Absichern des Umbraco CMS
Praktische Ratschläge zum einfachen absichern eines Umbraco CMS. Wir besprechen dabei die Konfiguration und auch allgemeine Verhaltensregeln.
- Mit Umbraco selbst hat man schon allein mit der Auswahl dieses CMS ein wichtigen Schritt in die richtige Richtung getätigt. Im Vergleich zu vielen anderen CMS ist Umbraco nicht überladen. Es wird mit Quasi keinen Modulen, Plugins usw... ausgeliefert und bietet daher im Vergleich zu Systemen wie WordPress eine geringere Angriffsfläche.
- Webserver absichern. Die beste Umbraco Sicherheitsstrategie bringt nix, wenn das darunter liegende System nicht das gleiche Schutzniveau bekommt. Vor allem, wenn das Umbraco CMS auf einem eigenen Server gehostet wird - müssen viele Aspekte bei der Absicherung des Server betrachtet werden. Hierfür haben wir bereits ein eigenen Artikel verfasst: Absicherung eines Windows Webservers
- Halten Sie stehts Ausschau nach Sicherheitslücken, dafür bietet sich vor allem der Umbraco Blog oder die Social Media Kanäle an. Als interessierter(er) Anwender könnte man auch ein Blick auf Github werfen und vor allem die Release Notes genauer im Auge behalten.
- Geben Sie Umbraco im IIS bzw. dem IIS Apppool nur die Rechte, die es braucht - auf keinen Fall unter einem Konto laufen lassen mit privilegierten Rechten.
- Jetzt etwas sehr offensichtliches: Wählen Sie gute Passwörter für Ihren Zugang zur Administration - vor allem keine Passwörter die in irgend einer Form etwas mit dem Inhalt Ihrer Website zu tun haben. Es gibt Hacking Tools womit aus dem Inhalt Ihrer Websites passende Passwörter generiert werden können - weil viele Anwender leider gern Passwörter verwenden von Dingen, die Sie gern haben - also höchstwahrscheinlich etwas - was mit dem Inhalt der Website zu tun hat.
- Geben Sie nie jemand Fremden auch nur einfache Benutzer Zugang. Verlassen Sie sich nie auf das Rechtekonzept - es kann immer Lücken haben. Das Backend ist nun mal etwas komplexer und Angreifbarer als die normale Website im Frontend - und Komplexität schafft Fehler und Sicherheitslücken.