Zum Inhalt wechseln

Suchergebnisse

Es gibt 2 Ergebnisse mit dem Tag Sicherheit

Sortiert nach                Sortierung  
  1. Schützen Sie Ihre TYPO3 Website vor Angriffen - Teil I

    In den letzten Jahren ist das Thema Sicherheit mehr in den Fokus gerutscht. Nicht zuletzt als die Gruppe "Anonymous" große Firmen bis hin zur CIA hacken konnte. Bei den Hackern selbst können verschiedene Motive zu Grunde liegen, warum Sie einen Angriff ausführen. Diese Motive reichen von Spaß und Freizeit bis hin zu finanziellen Interessen. Deshalb sollte jeder Internetseitenbetreiber, egal ob die Website auf WordPress, TYPO3, Joomla oder einem anderen CMS läuft, auf Angriffe vorbereitet sein. Hierzu können Sie sich an ein paar einfach Grundregeln halten, die für jede Website zutreffen. Bei größeren Seiten muss dort natürlich mehr Aufwand betrieben werden, als bei der Homepage des Sportvereins. Generell gilt eine Website als sicher, wenn Integrität, Erreichbarkeit und Vertraulichkeit gewährleistet sind.

    Eingefügtes Bild

    Grundregel 1 - Updates
    Halten Sie die Updates des TYPO3 CMS System immer auf den aktuellsten Stand. So können Sie bekannt gewordene Sicherheitsrisiken schnell beseitigen. Als Informationsquelle sollten Sie sich den kostenlosen Newsletter oder RSS-Feed abonnieren. Neben dem System der Website ist natürlich ein aktueller Virenschutz auf Ihren Computer oder Notebook unumgänglich, da gerade dort der "Virenherd" am größten ist.

    Grundregel 2 - Backups
    Backups von der Datenbank oder dem kompletten Webspace sind unumgänglich. Diese sollten Sie in regelmäßigen Abständen anfertigen. Nicht nur wegen dem Angriffsrisiko von außen, sondern auch um bei Programmierungen oder Erweiterungen schnell auf einen funktionierenden Stand zurückgehen zu können.  Achten Sie aber darauf, dass die Backup Dateien nicht auf dem gleichen Webspace wie Ihre Homepage liegen.
    Mein Tipp: Sichern Sie sich das Backup lokal auf eine externe Festplatte und zusätzlich auf einen anderen Webspace, damit Sie einen Datenverlust ausschließen können.
    In welchen Abständen Sie Backups erzeugen sollten, liegt ganz an Ihrem Projekt. Gerade bei einem Webshop mit Kundendaten empfiehlt sich ein tägliches Datenbank Backup und eine wöchentliche  Vollsicherung des Webspaces. Bei eher kleinen Blogs würde ich vor jeder Softwareänderung eine Sicherung erstellen.

    Grundregel 3 - Log-Files
    Es ist sehr ratsam alle Zugriffe auf die Seite und Fehler zu loggen (protokollieren). Diese Log-Files dienen zur Auswertung der Angriffe und können auch für die Analyse von Besucher Statistiken hergenommen werden.  Aktivieren Sie deshalb in den PHP-Einstellungen auch das Aufzeichnen von Fehlern.

    PHP-Fehler aufzeichnen

    log_errors = On
    error_log = /#absoluter Pfad zur Datei#/php-error.log

    TYPO3-Fehler ins PHP-Log  aufzeichnen

    $TYPO3_CONF_VARS['SYS']['systemLog'] = 'error_log';
    $TYPO3_CONF_VARS['SYS']['systemLogLevel'] = '2';

    Denken Sie auch daran, diese Log-Files in einem bestimmten Turnus zu überwachen. Eine Aktivierung bringt sonst nichts, außer weniger Speicherplatz.

    Grundregel 4 - Monitoring
    Für kleine Websites ist es ausreichend immer mal die Log-Files durchzusehen. Leider wird diese "nervige Arbeit" aber gerne verdrängt oder gerät in Vergessenheit. Hierzu wurden Programme (wie z.B. Nagios) entwickelt, die Ihre angeschlossenen Webserver überwacht und Sie bei Fehler per E-Mail oder SMS benachrichtigt. Falls Sie eine Überwachung nur eine ein oder zwei Websites wünschen würde ich Ihnen eher dem Nutzung eine der vielen kostenlosen Online-Dienste empfehlen. (z.B. monitor.us)


    Lesen Sie mehr über das Absichern von bereits befallenen Webseiten im 2. Teildieser Artikelserie.

  2. Schützen Sie Ihre TYPO3 Website vor Angriffen - Teil II

    Was tun, wenn Ihre Website manipuliert wurde?
    Falls Ihre Homepage nun immer mehr bei Suchergebnissen von dubiosen Medikamenten oder ähnlichem gefunden wird, gibt es auch vier einfache Schritte um dies wieder gerade zu rücken.

    1. Schritt: Erkennen Sie den Angriff
    Im Falle der Manipulation durch das Setzen von Links auf Ihre Seite, sollten Sie Ihr Glück in den Log-Files suchen. Bis der Angreifer die URL erfolgreich gesetzt hat, vergehen meist ein paar Versuche die als Fehler geloggt werden. Bei der Wahl einer Software oder eines Online Dienstes zu Überwachung Ihrer Website, werden Sie natürlich schneller auf Fehler hingewiesen, als bei manuellen periodischen Checks. Ein weiter Hinweis kann eine Veränderung der Anwendungen auf der Website sein. Falls Ihnen das Webprogramm komisch vorkommt, sollten Sie unbedingt prüfen woran es liegt.

    2. Schritt: Wartungsmodus
    Sollten Sie einen Hackerangriff ausgemacht haben, sollten Sie das Webprojekt so schnell wie möglich offline oder in den Wartungsmodus setzen. Falls Sie den Webserver zu Ihrer Homepage nicht selbst betreuen, empfiehlt sich das Umleiten auf eine Wartungsseite und das Sperren von Besuchern über die .htaccess-Datei:

    # Zugriff nur von der IP-Adresse 10.10.10.10
    Order deny,allow
    Deny from all
    Allow from 10.10.10.10
    

    3. Schritt: Analyse
    Erst nachdem die Website offline ist, sollten Sie mit der Analyse beginnen. Hier ist es nie verkehrt die kompletten Dateien per Anti-Virenprogramm zu scannen. Danach steht das Auswerten der Logs (kurz für Log-Files) an und die Analyse, welches "Schlupfloch" der Angreifer genutzt haben könnte. Dies kann an den unterschiedlichsten Stellen geschehen sein - zum Beispiel: Zugriff auf den Webspace via FTP durch ein unsicheres Passwort oder auch durch eine Sicherheitslücke in einer TYPO3 Extension. Sollten Sie auf dem Gebiet nicht so bewandert sein, würde ich Ihnen raten die Analyse an Dritte weiterzugeben und dies genau und sorgfältig prüfen zu lassen. Es bringt Ihnen nichts, wenn Sie die Seite wieder online nehmen und der Angreifer mit Hilfe derselben Lücke erneut zuschlagen kann.

    4. Schritt: Reinigung
    Sobald Sie den Fehler oder den Schadcode gefunden haben geht es darum diesen zu bereinigen. Vergleichen Sie hier auch die Backup Dateien, vielleicht können Sie sich durch das Einspielen des Backups und das Schließen der Sicherheitslücke, viel Zeit und Geld sparen. Sollte das Backup nicht weiterhelfen, würde ich es auch zu Experten geben, die Ihre Daten komplett scannen und bereinigen können.

    Weitere Informationen zu diesem Thema finden Sie im TYPO3 Security Cookbook.