Success-Story: TYPO3 13 sicher live – der Go-live von Profenster
Wie wir die TYPO3-13-Website von Profenster sicher produktionsreif gemacht haben: Secrets aus der Umgebung, produktiver Mailversand, Härtung und v13-Fixes.
TYPO3 13 sicher in Produktion bringen – der Go-live von Profenster
Profenster ist Spezialist für Fenster, Türen, Sonnenschutz und Wintergärten und betreibt seine Webpräsenz auf TYPO3. Nach dem Upgrade von TYPO3 12 auf 13 stand der entscheidende Schritt an: die Seite aus der Entwicklungsumgebung heraus sicher und stabil in den Produktivbetrieb zu bringen. Genau hier entscheidet die Konfiguration über Sicherheit, Zustellbarkeit von E-Mails und die Stabilität der Seite – und genau hier haben wir eine ganze Reihe typischer Stolperfallen ausgeräumt.
Die Herausforderung
Eine Website, die in der Entwicklung tadellos läuft, ist noch lange nicht produktionsreif. Die Konfiguration trug an vielen Stellen Entwicklungswerte, die im Live-Betrieb entweder nicht funktionieren oder ein Sicherheitsrisiko darstellen:
- Zugangsdaten im Repository: Datenbank- und Mailversand-Zugänge waren fest in der Konfiguration hinterlegt – auf dem Produktionsserver passten sie nicht mehr und waren obendrein nicht sicher abgelegt.
- Mailversand ins Leere: Die Seite war auf ein reines Entwicklungs-Werkzeug für E-Mails eingestellt. In Produktion wären Kontaktformular-Anfragen und Systemmails lautlos verschwunden.
- Sichtbare Debug-Ausgaben: Debug-Modus und Fehleranzeige waren aktiv und hätten Besuchern interne Details und Fehlermeldungen offengelegt.
- Warnungen nach dem Versionssprung: Das maßgeschneiderte TYPO3-Paket nutzte Schnittstellen, die es in Version 13 nicht mehr gibt.
- Build, der scheiterte: Der Produktions-Build zog das komplette, mehrere Gigabyte große Datenverzeichnis mit und brach ab.
Unser Ziel: eine konkrete, nachvollziehbare Checkliste abarbeiten, sodass die Seite sicher, stabil und ohne böse Überraschungen live geht.
Unsere Lösung
1. Zugangsdaten raus aus dem Code
Datenbank- und SMTP-Zugänge werden nicht mehr fest in der Konfiguration gespeichert, sondern zur Laufzeit aus Umgebungsvariablen gelesen. Die produktiven Geheimnisse liegen ausschließlich als Deploy- bzw. CI-Secrets vor und werden über die Container-Umgebung eingespielt. Für die lokale Entwicklung greifen weiterhin sichere Standardwerte – dieselbe, eingecheckte Konfiguration funktioniert damit in Entwicklung und Produktion, ohne dass ein einziges Passwort im Repository landet.
2. Produktiver Mailversand statt Entwicklungs-Attrappe
In der Entwicklung landen E-Mails in einem lokalen Auffang-Werkzeug – praktisch zum Testen, aber in Produktion ein stiller Totalausfall. Wir haben den Versand auf einen echten SMTP-Dienst umgestellt, inklusive Absenderadresse und -name. Das Zugangspasswort kommt auch hier aus einer geschützten CI-Variable, nicht aus dem Code. Damit erreichen Kontaktformular-Anfragen und Systembenachrichtigungen zuverlässig ihr Ziel – kein verlorener Lead mehr.
3. Produktions-Härtung der Konfiguration
Für den Live-Betrieb haben wir Debug-Modus, Fehleranzeige und die Entwickler-Freischaltung per IP konsequent deaktiviert. So bekommen Besucher im Fehlerfall keine internen Stacktraces, Pfade oder Konfigurationsdetails mehr zu sehen – ein wichtiger Baustein, sobald echter Live-Traffic auf den neuen Server trifft.
4. Sauberes TYPO3-13-Paket ohne Altlasten
Der Versionssprung von 12 auf 13 hat im individuellen Erweiterungspaket Warnungen ausgelöst, weil dort Schnittstellen verwendet wurden, die in Version 13 entfernt wurden – etwa für den Seitentitel in den Social-Media-Metadaten oder für die Bild-Auszeichnung. Wir haben diese Stellen auf die unterstützten Wege der Version 13 umgestellt (Seitentitel aus der Site-Konfiguration, Bildpfade aus der regulären Bildverarbeitung) und eine nicht initialisierte Variable bereinigt. Das Frontend rendert seitdem sauber, ohne Warnungen im Log.
5. Schlanker, reproduzierbarer Build
Der Produktions-Build zog zuvor das komplette Arbeitsverzeichnis als Kontext mit – inklusive eines mehrere Gigabyte großen Datei-Verzeichnisses, an dem er schließlich scheiterte. Mit einer sauberen Ausschlussliste (.dockerignore) wandern nur noch die wirklich benötigten Dateien in den Build-Kontext. Das Ergebnis: ein schneller, schlanker und reproduzierbarer Build – ohne Datenballast und ohne versehentlich eingepackte Geheimnisse oder Datenbank-Dumps.
Das Ergebnis
Die Website von Profenster läuft seit dem Go-live stabil und sicher auf TYPO3 13:
- Keine Geheimnisse im Code – alle Zugangsdaten kommen aus der geschützten Umgebung.
- Zuverlässiger Mailversand – Anfragen und Systemmails erreichen ihr Ziel.
- Keine Informationslecks – im Fehlerfall sehen Besucher keine internen Details.
- Sauberes Frontend – keine Warnungen mehr nach dem Versionssprung.
- Reproduzierbare Builds – schnell, schlank und ohne Datenballast.
Fazit
Ein erfolgreicher Go-live ist kein Zufall, sondern das Abarbeiten einer durchdachten Checkliste: Geheimnisse in die Umgebung, Mailversand auf einen echten Dienst, Debug-Ausgaben aus, veraltete Schnittstellen ersetzen und den Build von Ballast befreien. Wer einen TYPO3-Relaunch oder ein Major-Upgrade plant, sollte diese Punkte früh einplanen – statt mit einer halb konfigurierten Entwicklungsumgebung live zu gehen.
Sie planen einen TYPO3-Relaunch oder ein Upgrade und möchten sicher in Produktion gehen? Sprechen Sie uns an – wir begleiten Ihren Go-live von der ersten Checkliste bis zum stabilen Live-Betrieb.
Über den Autor
Christopher Zechendorf
Christopher Zechendorf leitet die ext.dev GmbH und bringt über 25 Jahre Erfahrung in Webentwicklung, CMS-Systemen und Infrastruktur mit.
