Der interessante Mittelweg

Teil 2: CMS-Serie: Zikula 1.1

Der ursprüngliche Code von Zikula hat sich stark weiterentwickelt. Mit den veröffentlichten Bugfixes wurden inzwischen unzählige Sicherheitslücken geschlossen. Die naheliegende Frage, ob man Zikula als sicher einstufen kann, lässt sich jedoch nicht pauschal beantworten. Das hängt davon ab, ob man die Standardinstallation in unveränderter Form einsetzt oder manuell nachbessert, um die bekanntesten Risiken zu unterbinden.

Eine Out-of-the-box-Installation von Zikula hinterlässt ein Verzeichnis namens pnTemp mit temporären Dateien im Wurzel-Verzeichnis des CMS-Systems und gewährt darauf Schreibrechte. Das Ablegen von Skripten an einer Stelle mit Schreibrechten ist natürlich besonders simpel, aber leider wird das System somit für unzählige Hacker zu einer leichten Beute.

Die Platzierung eines Verzeichnisses mit Schreibrechten auf temporäre Dateien ist denkbar unpassend und man sollte sie unbedingt vermeiden. Es empfiehlt sich, das pnTemp-Verzeichnis aus dem Dokumenten-Verzeichnis des Webservers heraus zu verschieben.

Außerdem sollte man die Zugriffsrechte der Zikula-Installation manuell korrigieren. Dateien benötigen die Zugriffsrechte 644 oder 444; Verzeichnisse sollten auf 755 gesetzt sein.

Warum die Installationsskripte von Zikula im Dokumentenverzeichnis einfach so belassen werden und warum die Zugriffsrechte so liberal gesetzt sind, kann nicht sinnvoll begründet werden. Das Korrigieren von Zugriffsrechten durch einen Aufruf von chgrp, chown und chmod wäre dem Installationsskript auf jeden Fall zuzumuten.

Content-Management-Systeme

© Archiv

Benutzerverwaltung in Zikula.

Zu großzügig bemessene Zugriffsrechte, insbesondere in Kombination mit einem FTP-Zugang, führen dazu, dass Hacker sich in Minutenschnelle Zugriff auf den Webserver verschaffen. Ein Angreifer versucht im ersten Schritt, auf dem Server via FTP ausführbare Skripte abzulegen.

Mit diesen Skripten kann er dann das Web-Verzeichnis des Webservers nach lückenhaften Zugriffsrechten scannen. Dort installiert der Hacker ein übers Web steuerbares Skript. Das ist in einer Standardinstallation von Zikula leider nicht unmöglich. Wurde der Server ganz offensichtlich kompromittiert, wird der Systemverwalter tätig.

Wenn der Hacker aber nur unauffällig zu Werke schreitet, kann er den Server monatelange missbrauchen und viel gravierendere Schäden anrichten.

Niemand würde die Haustür offen lassen und dann verreisen, aber viel zu viele Entwickler gehen vergleichsweise leichtsinnig mit den Zugriffsrechten um und Webmaster sind sich dessen oft nicht bewusst.

Zikula ist zwar nicht so krass leichtsinnig wie manche anderen CMS-Systeme, bei denen man zwangsläufig 777 einstellen muss, damit sie überhaupt funktionieren, aber es sorgt eben auch nicht für lückenlosen Schutz vor Angriffen.

Sichere Installation

Wenn Sie Zikula auf einem Server einrichten, der über das Netzwerk zugänglich ist, sollten Sie sicherstellen, dass Unbefugte mit Ihrer Installation nicht interferieren können.

Es wird empfohlen, das Zikula-Wurzelverzeichnis beziehungsweise Dokumenten-Verzeichnis Ihres Webservers mittels einer .htaccess-Datei vor unerwünschten Zugriffen zu schützen - entweder manuell oder im Administrationsfrontend des Webservers.

Falls sich in dem Dokumenten-Verzeichnis eine .htaccess-Datei bereits befindet, öffnen Sie diese in einem Texteditor und fügen Sie ihr den folgenden Inhalt hinzu:

AuthType Basic
AuthUserFile "/home/pfad-zu-einem-
sicheren-Verzeichnis/.htpasswd"
Require valid-user

Wenn diese Datei noch nicht existiert, können Sie diese in einem Texteditor erstellen. In dem Pfad, der in der .htaccess-Datei angegeben ist, muss sich jetzt eine Datei namens .htpasswd befinden.

Mehr zum Thema

Youtube Sperre umgehen GEMA
Videos freischalten

So umgehen Sie die GEMA-Sperre bei Youtube. Was Sie dazu brauchen, und wie es am einfachsten geht.
Neue Fritzboxen unterstützen den AC-Standard.
WLAN-Geschwindigkeit verdoppeln

Mehr WLAN-Geschwindigkeit: Mit dem WLAN-Standard 802.11ac und den richtigen Geräten und Einstellungen verdoppeln Sie den Datendurchsatz.
Netflix auf dem TV
Programm in der Übersicht

Welche Filme und Serien gibt es bei Netflix eigentlich zu sehen? Was ist neu im Streaming-Angebot? Diese Antworten helfen weiter.
Netflix
Streaming

Preise, kompatible Geräte, Datenrate, Serien- und Filmangebot von Netflix: Wir beantworten die wichtigsten Fragen rund um den Streaming-Dienst.
E.T. – Der Außerirdische
Vorschau auf Film- und Serien-Highlights

Amazon Prime Instant Video lockt im Dezember 2016 mit Film-Highlights wie "E.T.", "Fast & Furious 7" und der Serie "Ku’damm 56​".