Veröffentlicht am
In diesem Hilfeartikel möchten wir Ihnen ein paar Tipps rund um Ihre DRK-Website geben.
DRKCMS / TYPO3
Stand heute (März 2022) ist das DRKCMS in der Version 9.5 aktuell. Wenn Sie ein solches DRKCMS von uns einsetzen, dann können Sie sich darauf verlassen, dass wir im Hintergrund alles notwendige tun, was die Sicherheit von Server, TYPO3 und der DRK-Vorlage selbst angeht.
Worauf Sie selbst achten müssen sind die Versionsstände möglicherweise von Ihnen selbst installierten Erweiterungen ("Zusatzprogrammen") in Ihrem TYPO3. Hier können wir ggf. kostenpflichtig eine Analyse für Sie durchführen, in der Regel sollte Ihr Administrator aber ja wissen, ob er etwas nachträglich installiert hat.
Bitte beachten Sie weiter unten auch den Hinweis zum Admin-Benutzer!
Ältere Versionen
Wenn Sie eine ältere TYPO3-Version nutzen (vermutlich noch das 7.6er), dann raten wir Ihnen schon seit zwei Jahren zu einem Upgrade, und diese Empfehlung können wir nur wiederholen. Für diese TYPO3-Version gibt es weder seitens der TYPO3-Entwicklergemeinde noch (kostenlose) Sicherheitsupdates, noch gibt es unsererseits kostenlosen Support.
Selbst gehostete TYPO3-Instanzen
Wenn Ihr DRKCMS bei uns im klassischen Webspace betrieben wird (das ist in seltenen Fällen nötig, wenn Sie besondere Sonderwünsche haben), oder wenn Sie ein TYPO3 mit DRKCMS-Vorlage bei irgend einem anderen Provider betreiben, dann sind Sie an der Stelle auch selbst dafür verantwortlich, dass Sicherheitsupdates innerhalb des 9.5er-TYPO3s eingespielt werden.
Wenn Sie einfach nur das TYPO3 vor einigen Jahren installiert haben (lassen), und es seit dem keine Updates gesehen hat, dann könnte es Dutzende teils kritische Sicherheitslücken geben, die u.U. auch für außenstehende identifizierbar sind.
Gerne kümmern wir uns im Rahmen von Wartungsverträgen darum (bzw. tun das vielleicht bei Ihnen schon).
Nicht gelöschte Alt-Seiten
Ein großes potentielles Sicherheitsloch sind auch vergangene Webseiten, die Sie zwar deaktiviert haben (z.B., in dem Sie im Kundenmenü den Domainnamen auf eine andere Webseite oder DRKCMS-Version konfiguriert haben), die aber über ein Unterverzeichnis im klassischen Webspace, oder über einen *.drk-hosting.de- oder *.drkcms.de-Domainnamen weiterhin erreichbar sind.
Wenn Sie diese Installationen nicht mehr benötigen, sollten Sie sie auch löschen.
Unklare Version?
Der Blick ins Kundenmenü hilft: Unter Produkte / DRKCMS / Vorhandene CMS-Installationen sehen Sie Ihre DRKCMS-Webseiten und die verwendeten Versionen.
Admin-Zugang zum TYPO3
In der Praxis werden alle CMSe auf allen Servern (das betrifft nicht nur das DRK, sondern weltweit jede Webseite) mehrmals stündlich mit sog. BruteForce-Attacken angegriffen, d.h. man versucht einfach durch automatisiertes Ausprobieren, Ihren Admin-Zugang zu knacken.
Ein sinnvoller Weg ist, den Admin-Benutzer nicht "admin" zu nennen. Im DRKCMS der Version 9.5 heißt der daher "drk-admin" (denn wenn schon der Benutzername falsch ist, scheitern diese vollautomatischen Versuche ja selbst dann, wenn das Passwort erraten werden würde).
Haben Sie ein älteres DRKCMS, das von uns auf Version 9.5 aktualisiert wurde, dann haben wir nicht ungefragt Ihren Admin-Benutzer umbenannt (sondern Ihnen das nur im Rahmen unseres "Änderungen der Version 9"-Webinars ans Herz gelegt). In dem Fall sollten Sie erwägen, dass Sie selbständig den "admin"-Benutzer z.B. in drk-admin umbenennen.
Eigene PHP-Anwendungen
Bei Benutzung des klassischen Webspaces beherzigen Sie bitte die folgenden Tipps:
- Räumen Sie regelmäßig auf. In vielen Kunden-Webpaketen finden wir alte Versionen (z.B. vorheriges CMS), die über eine Subdomain wie alt.meine-webseite.de auch noch aufrufbar sind. Wenn diese Software Sicherheitslücken hat, kann ein Einbrecher damit auf Ihren Webspace zugreifen und auch die Live-Seite möglicherweise kompromittieren!
- Löschen Sie "phpinfo.php"-Dateien. Viele Kunden oder Entwickler legen sich in den Webspace eine Datei, die phpinfo() ausführt und zahlreiche Informationen preisgibt. Diese Informationen helfen nicht nur Ihnen, sondern auch einem Einbrecher! Löschen Sie entsprechende Dateien oder Anweisungen daher, wenn Sie sie nicht mehr benötigen.
- Deaktivieren Sie PHP-Fehlermeldungen! Standardmäßig sind bei uns die Fehlermeldungen deaktiviert, im Fehlerfall erhalten Sie nur eine weiße Seite. Im Kundenmenü unter Produkte/Webspace/PHP-Version können Sie auch eines der debug-Profile aktiveren, in denen die Fehlermeldungen aktiviert sind. Deaktivieren Sie diese unbedingt, wenn Sie mit der Entwicklung/Fehlersuche fertig sind – ein Angreifer könnte sonst Fehler provozieren und aus den Fehlermeldungen wichtige Angaben rauslesen
- Setzen Sie bei internen Tools einen IP-Filter oder einen Passwortschutz, z.B. per .htaccess-Datei. Insbesondere der Login in eine Administrations-Oberfläche kann sehr oft zusätzlich abgesichert sein – ein solcher Schutz würde auch eine angreifbare Login-Seite aus der Schusslinie nehmen
- Arbeiten Sie mit Datenbank-SQL-Benutzern. Unter Produkte/Webspace/Datenbanken können Sie zu jeder SQL-Datenbank ein eigenes Passwort anlegen, dessen Benutzer hat dann nur Zugriff auf diese eine Datenbank (wohingegen Ihr erstmalig angelegter Kunden-Benutzer Zugriff auf alle Datenbanken hat). Im Brandenburger Schadensfall hätte es vielleicht schon geholfen, wenn das kompromittierte CMS nur Zugriff auf seine CMS-Daten gehabt hätte und nicht auch noch die ganze Einsatzverwaltung abfragen durfte.
- Halten Sie die Software aktuell. Für so ziemlich jede im Internet einzusetzende Software gibt es regelmäßige Sicherheitsupdates. Beim klassischen Webspace sind Sie für deren Installation selbst verantwortlich. Eine Software jahrelang ohne Updates zu betreiben, ist fahrlässig.
- Hinterfragen Sie das Knowhow Ihres Dienstleisters. Wir betreuen seit über 15 Jahren DRK-Kreisverbände und sehr oft kann man bereits aus Support-Anfragen zumindest eine erste Einschätzung bekommen, ob der Gegenüber fachlich Ahnung hat. Es gibt ganz viele gute IT- oder Web-Dienstleister, die wir im Laufe der Zeit kennengelernt haben. Aber es gibt auch Fälle, wo wir Ihnen ganz ehrlich am Telefon unsere Meinung verraten würden – wenn Sie uns denn fragen.