Neue Extension mfc_belogin_captcha gegen Hackerangriffe auf TYPO3

Backend Login Captcha mfc_belogin_captchaDie Sicherheit von Content Management Systemen (CMS) steht immer wieder in der Kritik. Es heißt, Content Management Systeme wie TYPO3 bergen einfach viel zu viele Gefahren. Doch mit der richtigen Konfiguration und den richtigen Extensions kann man dafür sorgen, dass die Verwendung von TYPO3 sicher ist. Mit unserer neuen Extension mfc_belogin_captcha wird TYPO3 ab sofort noch sicherer.

Erst im Juni diesen Jahres veröffentlichte das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu diesem Thema eine über 160 Seiten umfassende Studie, in der die Sicherheit von CMS rundum beleuchtet wurde: Den Untersuchungsergebnissen zufolge weisen die untersuchten Basis- / Standardinstallationen trotz vorhandener Sicherheitslücken insgesamt ein gutes Sicherheitsniveau auf.

Seit TYPO3 in den Jahren 2001/2002 im kommerziellen Bereich konkurrenzfähig wurde, setzen wir es als CMS unserer Wahl ein und sind uns der großen Verantwortung bewusst, die wir als Dienstleister vor allem auch unseren Kunden gegenüber tragen. Als zertifizierte TYPO3-Agentur verfolgen wir den Markt stets sehr aufmerksam. Dass Content Management Systeme – und somit auch TYPO3 – nicht frei von Fehlern sind, ist uns demnach natürlich bekannt. Dennoch können wir den sicheren Betrieb von TYPO3 durch die Einhaltung strikter Sicherheitsvorkehrungen und –maßnahmen gewährleisten.

In den letzten Tagen traten verstärkt Attacken auf TYPO3-Backends auf. Hierbei versuchten Hacker durch das massive Ausprobieren von Passwörtern Zugang zu TYPO3-Backends (als Administrator!) zu erhalten. Da wir unsere Systeme rund um die Uhr sehr aufmerksam bewachen, können diese Art von Attacken von unseren Überwachungssystemen sofort bemerkt und entsprechende Sicherheitsmaßnahmen eingeleitet werden. Sollten Attacken auf unsere TYPO3-Systeme eintreten, könnten diese erfolgreich abgewehrt werden.

Da dies nicht die erste und sicherlich auch nicht die letzte Attacke war, gibt es bereits zahlreiche Lösungen, die solche Attacken erkennen und bei einem Angriff unmittelbar Alarm schlagen können. Eine Lösung, die solche Hackerattacken unterbinden kann, gab es bislang jedoch noch nicht.

Nach der letzten Attacke hat Sebastian Fischer, unser Senior Developer TYPO3 und zertifizierter TYPO3-Integrator, nun eine Extension entwickelt, die das Hacken von Passwörtern durch automatische Systeme unmittelbar nach Auftreten unterbindet.

Die Installation der Extension mfc_belogin_captcha sorgt dafür, dass nach einer gewissen Anzahl erfolgloser Logins ein Captcha eingeblendet wird, welches neben der Eingabe der korrekten Zugangsdaten noch zusätzlich gelöst werden muss. Da automatische Systeme ein Captcha bekanntermaßen nicht ausfüllen werden, werden weitere Angriffe allein durch die Einblendung des Captchas sofort unterbunden. Die Extension stellt zudem sicher, dass „echte“ User sich auch dann noch ins Backend einloggen können, wenn sie sich mehr als fünf Mal hintereinander vertippt haben.

mfc_belogin_captcha wurde für die TYPO3-Version 4.5 LTS entwickelt und heute im TER veröffentlicht.  Die Extension kann ab sofort in Version 4.5 eingesetzt werden. Auch in der neuen Version TYPO3 6.2 LTS, die gegen Ende des Jahres offiziell erhältlich sein wird, kann mfc_belogin_captcha von Beginn an eingesetzt werden. Um einen Public Bugtracker für diese Extension zu erhalten, wird die Extension zusätzlich auch im Forge veröffentlicht.

Mit der Entwicklung und Veröffentlichung dieser Extension tragen wir dazu bei, dass Hackerangriffe schneller und effizienter unterbunden werden können. Überwachungssysteme müssen wegen solcher Angriffe zukünftig nicht mehr Alarm schlagen und unser Techniker vom Dienst kann nachts beruhigter schlafen… 😉 Vielen Dank dafür, Sebastian!

Share on Facebook0Tweet about this on TwitterShare on Google+0Pin on Pinterest0

Über Tu Phuong Luu

Seit Mitte 2012 bei der Marketing Factory Consulting GmbH zuständig für die Leitung von Online-Projekten inkl. Angebotserstellung und Kalkulation, interner und externer Koordination, Qualitätssicherung und allem, was sonst noch so dazu gehört...

Homepage: http://www.marketing-factory.de

4 thoughts on “Neue Extension mfc_belogin_captcha gegen Hackerangriffe auf TYPO3”

  1. Hallo Wolfgang,

    die Extension ist von uns zunächst für 4.5 LTS entwickelt worden und dort auch getestet. Leider war ein Upload ins TER nur mit der Angabe bis 6.1.99 möglich. Daher steht das leider so drin. Wenn Interesse für eine Version für 4.7, 6.0 und 6.1 besteht können wir die Anpassungen gerne machen.

    Grüße

    Ingo

  2. Hallo zusammen,

    ich habe mir das Thema 4.7 mal genauer angeschaut.

    Bei leerem Feld kann ich kein Login durchführen. Bei Eingabe von nur einer Hälfte des Captchas hängt es davon ab welche Hälfte es ist. Die photographierten Zahlen sind dabei „irrelevant“ werden sie ausgelassen klappt ein Login trotzdem.
    Werden hingegen die Zahlen auf der weißen Fläche nicht oder fehlerhaft eingegeben wird das Login invalidiert.

    Thema 6.1 ist ein wenig komplizierter. Hier müssen 2 Core Patche akzeptiert werden. Sollten sich die active contributer dagegen entscheiden müssen dafür 2 xclass angelegt werden. So lange da eine Entscheidung bezüglich 6.2 und indirekt 6.1 aussteht würde ich damit gerne noch bis 14.10. warten.

    Sollte bis dahin immer noch keine Entscheidung gefallen sein sehen wir weiter.

    Grüße
    Sebastian

Kommentare sind geschlossen.