Zum Inhalt wechseln

Suchergebnisse

Es gibt 3 Ergebnisse mit dem Tag Typo 3

Sortiert nach                Sortierung  
  1. Schützen Sie Ihre TYPO3 Website vor Angriffen - Teil II

    Was tun, wenn Ihre Website manipuliert wurde?
    Falls Ihre Homepage nun immer mehr bei Suchergebnissen von dubiosen Medikamenten oder ähnlichem gefunden wird, gibt es auch vier einfache Schritte um dies wieder gerade zu rücken.

    1. Schritt: Erkennen Sie den Angriff
    Im Falle der Manipulation durch das Setzen von Links auf Ihre Seite, sollten Sie Ihr Glück in den Log-Files suchen. Bis der Angreifer die URL erfolgreich gesetzt hat, vergehen meist ein paar Versuche die als Fehler geloggt werden. Bei der Wahl einer Software oder eines Online Dienstes zu Überwachung Ihrer Website, werden Sie natürlich schneller auf Fehler hingewiesen, als bei manuellen periodischen Checks. Ein weiter Hinweis kann eine Veränderung der Anwendungen auf der Website sein. Falls Ihnen das Webprogramm komisch vorkommt, sollten Sie unbedingt prüfen woran es liegt.

    2. Schritt: Wartungsmodus
    Sollten Sie einen Hackerangriff ausgemacht haben, sollten Sie das Webprojekt so schnell wie möglich offline oder in den Wartungsmodus setzen. Falls Sie den Webserver zu Ihrer Homepage nicht selbst betreuen, empfiehlt sich das Umleiten auf eine Wartungsseite und das Sperren von Besuchern über die .htaccess-Datei:

    # Zugriff nur von der IP-Adresse 10.10.10.10
    Order deny,allow
    Deny from all
    Allow from 10.10.10.10
    

    3. Schritt: Analyse
    Erst nachdem die Website offline ist, sollten Sie mit der Analyse beginnen. Hier ist es nie verkehrt die kompletten Dateien per Anti-Virenprogramm zu scannen. Danach steht das Auswerten der Logs (kurz für Log-Files) an und die Analyse, welches "Schlupfloch" der Angreifer genutzt haben könnte. Dies kann an den unterschiedlichsten Stellen geschehen sein - zum Beispiel: Zugriff auf den Webspace via FTP durch ein unsicheres Passwort oder auch durch eine Sicherheitslücke in einer TYPO3 Extension. Sollten Sie auf dem Gebiet nicht so bewandert sein, würde ich Ihnen raten die Analyse an Dritte weiterzugeben und dies genau und sorgfältig prüfen zu lassen. Es bringt Ihnen nichts, wenn Sie die Seite wieder online nehmen und der Angreifer mit Hilfe derselben Lücke erneut zuschlagen kann.

    4. Schritt: Reinigung
    Sobald Sie den Fehler oder den Schadcode gefunden haben geht es darum diesen zu bereinigen. Vergleichen Sie hier auch die Backup Dateien, vielleicht können Sie sich durch das Einspielen des Backups und das Schließen der Sicherheitslücke, viel Zeit und Geld sparen. Sollte das Backup nicht weiterhelfen, würde ich es auch zu Experten geben, die Ihre Daten komplett scannen und bereinigen können.

    Weitere Informationen zu diesem Thema finden Sie im TYPO3 Security Cookbook.

  2. Schützen Sie Ihre TYPO3 Website vor Angriffen - Teil I

    In den letzten Jahren ist das Thema Sicherheit mehr in den Fokus gerutscht. Nicht zuletzt als die Gruppe "Anonymous" große Firmen bis hin zur CIA hacken konnte. Bei den Hackern selbst können verschiedene Motive zu Grunde liegen, warum Sie einen Angriff ausführen. Diese Motive reichen von Spaß und Freizeit bis hin zu finanziellen Interessen. Deshalb sollte jeder Internetseitenbetreiber, egal ob die Website auf WordPress, TYPO3, Joomla oder einem anderen CMS läuft, auf Angriffe vorbereitet sein. Hierzu können Sie sich an ein paar einfach Grundregeln halten, die für jede Website zutreffen. Bei größeren Seiten muss dort natürlich mehr Aufwand betrieben werden, als bei der Homepage des Sportvereins. Generell gilt eine Website als sicher, wenn Integrität, Erreichbarkeit und Vertraulichkeit gewährleistet sind.

    Eingefügtes Bild

    Grundregel 1 - Updates
    Halten Sie die Updates des TYPO3 CMS System immer auf den aktuellsten Stand. So können Sie bekannt gewordene Sicherheitsrisiken schnell beseitigen. Als Informationsquelle sollten Sie sich den kostenlosen Newsletter oder RSS-Feed abonnieren. Neben dem System der Website ist natürlich ein aktueller Virenschutz auf Ihren Computer oder Notebook unumgänglich, da gerade dort der "Virenherd" am größten ist.

