Wie Sie die Sicherheit von Contao verbessern und Schwachstellen beseitigen
Wer sein Contao vor ungewollten Zugriffen oder Hackerangriffe zusätzlich schützen will, sollte das Backend nicht vernachlässigen. Dort kann unter anderem der meiste Schaden angerichtet werden.
So kann die Sicherheit für Contao erhöht werden!
1. Der doppelte Zugriffschutz um Contao abzusichern
Um das Backend weiter abzusichern, sollte man es durch eine .htaccess Datei mit Benutzername und Passwort zusätzlich absichern. Damit erschweren Sie es Häckern Zugriff auf den Administrationsbereich zu erlangen und verbessern damit die Sicherheit im Betrieb vom Contao System.
Auf der Website http://www.htaccesstools.com/htpasswd-generator/ können Sie sich eine htaccess-Datei mit Benutzername und Passwort erstellen.
Die .htaccess Datei sieht dann in etwa so aus:
AuthType Basic
AuthName "Contao Backend absichern"
AuthUserFile /absoluter-pfad-zur-installation/verzeichnis-webseite/contao/.htpasswd
Require valid-user
Die .htpasswd Datei beinhaltet den Usernamen und verschlüsselt das Passwort:
Pro Zeile können Sie weitere User eintragen. Beide Dateien haben keine Endung sondern einen Punkt vor dem Dateinamen. Damit können Sie Contao absichern und erhöhen die Sicherheit.
Wenn Sie den absoluten Pfad in ihrem Hosting nicht kennen, können Sie eine PHP-Datei z.B. pfad.php mit folgendem Inhalt im Root von Contao laden, um den Pfad für das „AuthUserFile“ zu bestimmen. Rufen Sie die Datei pfad.php auf uns lassen sich die Pfade anzeigen. Löschen Sie die Datei gleich danach, wenn die nicht mehr benötigt wird.
<?php
$dir = dirname(__FILE__);
echo "<p>Voller Pfad zum Verzeichnis: " . $dir . "</p>";
echo "<p>Voller Pfad zur .htpasswd Datei im Verzeichnis: " . $dir . "/.htpasswd" . "</p>";
?>Wenn beide Dateien mit angepassten Absoluten-Pfaden zum Root des Servers (.htaccess und .htpasswd) in /contao/ liegen, sollten Sie beim Aufruf ihres Backends ein Popup aus dem Betriebssystem aufgehen. Erst mit Eingabe der zusätzlichen Zugangsdaten kommen Sie auf das Contao Backen zugreifen.
2. Das Install-Script
Eine weitere Maßnahme ist zum .htaccess Schutz die install.php im Verzeichnis /contao/ für Angreifer und mögliche potenzielle Schwachstellen für den Betrieb zu beseitigen und unbrauchbar zu machen. Entweder löscht man die install.php (würde ich empfehlen) oder benennt sie z.B. in install.123 um, damit die nicht ausgeführt werden kann. Bei einem manuellem Contao-Upgrade wird die install.php per FTP neu hoch geladen. Die sollte nach der Aktualisierung wieder gelöscht oder umbenannt werden.
3. Einspielen einer aktuellen Version
Allgemein kann kein CMS eine 100% Sicherheit anbieten. Um darauf im Vorfeld zu reagieren sind regelmäßige Sicherheitsupdates für das CMS und deren Erweiterung die Grundlage zuverlässig eine Website zu betreiben.
Hier finden Sie hilfreiche Tipps und meinen Contao Update Service, um mögliche unsicher Installationen auf die aktuelle sichere Version anzuheben. Mit der neuen Contao 4 Installation kümmert sich der Contao-Manager um die Updates.
Der Einfluss auf das System mit der Benutzung von Fremdanbieter-Modulen, kann mit SQL-Injection oder Cross-Site-Scripten, sprich das Einschleusen von Fremdcode durch den Angreifer möglich sein. Mit dem einspielen von verbesserten Versionen, kann das Risiko minimiert werden, einem Angriff zum Opfer zu fallen.
Welche Contao Version und Erweiterungen Sie einsetzen, sehen Sie im Backend anhand folgender Informationen.
4. Umstellen auf HTTPS Verschlüsselte Übertragung
Eine weitere Möglichkeit ist die Umstellung der Datenübertragung von http auf https der gesamten Webseite und somit auch dem Contao Backend. Bei meinen Projekten und hier auf der Webseite habe ich die Übertragung der Daten auf das https Protokoll umgestellt. Einige Provider bieten kostenfreie SSL Zertifikate an, mit der die Domain auf https umgestellt werden kann. Meine Empfehlung für günstige Hostingtarife mit SSL Zertifikaten wäre Webgo. Hier findet ihr die speziellen Hosting Angebote für Contao.
Da sich über den Weg der Datenübertragung ohne Verschlüsselung (http) in einem öffentlichen WLAN Netz die Zugangsdaten zum Backend abgreifen lassen können, ist es ratsam das zu vermeiden, oder den Zugriff über VPN zu lösen. Die FritzBox z.B. bietet die Möglichkeit über einen VPN Zugriff und lässt sich einfach einrichten. Alternativ ist ein eigener Hotspot über sein Mobiltelefon (Wischkastl) auch eine Möglichkeit seine Zugangsdaten zum Contao Backend über eine gesicherte Verbindung zu übertragen.
Ich hoffe ich kann mit den Tipps einigen helfen, die Contao Sicherheit zu erhöhen. Falls Sie Hilfe zum Einrichten, einem Contao-Update oder sonstigen Umsetzungen rund um Contao und Ihrem Hosting benötigen, dann sprechen Sie mich gerne an.