TYPO3 Sicherheit mit dem Caretaker

TYPO3 ist eins der meistgenutzten CMS (Content-Manangement-Systeme) und zugleich gilt es als eines der sichersten. Dennoch fragen sich einige Kunden manchmal warum denn nun die Sicherheit und Systemgesundheit dieses Sytems im Auge behalten werden sollte. Für diese Zwecke gibt es zum Glück den TYPO3 Caretaker.

Das System TYPO3 – Sicherheit wird großgeschrieben!

Inzwischen existiert die Version TYPO3 Version 4.5 LTS (Long Term Support) die sich in Unterversionen aufgliedert. Aktuell ist hier die Version (Stand Juli 2011) 4.5.3 .
Parallel laufen aber noch 3 verschiedene Major Versionen (Version 4.2.x/4.3.x/4.4.x) die alle auf einem aktuellen Sicherheitsstandard sind.
Lediglich für die Version 4.2 ist das Versionsende erreicht. Für diese Version werden keine Sicherheitsupdates mehr herausgegeben.

Die Systemgesundheit im Auge behalten
Ungeübte Benutzer verlieren hier öfter mal den Überblick, daher bietet sich eine professionelle Kontrolle der TYPO3 Webseite (und Wartung) an. Für Benutzer der 4.2.x Version sollte demnach in Kürze ein Update auf eine nächste höhere Version erfolgen um den bestmöglichen Standard zu haben. Das Update der TYPO3 Version und deren Extensions läßt sich am besten von einer professionellen Agentur für TYPO3 durchführen. So ist die Funktionstüchtigkeit gewährleistet.

TYPO3 besteht aus dem sogenannten Core und vielen Extensions  (Erweiterungen) – je nach Umfang der Seiten aus manchmal mehr als 20 verschiedenen. Wie bei jedem datenbankbasierten System sind auch hier manchmal Updates notwendig.
Bei den Extensions ist ein weiteres Problem, dass hier mehrere hundert Entwickler diese Erweiterungen kostenfrei zur Verfügung stellen. Nicht alle Entwickler verfolgen den aktuellen Status der Sicherheit in TYPO3 und nicht alle besitzen genug Know-How um etwaige Sicherheitslücken zu beheben.
Überwacht wird ein Großteil der TYPO3 Versionen und deren Extensions vom TYPO3 Security Team. Und genau hier setzt der Caretaker an. Bei der Vielzahl an Extensions (derzeit weit mehr als 5000 Stck.) ist es ein sehr komplexer Ablauf alle verwendeten Extensions im Auge zu behalten. Existiert nun eine Sicherheitslücke im Core oder in einer Extension wir diese bekanntgeben. Gleichzeitig wird nun ein TYPO3 Update angeboten – meist binnen weniger Stunden.
Bei den Extensions ist das ein wenig anders. Ist sichergestellt das der Entwickler binnen kürzester zeit ein Update zu Verfügung stellen kann, kann auch hier upgedatet werden. Falls dies nicht der Fall ist, wird die Extension ggf. sogar komplett aus dem TER ( TYPO3 Extension Repository) entfernt.

Immer aktuell sein

Nehmen wir einmal an man hat sich im Jahr 2009 eine TYPO3 Webseite von einer Agentur erstellen lassen, mit der man aber heute keinen Kontakt mehr pflegt. Oder man hat eine Seite mit mehr als 20 Extensions im Einsatz (oder gar mehrere Umternehmensseiten).
Wie will man dies alles im Auge behalten? Sicherlich kann man jeden Montag das Backend öffnen und nachsehen ob alles OK ist. Bei den Extensions zieht man sich das aktuelle Verzeichnis aus dem TER und gleicht ab ob, alle aktuell sind. Dies alles macht der Caretaker automatisch.

Was wird gecheckt?

  • Ist die eingesetzte TYPO3 Version noch aktuell, gibt es Sicherheits-Updates?
  • Gibt es Sicherheitslücken in eingesetzten Erweiterungen?
  • Erreichbarkeit der Website PING-Test / HTTP
  • Auffinden unerwünschter Backend-Benutzer (z.B. ehemalige Mitarbeiter)

Wie funktioniert es?

Der Caretaker Server fragt in regelmäßigen Abständen den aktuellen Stand der TYPO3-Website ab, gleicht die Daten mit den Meldungen des TYPO3 Security Teams ab und führt weitere Tests durch. Als Authentifizierung dienen individuell generierte Schlüssel.

Bei vorliegen von kritischen Fehlern wird eine E-Mail Benachrichtigung verschickt, die Daten werden archiviert.

Der Nutzen des Caretakers
Bedenkt man den den Aufwand den man hat, wenn man die Sicheit selber im Auge behalten will, lohnt sich die Betreuung durch eine Agentur allemal. Bereits ab 5.- EUR im Monat gibt es Möglichkeiten diesen Service zu nutzen.
Hinzu kommt noch der Faktor der Sicherheit. Ist eine Sicherheitslücke potentiell bekannt, ist es auch theoretisch möglich, dass ein Angreifer in die Webseite eindringt und Schaden verursacht.

Ich wünsche allen TYPO3 Nutzers stets ein sicheres System und hoffe ich konnte auch unwissenden Nutzern ein wenig Licht ins dunkle bringen.

Mehr Informationen zum TYPO3 Caretaker:
TYPO3 Caretaker Website

Agentur für TYPO3 Updateservice und Caretaker Monitoring:
Ideenwerft Laboe
Ideenwerft Caretaker

Keine Kommentare »

Michael am Juli 18th 2011 in Allgemein, TYPO3

Trackback URI | Comments RSS

Kommentar schreiben