Kurzanleitung zur Erhöhung der TYPO3-Sicherheit

Die Geschichte sagt, dass TYPO3 eines der sichersten OpenSource CMS ist. Aber Sicherheit ist eine nie endende Aufgabe. In diesem Artikel möchte ich Helmut's populäres "TYPO3 Secure Web"-Paket vorstellen, um Ihre TYPO3-Website sicherer zu machen.

Kurzanleitung zur Erhöhung der TYPO3-Sicherheit

FYI. This blog is translated by machine. Please ignore any spelling and grammar errors; sorry for such inconvenience. We appreciate your understanding and support.

Die Geschichte sagt, dass TYPO3 eines der sichersten OpenSource CMS ist. Aber Sicherheit ist eine nie endende Aufgabe. In diesem Artikel möchte ich Helmut's populäres "TYPO3 Secure Web"-Paket vorstellen, um Ihre TYPO3-Website sicherer zu machen.

Wir alle sehen, dass es so wichtig ist, die TYPO3-Sicherheit Ihrer Website zu gewährleisten. Google führt täglich mehr als 10.000 Websites auf eine schwarze Liste für Malware und ca. 50.000 für Phishing.

Glücklicherweise hat TYPO3 eine bessere integrierte Firewall-Sicherheit, da die Kernarchitektur von TYPO3 robust ist. Aber die Sicherheit von TYPO3 nimmt kein Ende. Die TYPO3-Community nimmt Sicherheit und Leistung immer ernst und entwickelt immer etwas, das die Sicherheit verbessert.

"Wenn Sie mehr Zeit mit Kaffee als mit IT-Sicherheit verbringen, werden Sie gehackt. Mehr noch, Sie verdienen es, gehackt zu werden.
- Richard Clarke"

TYPO3 - das sicherste OpenSource-CMS

Laut dem Bericht von Sucuri.net ist TYPO3 das am wenigsten gehackte OpenSource CMS der Welt.

Warum Sicherheit bei TYPO3?

Hier ist der Statistikbericht, der zeigt, warum die Sicherheit von Websites so wichtig ist.

Quelle
Eine gehackte TYPO3-Website kann Ihrem Geschäftseinkommen und Ihrem Bekanntheitsgrad echten Schaden zufügen. Hacker können Kundendaten und Passwörter stehlen, schädliche Programme einführen, Informationen verkaufen und sogar Malware an ihre Kunden weitergeben. 

Am auffälligsten ist, dass Sie unter Umständen Lösegeld an Hacker zahlen müssen, nur um den Zugang zu Ihrer eigenen Website wiederherzustellen.

Wie sieht die ideale Code-Struktur von TYPO3 aus?

Eine normale komponistenbasierte Installation enthält nur einen "öffentlichen" Ordner. Stellen Sie sich unterhalb der TYPO3-Architektur "private" und "öffentliche" Ordner vor, um die Sicherheitsstufe von TYPO3 hinzuzufügen.

öffentlich die nur Assets wie css/js/images etc. für die öffentlichen Benutzer des Webs enthält.
privat die den Typo3-Kern sysext, typo3conf ext usw. enthält,
var die Cache, Protokoll, Sitzung usw. enthält,
Anbieter die sowohl das CMS als auch die Anbieter der Erweiterung enthält.

Beifall für Helmut Hummel

Klingt faszinierend, nicht wahr? Wir danken Helmut für seinen mehr als 10 Jahre währenden Beitrag und sein Engagement für die TYPO3-Community - insbesondere für die Sicherheit von TYPO3.

Ich würde Ihnen gerne sein außergewöhnliches TYPO3 Secure Web Bundle vorstellen https://github.com/helhum/typo3-secure-web 

Es ist eine ideale Gelegenheit, unsere "große Wertschätzung für Helmut" anzuerkennen und zum Ausdruck zu bringen, indem wir mit ihm in Kontakt bleiben und mit ihm verbunden bleiben:

IMHO: Eines Tages wünschen wir uns, dass das typo3-secure-web-Paket in den TYPO3-Kern aufgenommen wird!

