiterungen von seriösen TYPO3-Marktplätzen und zuverlässigen Drittanbietern.
  • Prüfen Sie die Bewertungen, Rezensionen und die Anzahl der Benutzer-Downloads, bevor Sie ein Plugin verwenden.
  • Halten Sie Ihre Themes und Plugins regelmäßig auf dem neuesten Stand, da Sicherheits-Patches die Bugs und Lücken beheben können und Ihre Website dadurch sicherer wird.

Fehler #5 Nicht aktualisierte installierte TYPO3 Themes & Plugins

Genau wie die TYPO3-Kernversion sollten auch Ihre Themes und Plugins regelmäßige Updates für Fehlerbehebungen und Sicherheits-Patches erhalten. Es ist Ihre Aufgabe, diese Updates zu testen und sie dann zu installieren, um Ihre TYPO3-Website sicher zu halten.

Tatsächlich sind anfällige Plugins und Themes für 51 Prozent aller gehackten Websites verantwortlich. Daher tun Sie gut daran, sie auf dem neuesten Stand zu halten, um Sicherheitsrisiken zu minimieren.


Fehler Nr. 6: Unsachgemäße Verwendung von Benutzerrollen 

TYPO3 hat viele Benutzerrollen - Administrator, Redakteur, Autor, Mitwirkender, Abonnent, und so weiter. Nicht alle müssen die gleichen Berechtigungen auf Ihrer Website haben. Wenn Sie Benutzer zu Ihrer Website hinzufügen, seien Sie vorsichtig mit den Rechten, die Sie ihnen im Backend gewähren. Erlauben Sie ihnen nur so viele Rechte, wie nötig sind, damit sie ihre Rollen auf der Website erfüllen können.

Die Gewährung eines uneingeschränkten Zugriffs für alle Benutzer kann es Hackern erleichtern, einzubrechen.

Der Zugriff auf die Editor-Ebene sollte nur vertrauenswürdigen Benutzern gewährt werden, und der Zugriff auf die Admin-Ebene kann, wenn überhaupt, nur sehr sparsam gewährt werden. Wenn Sie den Benutzern nur begrenzte Rechte gewähren und sie zur Verwendung starker Passwörter zwingen, können Sie den Zugriff auf das Backend weitgehend kontrollieren.


Fehler #7 Unbenutzte TYPO3 Themes und Plugins nicht löschen

Ungenutzte oder inaktive Erweiterungen und Themes auf Ihrer Website zu haben, ist ein großer TYPO3 Sicherheitsfehler. Einer der Hauptfehler, den die meisten Geschäftsinhaber nicht erkennen, ist das Horten von neuen Vorlagen, Erweiterungen oder Benutzerkonten. Natürlich müssen Sie immer wieder Plugins hinzufügen, je nach den geschäftlichen Anforderungen. Aber wenn Sie mit einem bestimmten Plugin fertig sind, deaktivieren Sie es nicht nur, sondern entfernen Sie es komplett von Ihrer TYPO3-Website.

Diese ungenutzten Plugins verbrauchen zwar weder RAM noch Bandbreite, aber sie verbrauchen Serverplatz. Dies beeinträchtigt die Leistung der Website und führt zu einer langsamen Geschwindigkeit.

Das Gleiche gilt auch für Themes und Benutzerkonten. Jedes ungenutzte Benutzerkonto ist eine Plattform für Brute-Force-Angriffe. Am besten ist es, wenn Ihre Website einfach ist und nicht mit diesen ungenutzten Themes und Plugins vollgestopft ist. Um das Risiko effektiv zu minimieren, ist es daher am besten, deren Anzahl zu reduzieren.

  • Gehen Sie alle Plugins durch und löschen Sie alle deaktivierten Plugins.
  • Das gleiche Verfahren gilt auch für Themes.
  • Gehen Sie nach dem Aufräumen noch einen Schritt weiter und führen Sie eine Entrümpelung durch.
  • Löschen Sie unveröffentlichte Beitragsentwürfe, unbenutzte Seiten und andere alte Beiträge, um die Größe der Datenbank Ihrer Website zu minimieren.
  • Löschen Sie alle nicht verwendeten Tags, Kategorien und Spam-Kommentare.
  • Gehen Sie zu Ihrer Medienbibliothek und löschen Sie identische oder nicht angehängte Bilder.

Löschen Sie gnadenlos alles Unnötige und Überflüssige und halten Sie Ihre Website gesund und risikofrei.


Fehler Nr. 8: Keine Wahl eines sicheren Hosts

Nicht alle Webhoster sind gleich, und die Wahl eines Webhosters allein nach dem Preis kann Sie auf lange Sicht viel mehr kosten als TYPO3-Sicherheitsfehler.

Die meisten Shared-Hosting-Umgebungen sind sicher, aber einige trennen die Benutzerkonten nicht richtig. Wenn die Benutzerkonten nicht ordnungsgemäß getrennt sind, kann ein einziges kompromittiertes Konto jede Website auf diesem gemeinsam genutzten Server zum Absturz bringen.

Ihr Hoster sollte darauf achten, die neuesten Sicherheitspatches zu installieren und andere wichtige Best Practices für die Sicherheit von Servern und Dateien zu befolgen.


