1. Regelmäßige Updates
Stelle sicher, dass du immer die neueste Version von TYPO3 sowie aller installierten Extensions verwendest. Eine neue Version von TYPO3 kann entweder ein Major-Update (z. B. von Version 11.x.x auf Version 12.x.x), ein Minor-Update (z. B. von Version 12.4.x auf Version 12.5.x) oder eine Wartungs-/Bugfix-/Sicherheitsversion (z. B. von Version 12.7.11 auf 12.7.12) sein. Letzteres stellt ein absolutes „Must” dar. TYPO3-Updates enthalten oft Sicherheitspatches, die vor bekannten Schwachstellen schützen. Setze einen regelmäßigen Update-Plan auf, um sicherzustellen, dass deine Website immer auf dem neuesten Stand ist. Bleibe allgemein über Sicherheitswarnungen für TYPO3 und alle verwendeten Extensions auf dem Laufenden und reagiere schnell auf Sicherheitsupdates.
Da TYPO3 für ganz alte Versionen keine Sicherheitsupdates bereitstellt, ist es wichtig, sicherzustellen, dass die aktuelle Version von TYPO3, die du verwendest, sich im sogenannten Long-Term-Support (LTS)-Zeitraum befindet. Um jedoch auch für ältere TYPO3-Versionen Sicherheitsupdates zu erhalten, kannst du auf den Extended Long Term Support (ELTS) zurückgreifen. Durch Zahlung einer Gebühr ermöglicht dir ELTS, Updates für ältere TYPO3-Versionen zu erhalten. ELTS bietet zusätzliche drei Jahre Sicherheit, Konformität und Kompatibilität. Das gibt deinem Unternehmen mehr Zeit, sich auf die nächste Version von TYPO3 vorzubereiten.
2. Sichere Passwörter
Verwende starke, einzigartige Passwörter für alle TYPO3-Benutzerkonten, einschließlich des Hauptadministrators, SFTP-/SSH-Kontos und Datenbankzugangs. Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) sollte das Passwort zwischen acht und zwölf Zeichen lang sein und Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen verwenden.
3. Zugriffsbeschränkungen
Erschwere es potenziellen Angreifern, Zugriff zu erhalten, indem du die Standard-Admin-Login-Pfade und -Namen änderst. In TYPO3 kann man beispielsweise den Zugriff auf die TYPO3-Verwaltungsoberfläche (Backend) nur für autorisierte Benutzer mit speziellen IP-Adressen zulassen. Diese Methode ist einfach, aber höchst effizient. Vergewissere dich außerdem, dass Benutzerkonten nur die notwendigen Rechte besitzen. Vermeide die Verwendung von Administratorrechten, es sei denn, sie sind absolut erforderlich. Begrenze den Zugriff auf Dateien und Funktionen entsprechend den Aufgaben der Benutzer. Historisch bedingt sind Dateien (Assets wie PDF, Bilder, etc.) im fileadmin-Ordner immer ohne Zugriffsschutz verfügbar. Das lässt sich jedoch beispielsweise mit der beliebten Extension „fal_protect” lösen. Eine restriktive Zugriffspolitik ist entscheidend, um das Risiko von unbefugten Zugriffen zu minimieren!
4. Starke Authentifizierungsmethoden
Verwende starke Authentifizierungsmethoden für den Anmeldeprozess, wie z.B. die Multi-Faktor-Authentifizierung (MFA), um die Sicherheit von Benutzerkonten zu erhöhen. TYPO3 bietet diese Funktion seit der Version 11 an. Dabei kann ein One-Time-Password (OTP) zusammen mit dem regulären Passwort generiert werden. Das OTP ist 30 Sekunden lang gültig und muss während des Anmeldeprozesses verwendet werden. Eine gängige App für die Erzeugung von Einmalpasswörtern ist der Google Authenticator. Nutzer können diese App auf einem zweiten Gerät, wie zum Beispiel einem Smartphone, installieren und ihren TYPO3-Account entsprechend einrichten, um diese zusätzliche Sicherheitsstufe zu aktivieren.
5. Datensicherung
Mache regelmäßige Backups deiner TYPO3-Website und stelle sicher, dass du sie im Falle eines Angriffs oder Datenverlusts schnell wiederherstellen kannst. Für die Wiederherstellung eines TYPO3-Projektes ist üblicherweise ein Backup des Verzeichnisses „fileadmin” sowie der Datenbank erforderlich. Konfiguration und Erweiterungen sollten sich in einem GIT-Repository befinden. Damit ist ein Backup des TYPO3-Quellcodes und der genutzten Erweiterungen normalerweise nicht nötig. Nach der Erstellung eines Backups sollte die Vollständigkeit und erfolgreiche Wiederherstellung regelmäßig überprüft werden. Idealerweise wird ein solcher Test auf einem anderen Server durchgeführt. Das heißt, das Backup wird auf einem anderen Server wiederhergestellt und anschließend wird die Website auf Fehler oder fehlende Daten geprüft. Regelmäßige Wiederherstellungsprüfungen sind wichtig, um sicherzustellen, dass das Backup-Konzept im Ernstfall zuverlässig funktioniert.
