Vorab eine aktuelle Warnung: Installierte Versionen bis einschließlich 4.1.13, 4.2.12, 4.3.3 oder 4.4 sollten umgehend auf den neuesten Stand gebracht werden. Im Fall der aktuellsten Minor-Version 4.4 also auf 4.4.1. Von den möglichen Sicherheitslücken ist alles dabei was Rang und Namen hat: XSS-Lücken, SQL Injections, Ausführung fremden Codes.
Nun. Es ist wohl wie immer im Leben: Wo Licht ist, da ist auch Schatten. Die Möglichkeiten, welche durch TYPO3 und dessen permanente Weiterentwicklung geboten werden, führen natürlich zusehends zu dessen Verbreitung und Aufmerksamkeit. Der TYPO3-Quellcode ist zwar schon sehr fortschrittlich und wird auch nicht durch dahergelaufene PHP-Anfänger gecodet – jedoch gerät dieser natürlich auch in den Fokus von Sicherheitsexperten. Diese versuchen dann mit etwas Geduld und viel Erfahrung, in den Tonnen von Codezeilen – und das ist ja der Vorteil von Open-Source-Software, da dieser einsehbar ist – Sicherheitslücken aufzuspüren.
Wenn ich nun überlege, dass die Version 4.4.0 schon über einen Monat “draußen” ist – von den anderen Vorgängerversionszweigen mal ganz abgesehen – muss es sich also um nicht ganz offensichtliche Sicherheitslücken handeln. Das Problem hierbei ist aber, dass sobald diese die Runde machen (nicht nur die Möglichkeit, sondern auch die betreffenden Wege), ist eine TYPO3-Installation nicht mehr hinreichend sicher und kann – je nach Fall – durch inhaltliche Änderungen oder sogar Systemübernahmen betroffen werden. Vom strafrechtlichen Aspekt und der Verfolgung der Angreifer – obwohl diese sicherlich nicht in beheimateten Gefilden sitzen – mal ganz abgesehen, geht es hier um verlorene Nerven und eventuell beschädigtes Ansehen sowie Störung des Geschäftsbetrieb des Betroffenen.
Was kann man nun dagegen tun?
Zum einen sollte der verantwortliche Betreuer der TYPO3-Installation sich aktuell auf dem Laufenden halten, ob neue Versionen veröffentlicht wurden. Das gilt natürlich und insbesondere auch für die nachträglich installierten Extensions, mit denen sich das Grundsystem – wie der Name schon sagt – auf vielfältige Art und Weise erweitern lässt. Hier empfiehlt sich eventuell – falls eine TYPO3-Agentur oder ein Freelancer beauftragt wurde – einen Wartungsvertrag für ein monatliches Salär und mit einer entsprechenden Vereinbarung abzuschließen.
Zum anderen empfehle ich eine Verschleierung des Systems. Man muss sich ja nur mal kurz in die Lage von Hackern versetzen: Was tun diese am Anfang ihres Hackversuchs? Richtig: Sie suchen sich TYPO3-Systeme. Und das Suchwerkzeug dafür ist höchstwahrscheinlich Google (sofern grad kein eigener Crawler greifbar ist ;-). Derjenige, der die TYPO3-Website also aufsetzt, sollte dafür sorgen, dass bei entsprechenden Suchanfragen, die – natürlich eine Kenntnis der groben Architektur des Systems vorausgesetzt – relativ einfach sehr viele Kandidaten zum Vorschein bringen, die von ihm betreute Website nicht auftaucht.
Ich denke, mit diesen beiden Maßnahmenschwerpunkten sollte man auf der sicheren Seite sein und kann sich wieder ruhigen Gewissens über seine TYPO3-Website freuen :-)
