Zum Inhalt springen

Sichern Sie Ihre TYPO3-Website ab!

Immer wieder haben wir es mit gehackten TYPO3-Websites zu tun. Einem Angreifer gelingt es, sich am TYPO3-Backend anzumelden, und hier kann er dann allerhand Schabernack treiben, von der Änderung der Inhalte, über die Einschleusung von weiterem Schadcode bis hin zur kompletten Löschung der Seite.

Oder ein Angreifer späht FTP- oder SSH-Zugangsdaten aus und erhält so auch kompletten Zugriff auf die Website.

Immer wieder sehen wir auch, das TYPO3-Benutzer mit dem Standardbenutzernamen "admin" und einem unsicheren Passwort arbeiten. Das ist geradezu eine Einladung für Hacker!

Deshalb möchten wir hier noch einmal zu ein paar grundlegenden Sicherheitsmaßnahmen raten:

  • Ändern Sie den Benutzernamen des "admin"-Kontos
  • Verwenden Sie sichere Passwörter
  • Lassen Sie sich über Backend-Anmeldungen informieren
  • "erzwingen" Sie sichere Passwörter aller Backend-Benutzer über eine Extension
  • Lassen Sie die IP-Adressen eines Users nach mehreren fehlgeschlagenen Login-Versuchen für einen gewissen Zeitraum sperren

Die letzten beiden Maßnahmen werden durch zwei Extensions realisiert (be_secure_pw (ab TYPO3 6.0.11) und sysfire_failban (ab TYPO3 4.5)) und gehen schon relativ weit. Wer aber wirklich Wert auf die Sicherheit seiner TYPO3-Website legt, sollte sich diese Maßnahmen einmal genauer anschauen.

Außerdem sollten Sie noch folgendes beachten:

  • Speichern Sie Ihre Passwörter nicht im Klartext auf Ihrem Computer
  • Vermeiden Sie, Passwörter im Browser zu speichern
  • Nutzen Sie ggf. einen Passwortmanager wie 1Password, um Ihre Passwörter sicher zu verwalten
  • Überprüfen Sie Ihren PC regelmäßig auf Viren und Trojaner, das Ausspähen von FTP-Zugangsdaten kommt öfter vor, als Sie glauben.

Vielleicht denken Sie, das Ihre Website nicht Opfer eines Angriffs werden kann, weil die Seite relativ klein und unbekannt ist. Das ist aber leider ein Trugschluss. Hackern geht es oft nicht darum, nur bekannte Seiten zu hacken. Und viele Angriffe laufen auch automatisiert ab, so dass einfach jede TYPO3-Seite, die gefunden wird, als Ziel dient. Das gleiche gilt natürlich auch für andere CMS.

Investieren Sie also lieber ein paar Minuten in die Sicherheit Ihrer Website, denn ein erstmal entstandender Schaden verursacht wesentlich mehr Zeit- und Kostenaufwand!