6. Sicherheits-Extensions
Nutze TYPO3-Sicherheits-Extensions, die zusätzlichen Schutz bieten, wie zum Beispiel „fal_protect” oder „t3am” (besonders für Agenturen interessant). Überprüfe regelmäßig die TYPO3 Extension Repository (TER) nach neuen Sicherheitserweiterungen und integriere sie in deine Website.
7. Pentesting & Code-Analyse
Führe regelmäßige Penetrationstests durch, um potenzielle Schwachstellen zu identifizieren. Engagiere einen erfahrenen Ethical Hacker, um gezielte Angriffe zu simulieren und Sicherheitslücken aufzudecken, bevor sie von böswilligen Akteuren ausgenutzt werden können.
Analysiere deinen Website-Code statisch und dynamisch, um unsicheren Code zu identifizieren und zu beheben. Achte dabei besonders auf die Einhaltung der Sicherheitsrichtlinien von TYPO3. Überprüfe alle Erweiterungen und benutzerdefinierten Entwicklungen auf mögliche Sicherheitslücken, da diese oft potenzielle Einfallstore für Hacker darstellen.
Führe diese Aktivitäten regelmäßig durch, besonders nach größeren Code-Änderungen oder der Implementierung neuer Funktionen. Durch proaktive Sicherheitsmaßnahmen kannst du potenzielle Schwachstellen frühzeitig erkennen und beheben, was die Widerstandsfähigkeit deiner TYPO3-Website gegenüber Hackerangriffen erheblich stärkt.
8. Firewall
Implementiere auf alle aus dem Internet erreichbaren Server, Services und Netzwerke eine Firewall, um unerwünschte Zugriffe und Angriffe zu blockieren. In dieser sollten grundsätzlich alle Zugriffe verworfen werden. Zugriffe sollten nur für die unbedingt nötigen Ports freigeschaltet werden. In Bezug auf einen Webserver wäre das dann Port 80 und 443. Zugriffe, die nur für spezielle Benutzer nötig sind (z.B. Administratoren oder Entwickler) sollten zumindest auf die eingehende IP-Adresse beschränkt werden, damit unbekannte IP-Adressen keinen Zugriff bekommen können. Zusätzlich kannst du auch eine Web Application Firewall (WAF) verwenden. Mit dieser ist es auch möglich, DoS und DDoS Angriffe abzuwehren oder wenigstens abzuschwächen. Konfiguriere die Firewall so, dass sie verdächtige Aktionen erkennt und blockiert. Angriffe wie etwa SQL-Injection können damit effektiv unterbunden werden.
9. Überwachung
Überwache die Website auf verdächtige und außergewöhnliche Aktivitäten. Dies kann durch die Überwachung der Log-Dateien, zusätzlicher Sicherheitsplugins oder externer Überwachungssysteme wie zum Beispiel Icinga, Nagios oder Prometheus erfolgen. Unregelmäßigkeiten könnten auf einen Angriff hinweisen. Setze Alarme, um sofort benachrichtigt zu werden, wenn ungewöhnliche Aktivitäten erkannt werden.
10. Schulung & Sensibilisierung
Entwickle und implementiere klare Sicherheitsrichtlinien für die Website und sorge dafür, dass alle Benutzer sie verstehen und befolgen. Regelmäßige Schulungen und Auffrischungskurse können dazu beitragen, das Sicherheitsbewusstsein aufrechtzuerhalten.
Ermutige Benutzer dazu, verdächtige Aktivitäten zu melden. So können sie beispielsweise per E-Mail informiert werden, wenn sich jemand mit ihren Anmeldedaten in ihr Konto einloggt. Diese Funktion lässt sich in den Benutzereinstellungen aktivieren. Nach der Aktivierung erhalten sie bei jeder Anmeldung mit ihren Zugangsdaten eine E-Mail-Benachrichtigung und werden so sofort benachrichtigt, falls jemand unbefugt auf ihr Konto zugreift.
Durch die konsequente Umsetzung dieser 10 Maßnahmen kannst du die Sicherheit deiner TYPO3-Website erheblich verbessern und das Risiko von Hackerangriffen minimieren. Regelmäßige Sicherheitsprüfungen sind wichtig, um potenzielle Schwachstellen zu identifizieren und zu beheben. Durch externe Sicherheitsprüfungen kannst du zusätzliche Perspektiven und Erkenntnisse gewinnen. Vor allem solltest du immer auf dem neuesten Stand bezüglich Sicherheitsentwicklungen bleiben und deine Sicherheitsstrategie entsprechend anpassen.