![[Translate to German:] The architecture of public/typo3temp](/blog/fileadmin/user_upload/T3Terminal_Blog/TYPO3_Securities/architecture.png "[Translate to German:] The architecture of public/typo3temp")
Alles über TYPO3-Backend-Zugriff, Benutzerrollen & Berechtigungen
Security
Kurzanleitung zur Erhöhung der TYPO3-Sicherheit
Die Geschichte sagt, dass TYPO3 eines der sichersten OpenSource CMS ist. Aber Sicherheit ist eine nie endende Aufgabe. In diesem Artikel möchte ich Helmut's populäres "TYPO3 Secure Web"-Paket vorstellen, um Ihre TYPO3-Website sicherer zu machen.
FYI. This blog is translated by machine. Please ignore any spelling and grammar errors; sorry for such inconvenience. We appreciate your understanding and support.
Die Geschichte sagt, dass TYPO3 eines der sichersten OpenSource CMS ist. Aber Sicherheit ist eine nie endende Aufgabe. In diesem Artikel möchte ich Helmut's populäres "TYPO3 Secure Web"-Paket vorstellen, um Ihre TYPO3-Website sicherer zu machen.
Wir alle sehen, dass es so wichtig ist, die TYPO3-Sicherheit Ihrer Website zu gewährleisten. Google führt täglich mehr als 10.000 Websites auf eine schwarze Liste für Malware und ca. 50.000 für Phishing.
Glücklicherweise hat TYPO3 eine bessere integrierte Firewall-Sicherheit, da die Kernarchitektur von TYPO3 robust ist. Aber die Sicherheit von TYPO3 nimmt kein Ende. Die TYPO3-Community nimmt Sicherheit und Leistung immer ernst und entwickelt immer etwas, das die Sicherheit verbessert.
"Wenn Sie mehr Zeit mit Kaffee als mit IT-Sicherheit verbringen, werden Sie gehackt. Mehr noch, Sie verdienen es, gehackt zu werden.
- Richard Clarke"
TYPO3 - das sicherste OpenSource-CMS
Laut dem Bericht von Sucuri.net ist TYPO3 das am wenigsten gehackte OpenSource CMS der Welt.
Warum Sicherheit bei TYPO3?
Hier ist der Statistikbericht, der zeigt, warum die Sicherheit von Websites so wichtig ist.
Quelle
Eine gehackte TYPO3-Website kann Ihrem Geschäftseinkommen und Ihrem Bekanntheitsgrad echten Schaden zufügen. Hacker können Kundendaten und Passwörter stehlen, schädliche Programme einführen, Informationen verkaufen und sogar Malware an ihre Kunden weitergeben.
Am auffälligsten ist, dass Sie unter Umständen Lösegeld an Hacker zahlen müssen, nur um den Zugang zu Ihrer eigenen Website wiederherzustellen.
Wie sieht die ideale Code-Struktur von TYPO3 aus?
Eine normale komponistenbasierte Installation enthält nur einen "öffentlichen" Ordner. Stellen Sie sich unterhalb der TYPO3-Architektur "private" und "öffentliche" Ordner vor, um die Sicherheitsstufe von TYPO3 hinzuzufügen.
| öffentlich | die nur Assets wie css/js/images etc. für die öffentlichen Benutzer des Webs enthält. |
| privat | die den Typo3-Kern sysext, typo3conf ext usw. enthält, |
| var | die Cache, Protokoll, Sitzung usw. enthält, |
| Anbieter | die sowohl das CMS als auch die Anbieter der Erweiterung enthält. |
Beifall für Helmut Hummel
Klingt faszinierend, nicht wahr? Wir danken Helmut für seinen mehr als 10 Jahre währenden Beitrag und sein Engagement für die TYPO3-Community - insbesondere für die Sicherheit von TYPO3.
Ich würde Ihnen gerne sein außergewöhnliches TYPO3 Secure Web Bundle vorstellen https://github.com/helhum/typo3-secure-web
Es ist eine ideale Gelegenheit, unsere "große Wertschätzung für Helmut" anzuerkennen und zum Ausdruck zu bringen, indem wir mit ihm in Kontakt bleiben und mit ihm verbunden bleiben:
- Twitter: https://twitter.com/helhum
- Github: https://github.com/helhum
- Blog: https://insight.helhum.io/
IMHO: Eines Tages wünschen wir uns, dass das typo3-secure-web-Paket in den TYPO3-Kern aufgenommen wird!
Wussten Sie davon?
