TYPO3 Security Basics

24
Dienstag, 12. November 13

description

Präsentation TYPO3 Security Basics auf dem TYPO3 Camp Rhein Ruhr 2013 im Unperfekthaus

Transcript of TYPO3 Security Basics

Page 1: TYPO3 Security Basics

Dienstag, 12. November 13

Page 2: TYPO3 Security Basics

Marketing Factory Consulting GmbH – Alle Rechte vorbehalten – © 2013

Secure your TYPO3 Installations

Ingo Schmitt

Marketing Factory Consulting GmbH

2

Dienstag, 12. November 13

Page 3: TYPO3 Security Basics

Dienstag, 12. November 13

Page 4: TYPO3 Security Basics

Ingo SchmittCTO, BCC TYPO3 Associationlifetime photoshop [email protected]

Dienstag, 12. November 13

Page 5: TYPO3 Security Basics

TYPO3 Sail 2014

Ingo SchmittCTO, BCC TYPO3 Associationlifetime photoshop [email protected]

Dienstag, 12. November 13

Page 6: TYPO3 Security Basics

Photo by Micah Taylor, Creative CommonsDienstag, 12. November 13

Page 7: TYPO3 Security Basics

Is your Installation secure?

Dienstag, 12. November 13

Page 8: TYPO3 Security Basics

Have you been hacked?

Dienstag, 12. November 13

Page 9: TYPO3 Security Basics

Have you been hacked?

Sure?Dienstag, 12. November 13

Page 10: TYPO3 Security Basics

Security Basicsconfigure properrestrict accessmonitor system

Dienstag, 12. November 13

Page 11: TYPO3 Security Basics

#TYPO3 Basicsconfigure proper

Use salted passwords !Use own names for accounts!

Dienstag, 12. November 13

Page 12: TYPO3 Security Basics

#TYPO3 Basicsconfigure proper$TYPO3_CONF_VARS['SYS']['devIPmask'] = '';$TYPO3_CONF_VARS['SYS']['sqlDebug'] = '0';$TYPO3_CONF_VARS['SYS']['enableDeprecationLog'] = '0';$TYPO3_CONF_VARS['SYS']['displayErrors'] = '0';$TYPO3_CONF_VARS['SYS']['enable_errorDLOG'] = '0';$TYPO3_CONF_VARS['SYS']['enable_exceptionDLOG'] = '0';$TYPO3_CONF_VARS['FE']['debug'] = '0';

Dienstag, 12. November 13

Page 13: TYPO3 Security Basics

#TYPO3 Basicsrestrict accesslimit „admin“ Accounts to real Adminsconfigure user accounts proper

Dienstag, 12. November 13

Page 14: TYPO3 Security Basics

#TYPO3 Basicsmonitor system$TYPO3_CONF_VARS['BE']['warning_email_addr'] = '[email protected]';

Dienstag, 12. November 13

Page 15: TYPO3 Security Basics

#TYPO3 Basicsmonitor system$TYPO3_CONF_VARS['BE']['warning_email_addr'] = '[email protected]';

Dienstag, 12. November 13

Page 16: TYPO3 Security Basics

#TYPO3 Extensionsconfigure proper

be_secure_pw

Dienstag, 12. November 13

Page 17: TYPO3 Security Basics

#TYPO3 Extensionsrestrict access

beuser_iprange

Dienstag, 12. November 13

Page 18: TYPO3 Security Basics

#TYPO3 Extensionsmonitor system

caretaker -> password check

Dienstag, 12. November 13

Page 19: TYPO3 Security Basics

#TYPO3 Extensions

Prevent DOS:

mfc_belogin_captcha

Dienstag, 12. November 13

Page 20: TYPO3 Security Basics

#TYPO3 Extensions

Prevent DOS:

mfc_belogin_captcha

Dienstag, 12. November 13

Page 21: TYPO3 Security Basics

Externalmonitor system

fail2bangrayloghttp://www.illutzminator.de/typo3-fail2ban.html?&L=1

http://forge.typo3.org/issues/51803

Dienstag, 12. November 13

Page 22: TYPO3 Security Basics

Your Ideas?

Dienstag, 12. November 13

Page 23: TYPO3 Security Basics

26

Contact

Marketing Factory Consulting GmbHMarienstraße 14

40212 Düsseldorf

Tel +49 (0)211 / 36 11 76 - 0Tel +49 (0)211 / 36 11 76 - 99

[email protected]

Dienstag, 12. November 13

Page 24: TYPO3 Security Basics

10.04.2013Marketing Factory Consulting GmbH – Alle Rechte vorbehalten – © 2013

Disclaimer

Disclaimer

Alle im vorliegenden Konzept präsentierten Ansätze und Ideen sind ausschließlich für den Auftraggeber bestimmt.

Das Konzept und das Recht zur Nutzung bleibt Eigentum von Marketing Factory Consulting. Die Verwertung, Vervielfältigung, Nachbildung und Verbreitung der Konzeption ist nur mit Zustimmung zulässig.

Werden die Ideen nicht verwertet, dann ist Marketing Factory Consulting berechtigt, die Inhalte ganz oder teilweise für andere Zwecke einzusetzen.

© Marketing Factory Consulting GmbH 2013

Dienstag, 12. November 13