Es wurden also diverse Typo3-Webseiten gehackt. Soso. Ich mach jetzt einfach mal keinen Typo3-Flame-Post, sondern stell einfach mal die Frage: Warum?

Scheinbar wurde die eigentliche Schwachstelle aktuell noch gar nicht gefunden und das ist eigentlich das Fatale daran. Ich predige immer wieder, dass es keine wirklich geile Idee ist, jede Anfrage durch Scripte zu schießen. Man findet dabei immer eine Lücke, die einen simplen Zugang zum Server ermöglichen.

Hier nochmal ein paar Fragen für die typischen Website-Betreiber:

• braucht man bei jeder Anfrage an den Server ein Script, was die Seite generiert und raushaut oder kann man die Seite einfach bei jeder Änderung generieren, als statische Datei ablegen und ausliefern lassen?
• muss das Administrations-/Redaktions-Tool immer von jedem erreichbar sein oder kann man dieses anderweitig schützen?
• braucht man jedes Script im Document-Root oder kann man diese vielleicht in einen Bereich legen, wo eben nicht jeder dran kommt?
• wollt ihr euren Server wirklich immer selbst betreuen oder kann man dies auch jemandem überlassen, der Ahnung davon hat, auch wenn es teurer als ein 30-Euro-Root-Server ist?

Grad im Agenturbereich ist es mir schon häufiger aufgefallen, dass es immer noch nicht normal ist, seinen Serverbetrieb aus der Hand zu geben, obwohl dort oft nur Hobby-Admins sitzen, die schon mal gehört haben, wie man einen Apache installiert. Wenn man sich dann die Updates auf dem Server anschaut, sieht es meist düster aus. Wenn es dann darum geht, den Scripten entsprechende Rechte zu geben, endet es meist im chmod -R 777 *.

Es gibt einfach so viel mehr Dinge, die so eine dynamische Website an Pflichten mit sich bringt, als nur ein Update-Button-Drücker einmal im Monat, wenn man zufällig sieht, dass es für Wordpress ein Update gibt.