Fehler Nr. 9: Schwache Passwörter verwenden

Dies ist einer der häufigsten Fehler im Web, und wir sprechen hier nicht nur über TYPO3-Seiten. Starke Passwörter sind die erste Verteidigungslinie gegen Brute-Force-Angriffe und kompromittierte Benutzerkonten, daher ist es eines der wichtigsten Dinge, die Sie berücksichtigen müssen, wenn Sie sicherstellen wollen, dass Ihre Website sicher ist.

Passwörter wie "password1234", "qwerty" und "admin" sind viel zu häufig und viel zu einfach. Es dauert nur Sekunden, um schwache Passwörter zu erzwingen oder manuell zu erraten, so dass Angreifer nur Sekunden brauchen, um in Ihr Konto zu gelangen.

Wir empfehlen dringend, die folgende Maßnahme zu ergreifen, um die Verwendung schwacher Passwörter zu unterbinden:

  • Erstellen Sie starke, komplexe Kennwörter:

Ihre Kennwörter sollten aus mehr als 10 Zeichen bestehen, mit mindestens einer Zahl, einem Symbol und einem Großbuchstaben.

  • Begrenzen Sie die Anzahl der Benutzer mit Administrationsrechten:

TYPO3 hat aus gutem Grund verschiedene Ebenen von Benutzerrollen. Nicht jeder sollte tun können, was er will. Um Ihre Website sicherer zu machen, ist es eine gute Idee, jedem nur so viel Rechte zu geben, wie er braucht.

  • Beliebte EXT:be_secure_pw installieren:

Diese Erweiterung gibt Ihnen die Möglichkeit, sichere Passwörter von Ihren BE-Anwendern zu erzwingen. Sie können die Passwortmuster wie z.B. Großbuchstaben, Ziffern, etc. und eine minimale Länge des Passworts festlegen. Nach der Aktivierung der Erweiterungen müssen Ihre BE-Benutzer die Muster und die Länge des Passworts anpassen, um ein neues zu speichern!


Fehler Nr. 10 Anmeldeversuche nicht einschränken

Man muss die E-Mail-Benachrichtigung für Login-Versuche aktivieren, die hier definierte E-Mail-Adresse erhält dann Benachrichtigungen, wenn ein Login-Versuch am Install Tool erfolgt. TYPO3 sendet auch eine Warnung, wenn innerhalb einer Stunde mehr als drei fehlgeschlagene Anmeldeversuche am Backend (unabhängig vom Benutzer) festgestellt werden.

# /typo3conf/LocalConfiguration.php

$GLOBALS['TYPO3_CONF_VARS']['BE']['warning_email_addr'] = ‘your@email.com’;
$GLOBALS['TYPO3_CONF_VARS']['BE']['warning_mode'] = ‘2’;

Go to Admin Tools > Settings > Configure Installation-Wide Options


Fehler #11 TYPO3 Sicherheitsberichte nicht prüfen

TYPO3 core bietet eine Funktion, um den Sicherheitsstatus Ihrer TYPO3-Instanz zu überprüfen.

Go to System > Reports > Status Report > Security

Sie sollten die von TYPO3 generierten Reports und Logs im Auge behalten. So können Sie Sicherheitsprobleme herausfinden, z.B. wenn Bots mehrfach versuchen, auf das TYPO3-Backend zuzugreifen.

Go to System > Log


Fehler #12 Qualität Ihrer TYPO3-Erweiterungen ignorieren

Danke an die Jungs von Marketing Factory, die die Setup-Automatisierung des TYPO3-Code-Review-Tools Sonarqube für TER (TYPO3 Extensions Repository) übernommen haben.

TYPO3-Code-Qualität prüfen

Schritt 1. Gehen Sie zu TER Sonarcube

Schritt 2. Suchen Sie Ihren Erweiterungsschlüssel in der oberen rechten Ecke

Schritt 3. Sie können die Qualität der Erweiterung mit möglichen Fehlern, Code-Smells, doppeltem Code usw. überprüfen,


Fazit

Wir sind alle Menschen und Fehler passieren. Manchmal werden wichtige Sicherheitsentscheidungen einfach übersehen oder vergessen. Daher ist es immer eine gute Idee, Ihre TYPO3-Website zu überprüfen und die aktuelle Sicherheitslage zu kontrollieren.

Wir hoffen, dass diese 12 TYPO3 Sicherheitsfehler Sie dazu ermutigen, Ihre Website zu überprüfen und sicherzustellen, dass Sie die Best Practices für eine sichere TYPO3 Umgebung befolgen.

Wenn Ihnen das zu viel wird, sollten Sie sich Hilfe von einem professionellen TYPO3-Support-Team holen. Sprechen Sie uns an und erfahren Sie, wie wir uns um Ihre Sicherheit, Wartung und Updates kümmern können.

Und wenn Sie Fragen oder Kommentare haben, schreiben Sie uns unten eine Zeile.

Write comment

Let's Talk / Discuss

Antwort innerhalb eines Arbeitstages, garantiert!

* These fields are required

Comments

No Comments

Wie behältst du den Überblick über dein TYPO3-Spiel?

Am besten melden Sie sich für unseren Newsletter mit einer monatlichen Dosis TYPO3 an.