Grundsätzlich zeigt die Erfahrung, dass TYPO3 sehr sicher ist. Aber ab- und an kommt es vor, dass eine Sicherheitslücke gefunden wird. Manche sind meiner Meinung nach nicht ganz so kritisch, manche allerdings sehr.

Leider scheint diese Information an einigen vorbei zu gehen, so dass immer noch zahlreiche anfällige TYPO3 Seiten im Internet zu finden sind.

Vermutlich ist das vergleichbar mit Eingangstüren - wer weiß schon, ob seine Tür einfach oder schwer zu öffnen ist. Und selbst wenn die Tür nicht den besten Sicherheitsstandards entspricht - bei mir gibt es nichts zu holen.

Das selbe Argument höre ich manchmal wenn es um Webseiten geht, "Wenn die gehackt wird, packen wir das Backup wieder drauf" oder "Wer hat schon daran Interesse?". Das Problem ist, anders als bei der Wohnungstür, kann jeder mit Internetzugang per Google seine Ziele automatisiert suchen lassen. Und wenn er die Seite gehackt hat, wird er vermutlich keine sichtbaren Spuren hinterlassen. Er baut Schadcode ein, durch den die Besucher der Seite mit Viren und Trojaner verseucht werden, er versendet Spam von Ihrem Server oder baut eine Tauschbörse für illegale Dateien auf Ihrem Server auf. Und dabei ist es egal, ob er Ihr Nachbar ist, oder er aus Brasilien, China oder Nigeria kommt. Es braucht nur eine Internetverbindung zu Ihrer virtuellen Wohnungstür. Sie sind also weltweit erreichbar, auch für Hacker!

Ich habe ein kleines Skript geschrieben, mit dem auf die schnelle überprüft werden kann, ob Ihre TYPO3 Seite von der Lücke betroffen ist Sie müssen nur Ihre Webseite eingeben und wenn das Skript die Lücke findet, dann bekommen Sie einen entsprechenden Hinweis. Allerdings muss ich dazu sagen, der Test kann natürlich keine Garantie dafür sein, dass Ihre Seite sicher ist - nur, dass sie unsicher ist.

Was auch immer der Test zeigt, schließen Sie mit Ihrem TYPO3 Dienstleister einen Vertrag über regelmäßige Updates - oder wenn Sie Ihre Seite selber managen, dann spielen Sie regelmäßig die aktuellen Updates ein und vergessen Sie nicht die Security Announce Liste zu abbonieren!

Weitere wichtige Sicherheitstipps gibt es auf der TYPO3 Security Team Seite und in dem Blog von Martin Sauter.

Wenn im Internet Formulare getestet werden oder bei Präsentationen Namen angezeigt werden, dann werden schnell die Herren Max Mustermann und John Doe herangezogen.

Bei einer reinen Ansicht ist das alles nicht so wichtig, häufig gelangen solche Testdaten dann aber auch in die Default-Konfiguration von Modulen und TYPO3 Extensions. Da wird dann per default von no-reply@no-reply.com eine E-Mail versendet. Das führt dazu, dass bei unzureichender Konfiguration später der Kunde eben dann bei einer Antwort auf jene E-Mail an die Firma no-reply.com sendet.

Somit wird eben jene Firma E-Mails mit ggf. vertraulichen Daten bekommen, die definitiv nicht für sie gedacht waren.

Um den Schaden ein wenig zu begrenzen empfiehlt es sich bei der Verwendung von Default-Werten für E-Mails und Webseiten immer eine der Domains example.com, example.net oder example.org zu verwenden.

Diese Domains sind im RFC 2606 dafür definiert, dass Sie in der Dokumentation verwendet werden kann. Fehlerhafte E-Mails und Seitenaufrufe sollten daher bei einer solchen Angabe keine Probleme verursachen.

Die TYPO3 System-Extension indexed_search ist meiner Meinung nach nicht so schlecht wie ihr Ruf. Zum einen, muss berücksichtigt werden, dass die Extension alle möglichen Features unterstützt. Sie ermöglicht es, nur bestimmte Bereiche zu verwenden, kann direkt mit dem Seitenaufruf oder per CLI-Skript gestartet werden, berücksichtigt Benutzer Berechtigungen genau so wie die Spracheinstellungen.

Allerdings unterstützt Sie nicht die Volltextsuche von MySQL sondern erstellt eine eigene Relationen-Tabelle, in der für jedes Wort gespeichert wird, auf wleche Seite es vorkommt. Dabei steht jede Sprachversion und jede Parameter-Variation für eine Seite. Wenn verschiedene Benutzergruppen existieren wird dieses noch mit den möglichen Benutzergruppen Kombinationen multipliziert.