Sicherer Zugriff auf mein CMS
Redaktionelle Einordnung
Diese archivierte Diskussion behandelt Sicherer Zugriff auf mein CMS aus Sicht der Rubrik Security Sonstige.
Sicherheits- und HTTPS-Themen wirken heute direkt auf Vertrauen, Rendering-Stabilität und technische Risiken der Website ein.
Sinnvoll nutzbar bleibt der Thread vor allem als historischer Kontext, für typische Fragestellungen und zur Einordnung älterer Empfehlungen.
Einige im historischen Thread genannte Tools, Dienste oder externe Links könnten heute nicht mehr verfügbar oder inhaltlich überholt sein. Nutzen Sie sie bitte nur mit zusätzlicher Prüfung.
Startbeitrag
Archivierter Thread aus dem Seitenreport-Forum.
Ich möchte den Zugriff auf mein CMS sicherer gestalten.
Derzeit melde ich mich im Browser auf dem CMS (Typo3) beim Hoster an.
Jetzt schwirren Begriffe wie VPN oder https herum, aber so richtig weiß ich nicht, was zu tun ist.
Für Tipps, Erfahrungen, Ratschläge wäre ich dankbar!
Antworten
2 BeiträgeHallo Lutz,
den verschlüsselten Zugriff (SSL / https) auf Dein TYPO3-Backend halte ich für keine schlechte Idee.
Du benötigst hierzu "lediglich" ein gültiges SSL-Zertifikat und einige spezielle Einstellungen im TYPO3 InstallTool:
[infobox]Ein kostenloses (!) SSL-Zertifikat bekommst Du hier: https://www.startssl.com
[/infobox]
siehe dazu auch folgenden Artikel auf Heise Security:
www.heise.de/security/artikel/SSL-fuer-lau-880221.html
Im TYPO3 Install Tool (Backend > Admin-Werkzeuge > Installation) änderst Du zudem folgende Werte (die ersten beiden sind im Sicherheitsinteresse immer sinnvoll, unabhängig davon, ob eine SSL-Verschlüsselung eingesetzt wird oder nicht):
[infobox][warning_email_addr]
[BE][warning_email_addr] = ... {Deine E-Mail-Adresse}
[/infobox]
und
[infobox][warning_mode]
[BE][warning_mode] = 1
[/infobox]
Dies sorgt dafür, dass Du bei jedem Backend-Zugriff per E-Mail benachrichtigt wirst.
sowie
[infobox][lockSSL]
[BE][lockSSL] = 1
[/infobox]
Dies leitet Backend-Zugriffe auf https um. Hierzu benötigst Du natürlich ein gültiges SSL-Zertifikat auf Deinem Server. Am Besten obiges kostenlose SSL-Zertifikat beantragen und von Deinem Provider einrichten lassen.
[infobox]Um Zugriff auf das InstallTool zu erhalten, lädst Du eine leere Datei mit dem Namen ENABLE_INSTALL_TOOL via FTP in den Ordner /typo3conf hoch.[/infobox]
Diese Datei nach den Einstellungs-nderungen aber unbedingt wieder lschen.
Du kannst zudem per htaccess dafür sorgen, dass nur bestimmte IP-Namensräume Zugriff auf Dein Backend erhalten (IP-Sperre):
[infobox]# htaccess
order deny, allow
deny from all
allow from 90.187
[/infobox]
90.187 ersetzt Du durch den Namensraum Deiner eigenen IP-Adresse (bzw. durch die Namensräume derjenigen, die Zugriff erhalten sollen). Natürlich nur, wenn Deine IP-Adresse einigermaßen statisch ist. Einfach mal beobachten, ob sich diese großartig ändert oder nicht: www.wieistmeineip.de ) :wink:
Beste Grüße,
Matthias
SEO Analyse und Website-Check mit Seitenreport
Matthias, du bist einsame Spitze!
Mit so einer kompletten und kompetenten Antwort habe ich nicht gerechnet.
Das werde ich unbedingt einrichten.
Diesen Thread habe ich auch vor dem Hintergrund geschrieben, damit sich auch andere Foristen Gedanken machen, wie ihre Seiten sicher zu erreichen sind.
Ich habe schon einige gehackte Seiten gesehen. Für eine private Homepage nicht so schlimm, für eine professionelle Seite eine Katastrophe.