TYPO3: Sicherheits-Upgrade empfohlen auf 6.2 (LTS)

– 12. März 2015

Der sinnvolle Schutz gegen Hacker-Angriffe, Spammer und Server-Abstürze . Viele TYPO3 Sicherheits-Supports laufen im März 2015 aus.

Das Internet und die IT entwickeln sich heute schneller weiter als früher. Konnte man früher noch eine Webseite über Jahre unverändert betreiben, so schreitet heute die Technik rasanter voran. Der NSA-Skandal, neue Hacker-Attacken sowie das Hijacken von Webseiten durch Hacker aus aller Welt machen das Schließen von Sicherheitlücken mehr als notwendig.

Was kann passieren? 

Die Konsequenzen sind drastisch: Eine Sicherheitslücke kann den Verlust der Webseite bedeuten und im schlimmsten Fall dann auch noch Klagen nach sich ziehen. Die Seite kann gehackt werden. Die Seite kann unbrauchbar gemacht werden. Die Seite kann entführt werden oder genutzt, um Massen-Emails zu versenden. Das führt dazu, dass der Mail-Server des Hosters lahmgelegt wird und viele Spam Mails versendet werden, so dass zusätzlich die IP-Adresse des Servers (auf dem viele Kunden hosten) auf Blacklisten kommt. Es können Schäden und Klagen dadurch entstehen. Es kann aber auch eine gezielt geplante Server-Attacke auf den Hoster stattfinden. Eine ähnlich gelagerte Attacke ist jüngst dem Bundeskanzleramt im Zusammenhang mit der Ukraine-Krise widerfahren, als „Terroristen“ mit mutmaßlichem Sitz in Russland die Webseite des Bundeskanzleramts „von Netz geschossen“ hatten.

TYPO3-Updates und Upgrades als Schutz

Wer sich als Kunde für TYPO3 als CMS entschieden hat, profitiert von der regelmäßigen Weiterentwicklung und Aktualisierung durch die TYPO3-Community. TYPO3-CMS-Versionen werden regelmäßig weiterentwickelt, damit sie sich auf die neuesten Anforderungen anpassen lassen. Diese Anpassung muss jedoch durch die betreuende Internetagentur rechtzeitig erfolgen.

Das bedeutet: Ältere, aber auch erst in den letzten Jahren erstellte TYPO3-Versionen der 4.0 Baureihe bis 4.7 entsprechen aktuell nicht mehr den nötigen Sicherheits-Richtlinien, sogar der Support für die Long-Term-Version 4.5, sowie für die Versionen 6.0 und 6.1 läuft ab März 2015 aus, wie die untere Grafik belegt. Diese Versionen müssen JETZT ein Upgrade erfahren, damit für die nächsten Jahre wieder „Ruhe“ einkehren kann.

t3ra Quelle: typo3.org

 

Die Empfehlung

Als Empfehlung gilt in TYPO3-Kreisen aktuell, ab März 2015 auf die TYPO3-Version 6.2 umzustellen in Form eines Upgrades. Bei 6.2 handelt es sich zudem um eine sogenannte Long-Term-Support-Version (LTS), von der eine Aktualität bis März 2017 gewährleistet ist.

Nach dem Upgrade ist die aktuelle Sicherheitslücke geschlossen und die TYPO3-Seite zudem technisch gesehen wieder auf dem neuesten Stand.

  • Perfektes Erscheinungsbild Ihrer Website
  • Sicherstellung der Funktionalität
  • Höchstmögliche Sicherheit
  • Sicherstellung der Browserkompatibilität

Mehr Zukunftssicherheit für die Investition

Wichtig: Eine Aktualisierung der TYPO3-Version ist nicht nur die Basis für die Sicherheit der Seite, sondern auch für die Zukunftssicherheit der Investition. Denn künftige kleinere Sicherheitsupdates (Dauer eine halbe Std.) oder Upgrades von größerem Ausmaß können bei einer aktuellen Fassung viel leichter gefahren werden.

Ein wichtiger Faktor stellt dabei auch die ständige Weiterentwicklung von Internet-Browsern dar, z. B. Internet Explorer oder Google Chrome. Auch die Webbrowser erfahren permanente Aktualisierungen und basieren auf neuen Techniken, die sich von alten Standards immer mehr distanzieren.

Moderneres Design, verbesserte Funktionalität ohne Umlernen

User können zudem von verbesserten Funktionen profitieren, ohne dass sie dafür umlernen müssen. Die Seite 6.2 ist vom Design her leicht überarbeitet und modernisiert, von den Funktionen, die der einfache User braucht, aber kaum verändert. Der Programmierer und Fachmann kann bei künftigen Erweiterungen der Seite jedoch enorm von den Verbesserungen im Backend profitieren.