Wussten Sie davon?
Das TYPO3.org-Projekt wurde mit diesem Paket typo3-secure-web gesichert :)

Schritt-für-Schritt-Anleitung für TYPO3 Secure Web

Voraussetzungen und Abhängigkeiten

Paket Beschreibung
Typo3/cms-Kern

^8.7.10 || ^9.5.2 || ^10.4

typo3/cms-setzer-installer

^1.4 || ^2.0 || ^3.0

helhum/typo3-komponisten-setup

^0.5.4

Sorge um den Konflikt

Paket Beschreibung

helhum/typo3-composer-setup

<0.5.4

typo3/cms

<8.7.10

typo3/cms-core

<8.7.10

 

Bereiten wir uns darauf vor, ein sicheres TYPO3-Webpaket für Ihre kompositorbasierte TYPO3-Installation zu implementieren. Unser technisches Team entwickelt TYPO3-Projekte mit den bewährten Verfahren von Docker, DDEV, Composer wie unten beschrieben.

Schritt 1: Erstellen Sie einen Projektordner

 

mkdir my-typo3-site
cd my-typo3-site

 

Schritt 2: PHP-Version konfigurieren

 

ddev config --project-type php --php-version 7.2

 

Schritt 3: Neueste Version über Composer herunterladen

 

ddev composer create typo3/cms-base-distribution ^10 --no-interaction
ddev config --project-type typo3
ddev start

 

Schritt 4: TYPO3-Installationsassistenten ausführen

 

touch public/FIRST_INSTALL

 

Schritt 5: Bei composer.json, Private und öffentliche Ordner einrichten

 

"extra": {
    "typo3/cms": {
    "root-dir": "private",
    "web-dir": "public"
    }
}

 

Schritt 6: Sichern Sie Ihr TYPO3 mit der Ordnerstruktur privat und öffentlich

 

ddev composer require helhum/typo3-secure-web

 

Wenn Sie das TYPO3-secure-web Bundle effektiv installiert haben, organisiert es die gesamte Datei- und Ordnerarchitektur auf Ihrem Server wie folgt: 

  • Dieses Bundle richtet zu diesem Zeitpunkt das Webserver-Dokumenten-Root im öffentlichen Ordner und TYPO3 im privaten Ordner ein. 
  • Der private Ordner sieht vertraut aus und enthält typo3, typo3conf, fileadmin, typo3temp, hochgeladene Ordner
  • Der öffentliche Ordner hat nur die Eintragsskripte und Verbindungen zu fileadmin, typo3temp/assets und, Resources/Public aller installierten (Framework) Erweiterungen.

Zugang zu Private

Der "private" Ordner hebt den Code des TYPO3-Kerns und der Erweiterungen hervor. Kein öffentlicher Web-Benutzer wird die Möglichkeit haben, an Ihren TYPO3-Code zu gelangen. 

Root-Design des privaten Ordners 

Access to Public

Der "öffentliche" Ordner hebt das Stammverzeichnis des Webserver-Datensatzes hervor und enthält nur die Asset-Dokumente. In jedem Ordner haben Sie die Möglichkeit, nur /Ressourcen/Öffentlich/Ordner zu sehen, der einen Symlink zu einem bestimmten Private/Ressourcen/Öffentlich/Ordner enthält.

The architecture of public/typo3temp

Architektur der TYPO3-Erweiterung enthält nur /Ressourcen/Öffentlich/ z.B., EXT:news /öffentlich/typo3conf/ext/news

Die Architektur des TYPO3-Kerns enthält nur /Resources/Public/ z.B., EXT:backend /public/typo3/sysext/backend/

Schlussfolgerung

  • Trotz der Tatsache, dass TYPO3 robust und sicher gemacht ist, wollen wir es durch das außergewöhnliche typo3-secure-web composer-Paket sicherer machen. 
  • Denken Sie daran, Helmut für seine außerordentlichen Bemühungen um die TYPO3-Community zu danken und ihm zu spenden. 

Treten bei der Einrichtung Probleme auf? Bitte zögern Sie nicht, sich mit uns in Verbindung zu setzen, um Unterstützung zu erhalten. Kennen Sie weitere Tipps und Tricks zur Sicherung von TYPO3? Wir würden uns über Ihr Feedback im Kommentarfeld unten freuen.

Menschen zum Sichern inspirieren!

Post a Comment

×
Captcha Code Kann das Bild nicht gelesen werden? Klicken Sie hier, um zu aktualisieren