Contao Sicherheit: Mit einfachen Schritten Contao richtig absichern - Sicherheit erhöhen

'Mathias Arzberger'
Mathias Arzberger

1) Die .htaccess im Hauptverzeichnis erweitern um das Contao Backend zu schützen

Die .htaccess-Datei ist in Sachen Sicherheit unübertroffen und es lassen sich einzelne Dateiaufrufe und ganze Verzeichnisse darüber speeren.
Im Webverzeichnis (public bzw. web) kann man die .htaccess Datei wie folgt ergänzen, damit das Backend und das Installtool zusätzlich per Passwortschutz abgesichert wird. Du kannst einen .htpasswd Generator benutzen oder die Tools die dein Hosting Anbieter bereitstellt.

# public/.htaccess
SetEnvIf Request_URI ^/(contao($|/)|contao\/install($|/)) require_auth=true
AuthUserFile "/var/www/example.com/.htpasswd"
AuthGroupFile /dev/null
AuthName "Login"
AuthType Basic
Require valid-user
Order deny,allow
Deny from all
Allow from env=!require_auth
Satisfy any

2) Die Contao Backend-URL anpassen

Seit Contao 4.13 lässt sich der Pfad für den Backend-Login anpassen. Dazu kannst du in der config.yml folgende Anpassung durchführen:

# config/config.yml
contao:
    backend: 
        route_prefix: '/mynewadminpanel'

3) Den Contao Manager umbenenen

Du kannst für den Contao Manager einen beliebigen Dateinamen verwenden. Allerdings ist der Contao Manager dann nicht mehr über das Backend erreichbar. In diesem Fall kannst du die config.yml entsprechend anpassen. Anschließend musst du über den Contao Manager (»Systemwartung« > »Prod.-Cache erneuern«) oder über die Konsole einmalig den Anwendungs-Cache leeren.

# config/config.yaml
contao_manager:
    manager_path: cm.php

4) Zwei-Faktor-Authentifizierung für das Backend aktivieren

Wenn es darum geht, den Contao Backend Login noch weiter abzusichern, ist eine weitere schöne Lösung die 2-Faktor-Authentifizierung, die seit Contao 4.8 zur Verfügung steht. Über Benutzer -> Sicherheit kann die Zwei-Faktor-Authentifizierung aktiviert werden.

5) Contao Backend Login und Contao Manager nur für bestimmte IP Adresse erlauben

Den Contao Backend Login und den Contao Manager kannst du auch relativ einfach blockieren bzw. für einzelne Personen freischalten. Voraussetzung ist, dass alle die auf das Backend oder den Manager zugreifen müssen eine feste IP Adresse besitzen.

# public/.htaccess

# Contao Manager absichern
<Files contao-manager.phar.php>
order deny,allow
deny from all

# IP Addressen für Contao Manager erlauben
allow from 2.206.242.84
# allow from <second ip>
# allow from <third ip>
</Files>

# Contao Backend absichern
<Directory "/contao">
Order Deny,Allow
Deny from all
allow from 2.206.242.84
# allow from <second ip>
# allow from <third ip>
</Directory>

Woher bekommst du deine IP Adresse?

Jedes Gerät mit Internetanschluss erhält vom Internetprovider eine IP Adresse, um eindeutig identifiziert werden zu können. Du kannst deine IP Adresse z.B. über wieistmeineip.de auslesen.

Tags: Contao gegen Hacks absichern, Contao Sicherheit erhöhen, Contao Sicherheit verbessern, Contao für Admins, Absicherung des Contao Backends

Zurück

*******************

Liebe Leser,
Menschen sind nicht ausschließlich Frauen, Männer, weiblich, männlich, divers – Menschen können vielfältiger sein! Wir möchten euch ALLE als Menschen ansprechen, egal von welchem Geschlecht oder welcher Kultur. Sprachlich ist es schwierig, euch alle „richtig“ anzusprechen. Daher verwenden wir – auch für eine bessere Lesbarkeit – bei Personenbezeichnungen meist die männliche Form, wie Dienstleister oder Partner. Aber eins ist uns wichtig: Keiner soll sich ausgeschlossen fühlen.

Zudem sind wir Verfechter des DU #gernperdu und gestalten so unsere tägliche Kommunikation etwas lockerer und persönlicher. Auch hier gilt: Wir bringen allen die gleiche Wertschätzung entgegen.

*******************