Das TYPO3.org-Projekt wurde mit diesem Paket typo3-secure-web gesichert :)
Schritt-für-Schritt-Anleitung für TYPO3 Secure Web
Voraussetzungen und Abhängigkeiten
| Paket | Beschreibung |
| Typo3/cms-Kern | ^8.7.10 || ^9.5.2 || ^10.4 |
| typo3/cms-setzer-installer | ^1.4 || ^2.0 || ^3.0 |
| helhum/typo3-komponisten-setup | ^0.5.4 |
Sorge um den Konflikt
| Paket | Beschreibung |
helhum/typo3-composer-setup | <0.5.4 |
typo3/cms | <8.7.10 |
typo3/cms-core | <8.7.10 |
Bereiten wir uns darauf vor, ein sicheres TYPO3-Webpaket für Ihre kompositorbasierte TYPO3-Installation zu implementieren. Unser technisches Team entwickelt TYPO3-Projekte mit den bewährten Verfahren von Docker, DDEV, Composer wie unten beschrieben.
Schritt 1: Erstellen Sie einen Projektordner
mkdir my-typo3-site
cd my-typo3-site
Schritt 2: PHP-Version konfigurieren
ddev config --project-type php --php-version 7.2
Schritt 3: Neueste Version über Composer herunterladen
ddev composer create typo3/cms-base-distribution ^10 --no-interaction
ddev config --project-type typo3
ddev start
Schritt 4: TYPO3-Installationsassistenten ausführen
touch public/FIRST_INSTALL
Schritt 5: Bei composer.json, Private und öffentliche Ordner einrichten
"extra": {
"typo3/cms": {
"root-dir": "private",
"web-dir": "public"
}
}
Schritt 6: Sichern Sie Ihr TYPO3 mit der Ordnerstruktur privat und öffentlich
ddev composer require helhum/typo3-secure-web
Wenn Sie das TYPO3-secure-web Bundle effektiv installiert haben, organisiert es die gesamte Datei- und Ordnerarchitektur auf Ihrem Server wie folgt:
- Dieses Bundle richtet zu diesem Zeitpunkt das Webserver-Dokumenten-Root im öffentlichen Ordner und TYPO3 im privaten Ordner ein.
- Der private Ordner sieht vertraut aus und enthält typo3, typo3conf, fileadmin, typo3temp, hochgeladene Ordner
- Der öffentliche Ordner hat nur die Eintragsskripte und Verbindungen zu fileadmin, typo3temp/assets und, Resources/Public aller installierten (Framework) Erweiterungen.
Zugang zu Private
Der "private" Ordner hebt den Code des TYPO3-Kerns und der Erweiterungen hervor. Kein öffentlicher Web-Benutzer wird die Möglichkeit haben, an Ihren TYPO3-Code zu gelangen.
Root-Design des privaten Ordners
Access to Public
Der "öffentliche" Ordner hebt das Stammverzeichnis des Webserver-Datensatzes hervor und enthält nur die Asset-Dokumente. In jedem Ordner haben Sie die Möglichkeit, nur /Ressourcen/Öffentlich/Ordner zu sehen, der einen Symlink zu einem bestimmten Private/Ressourcen/Öffentlich/Ordner enthält.
![[Translate to German:] Architecture of TYPO3 extension](/blog/fileadmin/user_upload/T3Terminal_Blog/TYPO3_Securities/Architecture_of_TYPO3_e.png "[Translate to German:] Architecture of TYPO3 extension")
Architektur der TYPO3-Erweiterung enthält nur /Ressourcen/Öffentlich/ z.B., EXT:news /öffentlich/typo3conf/ext/news
![[Translate to German:] backend](/blog/fileadmin/user_upload/T3Terminal_Blog/TYPO3_Securities/backend.png "[Translate to German:] backend")
Die Architektur des TYPO3-Kerns enthält nur /Resources/Public/ z.B., EXT:backend /public/typo3/sysext/backend/
Schlussfolgerung
- Trotz der Tatsache, dass TYPO3 robust und sicher gemacht ist, wollen wir es durch das außergewöhnliche typo3-secure-web composer-Paket sicherer machen.
- Denken Sie daran, Helmut für seine außerordentlichen Bemühungen um die TYPO3-Community zu danken und ihm zu spenden.
Treten bei der Einrichtung Probleme auf? Bitte zögern Sie nicht, sich mit uns in Verbindung zu setzen, um Unterstützung zu erhalten. Kennen Sie weitere Tipps und Tricks zur Sicherung von TYPO3? Wir würden uns über Ihr Feedback im Kommentarfeld unten freuen.
Menschen zum Sichern inspirieren!
Post a Comment
-
Great Article Sanjay. Thanks for sharing tips and Helhum's security architecture. One of the easiest ways to test security things like this is to clone to a staging or dev environment, run your updates, verify everything is good. And then run it on production.
Join over 4300+ TYPO3 Subscribers
Sanjay Chauhan
CTO - T3Planet & NITSANSanjay Chauhan, Mitbegründer von NITSAN (Preisgekrönte TYPO3 Agentur) und Pionier von T3Planet, dem ersten TYPO3-Store weltweit.
Ein wahrer TYPO3-Fanatiker seit 2010.
Mit meinem umfangreichen technischen Wissen und…
More From Author