Menü
Avatar von Dietmar von Schütz
  • Dietmar von Schütz

17 Beiträge seit 16.02.2003

Es liegt NICHT an TYPO3, sondern an schlechter Installation/Wartung durch Admin

Die Überschrift zu dem Artikel sollte eher lauten:
Laienhaft ins Netz gebrachte und nicht gewartete CMS von Hackern
angegriffen.

Wir haben eine Menge Typo3-Seiten für Kunden laufen, davon viele noch
mit Typo3 4.5 LTS. Auf vielen der Seiten registrieren wir immer
wieder Hackerangriffe. Das ist normal. Bis jetzt war keiner
erfolgreich. Warum?
- alle Installationen sind gemäß den Typo3-Security-Guidelines
abgesichert
- Sicherheitseinstellungen per PHP.conf und .htaccess sind gesetzt
- Das Standard-Admin-Konto ist nicht aktiv oder hat ein sehr sicheres
Passwort
- Der/die anderen Admins haben sichere Passwörter
- Nutzer=Redakteure haben grundsätzlich nie Admin-Rechte
- Security-Updates werden regelmäßig und zeitnah installiert.
- Vorhandene Funktionen, die über Angriffe informieren, werden auch
benutzt.

Es gibt jedoch viele Webseiten mit einem CMS wie Typo3, Joomla,
Drupal oder auch Wordpress, auf die einige oder alle der oben
genannten Regeln nicht zutreffen. Warum? Viele denken, nur weil man
eine Software kostenlos runterladen kann, bräuchte es weder eine
Ausbildung noch Kenntnisse noch Zeit für die Einarbeitung und den
laufenden Betrieb.

Typo3 ist nach unserer Erfahrung das komplexeste der Open-Source-CMS.
Ein Fachinformatiker mit sehr guten Kenntnissen in php, css, html5,
javascript, sql etc. braucht etwa drei Monate (Vollzeit!), um auch
nur die grundlegenden Funktionen und Sicherheitserfordernisse von
Typo3 im Zusammenspiel mit Apache und PHP zu verstehen. Ja, es ist
aufwändiger als ein Auto-Führerschein! Insgesamt vergleichbar eher
der KFZ-Mechatroniker-Ausbildung.

Typo3 spielt in der Funktionsklasse von CMS, die sonst weit über
10.000 Euro kosten, zusätzlich dazu Wartungsverträge für monatlich ab
300 Euro.
Wenn html/css ein Fahrrad ist, PHP ein Mofa, ist Joomla ein Golf und
Typo3 eine 40-Tonner-LKW-Bus-Kombination mit Gefahrgutabsicherung, 50
Passagier-Sitzplätzen, Multi-Anhängerkupplungen und Amphibienfunktion
(falls im Ärmelkanaltunnel mal wieder Stau ist).

Diese Funktionsvielfalt hat ihren Preis: Nur gut ausgebildete
Techniker sollten es installieren und es braucht monatlich etwa 4-6
Stunden nur für regelmäßige Systemwartung, auch wenn keine
Webseiten-Inhalte geändert werden.

Dafür ist Typo3 für Redakteure sehr komfortabel, sicher und einfach:
ein gut eingerichtetes Typo3-System ist für völlig
computer-laienhafte Redakteure, die gerade mal Word oder Facebook
einigermaßen bedienen können, nach einer zweistündigen Schulung gut
zu benutzen, um Texte, Bilder oder andere Inhalte ins Web zu bringen.

Zurück zur Auto-Analogie: Wer Typo3 INSTALLIEREN will, ist ein
KFZ-Mechatroniker, der aus ein paar Tausend Baukastenteilen den o.g.
Amphibien-LKW/Bus zusammenbauen soll, und zwar TÜV-gerecht! (Wer
will, kann auch eine Prüfung zum "Typo3 Integrator" ablegen.)
Der Nutzer (= Fahrer, Redakteur) braucht, wenn er nur auf dem Hof
rumkutschieren will, nur eine kurze Einweisung. Aber er hat keinen
Schlüssel zur Torausfahrt auf die Straße und kann Motorhaube und
Tankdeckel nicht öffnen. Manchen Nutzern wird man mehr Rechte
einräumen, mit entsprechender Schulung (Führerscheine Klasse A, B, C
...)

Dass dies in der Realität vielfach nicht so eingehalten wird, ist uns
- wie auch allen anderen professionellen Agenturen - bekannt. 
Auf die Gefahr hin, dass das jetzt arrogant klingt: Wir sehen ja
immer wieder die Systeme neuer Kunden, die nach irgendwelchen
"Kataströphchen" ihren selbsternannten Hobby-Webmaster zur
Fortbildung verpflichten oder gleich schassen und dann doch Fachleute
beauftragen.

Typo3 ist eben kein Einstiegssystem. Aber bestimmt nicht unsicher!

Bewerten
- +
Anzeige