Der einzig hervorzuhebende Punkt, von dem der User profitieren könnte, sind leichte Verbesserungen in der Usability. Wer bei älteren Versionen Navigationspunkte verschieben wollte, musste rechts klicken, kopieren oder ausschneiden und dann einfügen. Jetzt kann man das einfach per Drag & Drop erledigen – wohlgemerkt: kann. Es ist kein „Muss“, von daher muss auch niemand ein schwieriges „Umlernen“ befürchten.

Upgrade oder Update – was bedeutet das?

Ein Update ist eine einfache kleine Security-Aktualisierung, die meist im laufenden Betrieb der Seite durchgeführt werden kann. Dies erfordert nur eine kurze Umstellungsphase, in der Regel ist das in einer halben Stunde erledigt. Beispiel: TYPO3-Version 4.4.2 auf 4.4.3.

Ein TYPO3-Versions-Upgrade wird umfasst in der Regel neue oder erweiterte Basis-Funktionen. Die Version 4.5 stammt beispielsweise aus dem Jahr 2011. Seitdem hat das Internet sein Gesicht grundsätzlich verändert. Oberflächlich betrachtet sieht man das nicht, aber wenn man unter den Lack schaut, sieht vieles anders aus. Ein Upgrade kann man nicht auf der Seite im laufenden Betrieb vornehmen, sondern muss eine Kopie nebenan parken und dort aktualisieren. Wenn alles geklappt, zieht man die Kopie rüber auf die „richtige“ Domain. Nach außen merkt man von den „Wartungsarbeiten“ nichts, der Betrieb geht ungehindert weiter.

Empfehlung: Von der aktualisierten Version ein „Back-up“ ziehen

Bei dieser Gelegenheit kann man übrigens sehr gut ein Back-up der erneuerten Webseite ziehen. So ist technisch alles auf dem neuesten Stand, die aktuellen Inhalte sind da – und auch wenn der Hoster einmal in die Knie gehen sollte oder sonstetwas mit dem Server passiert, ist mit einer Back-up-Kopie alles gesichert. Es ist übrigens schon vorgekommen, dass Hoster seiten einfach „verloren“ haben (!).

Lassen Sie sich hier ein Angebot für ein Upgrade auf TYPO3 Version 6.2 (LTS-Version) inklusive eines Back-ups machen.

PS: Erweiterungen ggf. mit aktualisieren

Nicht nur das Internet, sondern auch die Web-Programmiertechnik hat sich kontinuierlich entwickelt, so dass das Upgrade einer TYPO3-Seite immer auch eine Erneuerung des Codes bedeutet. Das allerdings geht nur dann völlig reibungslos vonstatten, wenn die TYPO3-Seite keine sogenannten „Extensions“ eingebunden hat – oder wenn diese Extensions im Programmier-Code genauso weiterentwickelt wurden wie das TYPO3-Basis-System. Extensions sind Erweiterungen des Funktionsumfangs, z. B. ein News-Plug-In, ein Mail-Plug-In oder eine Bestellfunktions-Plug-In.

Bei den meisten gängigen TYPO3-Erweiterungen (z. B. Video-Plug-Ins, Slideshows) ist diese Modernisierung bereits vollzogen. Die einzige Schwachstelle könnten TYPO3-Extensions bilden, die einfach mit der Zeit nicht mehr weiterentwickelt worden sind. Hier kann es zu Funktionsstörungen kommen. Und hier muss von der aktualisierenden Agentur gewährleistet werden, dass die Extension mit TYPO3 6.2 LTE sozusagen kompatibel ist.

Das kann schwer werden, aber was ist in dem Fall die Alternative? Zusehen, wie die Webseite technisch langsam veraltet? Warten, bis die Seiten via Sicherheitslücken gehackt werden? Warten, bis die Webseite als Mail-Server missbraucht wird? Warten, bis die eigene Seite weg ist? Warten, bis man im TYPO3-Backend nichts mehr pflegen kann?

Man kann doch nicht nur wegen einer Power Mail Extension den gesamten Relaunch einer Webseite aufschieben, zumal sich das Problem oft niemals lösen wird. Dann lieber etwas Geld investieren und die Extension aktualisieren lassen, im extremsten Fall durch eine andere Extension ersetzen lassen.

Fazit: Warten ist keine Alternative, sondern macht alles nur noch schlimmer und vernichtet ggf. sogar die ganze Investition. Dann lieber jetzt mit vergleichsweise geringfügigen Investitionen die Seite in die Zukunft des Internets führen.

Christian Born