Wie die Contao Sicherheit erhöht wird

Wer seine Contao Installation vor ungewollten Zugriffen oder Hackerangriffe zusätzlich schützen will, sollte das Backend nicht vernachlässigen. Dort kann unter anderem der meiste Schaden angerichtet werden.

So kann die Sicherheit für Contao erhöht werden!

1. Der doppelte Zugriffschutz für das Contao Backend

Um das Contao Backend weiter abzusichern, sollte man es durch eine htaccess-Datei mit Benutzername und Passwort zusätzlich schützen. Damit erschweren Sie es Häckern Zugriff auf den Contao Administrationsbereich zu erlangen.

Auf der Website http://www.htaccesstools.com/htpasswd-generator/ können Sie sich eine htaccess-Datei mit Benutzername und Passwort erstellen.

Die .htaccess Datei sieht dann in etwa so aus:

AuthType Basic
AuthName "Contao Backend Schutz"
AuthUserFile /absoluter-pfad-zur-installation/verzeichnis-webseite/contao/.htpasswd
Require valid-user

Die .htpasswd Datei beinhaltet den Usernamen und verschlüsselt das Passwort:

Pro Zeile können Sie weitere User eintragen. Beide Dateien haben keine Endung sondern einen Punkt vor dem Dateinamen. 


Wenn Sie den absoluten Pfad in ihrem Hosting nicht kennen, können Sie eine PHP-Datei z.B. pfad.php mit folgendem Inhalt in den Root der Contao Installation laden, um den Pfad für das „AuthUserFile“ zu bestimmen. Rufen Sie die Datei pfad.php auf uns lassen sich die Pfade anzeigen. Löschen Sie die Datei gleich danach, wenn die nicht mehr benötigt wird.

<?php
$dir = dirname(__FILE__);
echo "<p>Voller Pfad zum Verzeichnis: " . $dir . "</p>";
echo "<p>Voller Pfad zur .htpasswd Datei im Verzeichnis: " . $dir . "/.htpasswd" . "</p>";
?>

Wenn beide Dateien mit angepassten Absoluten-Pfaden zum Root des Servers (.htaccess und .htpasswd) in /contao/ liegen, sollten Sie beim Aufruf ihres Backends ein Popup aus dem Betriebssystem aufgehen. Erst mit Eingabe der zusätzlichen Zugangsdaten kommen Sie auf das Contao Backen zugreifen.

2. Das Contao Installations-Script

Eine weitere Maßnahme ist zum .htaccess Schutz die install.php im Verzeichnis /contao/ für Angreifer und mögliche potenzielle Schwachstellen für den Betrieb unbrauchbar zu machen. Entweder löscht man die install.php (würde ich empfehlen) oder benennt sie z.B. in install.123 um, damit die nicht ausgeführt werden kann. Bei einem manuellem Contao Update wird die install.php per FTP neu hoch geladen. Die sollte nach dem Upgrade wieder gelöscht oder umbenannt werden.

3. Ein Update vom Core und den Erweiterungen

Allgemein kann kein CMS eine 100% Sicherheit anbieten. Um darauf im Vorfeld zu reagieren sind regelmäßige Sicherheitsupdates für Contao und deren Erweiterung die Grundlage zuverlässig eine Webseite zu betreiben.

Hier finden Sie hilfreiche Tipps und meinen Contao Update Service.

Der Einfluss auf das System mit der Benutzung von Fremdanbieter-Modulen, kann mit SQL-Injection oder Cross-Site-Scripten, sprich das Einschleusen von Fremdcode durch den Angreifer möglich sein. Mit dem einspielen von verbesserten Versionen, kann das Risiko minimiert werden einem Angriff zum Opfer zu fallen.

Welche Contao Version und Erweiterungen Sie einsetzen, sehen Sie im Backend anhand folgender Informationen.

So wird die eingesetzte Contao Version überprüft
So wird die eingesetzte Contao Version überprüft
So können Sie die Contao Sicherheit überprüfen
So können Sie die Contao Sicherheit überprüfen

4. Umstellen auf HTTPS Verschlüsselte Übertragung

Eine weitere Möglichkeit ist die Umstellung der Datenübertragung von http auf https der gesamten Webseite und somit auch dem Contao Backend. Bei meinen Projekten und hier auf der Webseite habe ich die Übertragung der Daten auf das https Protokoll umgestellt. Einige Provider bieten kostenfreie SSL Zertifikate an, mit der die Domain auf https umgestellt werden kann. Meine Empfehlung für günstige Hostingtarife mit SSL Zertifikaten wäre Webgo. Hier findet ihr die speziellen Hostingangebote.

Da sich über den Weg der Datenübertragung ohne Verschlüsselung (http) in einem öffentlichen WLAN Netz die Zugangsdaten zum Backend abgreifen lassen können, ist es ratsam das zu vermeiden, oder den Zugriff über VPN zu lösen. Die FritzBox z.B. bietet die Möglichkeit über einen VPN Zugriff und lässt sich einfach einrichten. Alternativ ist ein eigener Hotspot über sein Mobiltelefon (Wischkastl) auch eine Möglichkeit seine Zugangsdaten zum Contao Backend über eine gesicherte Verbindung zu übertragen.

Ich hoffe ich kann mit den Tipps einigen helfen, die Contao Sicherheit zu erhöhen. Falls Sie Hilfe zum Einrichten, einem Contao-Update oder sonstigen Umsetzungen rund um Contao und Ihrem Hosting benötigen, dann sprechen Sie mich gerne an.

Zurück