    Grundregel 2 - Backups
    Backups von der Datenbank oder dem kompletten Webspace sind unumgänglich. Diese sollten Sie in regelmäßigen Abständen anfertigen. Nicht nur wegen dem Angriffsrisiko von außen, sondern auch um bei Programmierungen oder Erweiterungen schnell auf einen funktionierenden Stand zurückgehen zu können.  Achten Sie aber darauf, dass die Backup Dateien nicht auf dem gleichen Webspace wie Ihre Homepage liegen.
    Mein Tipp: Sichern Sie sich das Backup lokal auf eine externe Festplatte und zusätzlich auf einen anderen Webspace, damit Sie einen Datenverlust ausschließen können.
    In welchen Abständen Sie Backups erzeugen sollten, liegt ganz an Ihrem Projekt. Gerade bei einem Webshop mit Kundendaten empfiehlt sich ein tägliches Datenbank Backup und eine wöchentliche  Vollsicherung des Webspaces. Bei eher kleinen Blogs würde ich vor jeder Softwareänderung eine Sicherung erstellen.

    Grundregel 3 - Log-Files
    Es ist sehr ratsam alle Zugriffe auf die Seite und Fehler zu loggen (protokollieren). Diese Log-Files dienen zur Auswertung der Angriffe und können auch für die Analyse von Besucher Statistiken hergenommen werden.  Aktivieren Sie deshalb in den PHP-Einstellungen auch das Aufzeichnen von Fehlern.

    PHP-Fehler aufzeichnen

    log_errors = On
    error_log = /#absoluter Pfad zur Datei#/php-error.log

    TYPO3-Fehler ins PHP-Log  aufzeichnen

    $TYPO3_CONF_VARS['SYS']['systemLog'] = 'error_log';
    $TYPO3_CONF_VARS['SYS']['systemLogLevel'] = '2';

    Denken Sie auch daran, diese Log-Files in einem bestimmten Turnus zu überwachen. Eine Aktivierung bringt sonst nichts, außer weniger Speicherplatz.

    Grundregel 4 - Monitoring
    Für kleine Websites ist es ausreichend immer mal die Log-Files durchzusehen. Leider wird diese "nervige Arbeit" aber gerne verdrängt oder gerät in Vergessenheit. Hierzu wurden Programme (wie z.B. Nagios) entwickelt, die Ihre angeschlossenen Webserver überwacht und Sie bei Fehler per E-Mail oder SMS benachrichtigt. Falls Sie eine Überwachung nur eine ein oder zwei Websites wünschen würde ich Ihnen eher dem Nutzung eine der vielen kostenlosen Online-Dienste empfehlen. (z.B. monitor.us)


    Lesen Sie mehr über das Absichern von bereits befallenen Webseiten im 2. Teildieser Artikelserie.

  3. Social Network Integration für TYPO3

    Twitter-Feed
    Um seinen Twitter-Feed in Form eines Stream in die eigene Homepage einzubauen, sollte man die Erweiterung "incore_twitter" nutzen. Es lassen sich mehrere Twitter-Accounts abbilden und selbst ein Filter nach einem Hashtag ist einstellbar.

    Social Network Sammlung
    Wollen Sie hingegen mehrere Funktionen der Social Networks nutzen empfiehlt es sogenannte Sammelerweiterungen zu installieren. Dort sind mehr Funktionen und Möglichkeiten integriert, als nur die Share Buttons. Die Erweiterung "rl_socialconnect" kann neben dem meist verbreiteten Facebook und Twitter auch Flickr und Youtube. So können Sie zusätzlich ganze Bilder-Galerien und Videos schnell und einfach integrieren.
    Mehr Funktionen kann auch die Erweiterung "facebook_socialplugins". Diese Extension empfiehlt sich aber nur dann, wenn Sie ausschließlich auf eine Facebook-Integration gehen, da hier keine anderen sozialen Netze unterstützt werden. Nach der Installation können Sie das Activity Feed, Kommentare, Login- und Like-Button, etc. auf Ihre Website einbinden.

    News via TYPO3 posten
    Eine sehr hilfreiche Erweiterung ist "pxa_newstofb", mit der Sie Ihre veröffentliche News auf der Homepage direkt auch auf Ihrer Facebook-Fanpage posten können. Durch die Implementierung der Extension wird bei den tt_news-Datensätzen ein weiteres Feld hinzugefügt, mit dem Sie entscheiden können ob der News Text auch bei Facebook erscheinen soll. Allein eine Facebook App-ID wird benötigt.
    Das funktioniert natürlich auch für den Mikroblogging-Dienst Twitter. Beachten müssen Sie nur, dass die Tweets auf 140 Zeichen beschränkt sind und der Link auch noch hineinpassen muss. Ich verwende dafür die Erweiterung "pmkttnewstwitter".

    Single-Sign-On
    Wenn man von Single-Sign-On spricht, meint man vereinfacht, das Einloggen an verschiedenen Systemen oder Accounts mit nur einem Login. Diese Technik breitet sich auch immer mehr im Internet durch Facebook Funktion "Facebook Connect" aus. Sollten Sie auf Ihrer Website einen Mitgliederbereich anbieten könnten Sie mit der Erweiterung "ajado_facebook" die Registrierung mit dem Facebook Login komplett ersetzen. Besonders empfehlenswert ist das aus meiner Sicht aber nicht, da Sie sonst die Besucher ohne Facebook komplett ausschließen. Bei der Registrierung auf Ihrer Homepage würde ich Facebook Connect optional anbieten, aber nicht ausschließlich.

    Datenschutz
    Bezüglich des Datenschutzes möchte ich aber noch einmal explizit darauf hinweisen, dass das Einbinden von Like- oder Tweet-Buttons immer noch als bedenklich angesehen wird, da die Social Networks damit schon Userdaten sammeln können. Sichern Sie sich zumindest mit einer Datenschutzerklärung für Facebook, Twitter, Google+ und auch Google Analytics im Impressum Ihrer Website ab.