TYPO3 Sicherheit & Server-Härtung

Produktionssysteme absichern – mit mehreren aufeinander aufbauenden Schutzebenen

Sicherheit ist eine Disziplin, kein Nachgedanke

Eine TYPO3-Installation ist nur so sicher wie der Server, auf dem sie läuft. In der Praxis entscheidet nicht eine einzelne Schutzmaßnahme über die Sicherheit einer Website, sondern das Zusammenspiel vieler aufeinander aufbauender Ebenen. Genau dieses Prinzip – Defense in Depth – liegt unserer Arbeit an Produktionssystemen zugrunde: Keine Ebene ist perfekt, aber was die eine übersieht, fängt die nächste ab.

Wir betreiben TYPO3-Systeme nicht nur, wir härten sie systematisch ab – vom Betriebssystem über das Netzwerk und den Webserver bis zur Anwendung selbst. Das Ergebnis ist eine reproduzierbare, dokumentierte Härtung, die jedes Projekt auf denselben hohen Standard hebt.

Defense in Depth – sieben Sicherheitsebenen

Für unsere TYPO3-Produktionsumgebungen setzen wir sieben aufeinander aufbauende Sicherheitsebenen ein:

  1. Betriebssystem-Härtung – jeder neue Server wird automatisiert mit einer gehärteten Grundkonfiguration provisioniert (SSH-Härtung, deaktivierter Root-Login, ausschließlich Public-Key-Authentifizierung).
  2. Netzwerkisolation – Datenbank und Cache laufen in einem internen Netzwerk und sind von außen grundsätzlich nicht erreichbar.
  3. TLS-Härtung – moderne Verschlüsselung und sichere Cipher-Konfiguration für die gesamte Kommunikation.
  4. Web-Server-Härtung – Security Header, Rate Limiting und Connection Limiting auf nginx-Ebene.
  5. Intrusion Detection – automatisches Erkennen und Sperren verdächtiger Zugriffsmuster.
  6. Applikations-Härtung – sichere Konfiguration von TYPO3 selbst, Secrets aus der Umgebung statt aus dem Repository.
  7. Monitoring und Log-Management – kontinuierliche Überwachung, damit Auffälligkeiten frühzeitig sichtbar werden.

Die Stärke dieses Ansatzes liegt in der Kombination: Was die Firewall nicht sieht, fängt das Rate Limiting ab; was das Rate Limiting nicht erkennt, blockiert die Intrusion Detection.

Server-Härtung & gehärtetes Hosting-Boilerplate

Damit jedes Projekt automatisch denselben gehärteten Standard erhält, setzen wir ein eigens entwickeltes Hosting-Boilerplate ein. Ein einziges Setup-Script erzeugt daraus eine vollständige, produktionsreife Umgebung – von Docker Compose über die Nginx-Konfiguration bis zur CI/CD-Pipeline.

Zu den festen Bausteinen gehören:

  • Security Header als Standard – kein Header wird versehentlich vergessen.
  • Rate Limiting und Connection Limiting auf Webserver-Ebene.
  • Netzwerktrennung: Datenbank und Cache liegen in einem internen Netzwerk und sind weder über einen Portscan noch von außen erreichbar.
  • Least Privilege: jeder Dienst erhält nur die Rechte, die er tatsächlich benötigt.
  • Secrets aus der Umgebung: Zugangsdaten werden über Umgebungsvariablen bereitgestellt, nicht im Repository hinterlegt.

So entfällt die fehleranfällige manuelle Konfiguration pro Projekt – und mit ihr das Risiko vergessener Schutzmaßnahmen.

Schutz vor aggressiven Bots und Scannern

Nicht jede Bedrohung ist ein klassischer DDoS-Angriff. In einem realen Fall legte ein einzelner Vulnerability Scanner eine TYPO3-Website lahm – nicht durch verteilten Massentraffic, sondern indem er in wenigen Minuten hunderte Anfragen gegen typische Angriffspfade (.env-Dateien, WordPress-Endpunkte, xmlrpc.php) feuerte. Keiner dieser Pfade existierte, doch jede 404-Antwort kostete einen vollen PHP-FPM-Worker. Innerhalb von Minuten waren alle Worker belegt und legitime Besucher konnten die Seite nicht mehr erreichen.

Ein reines Rate Limit greift hier nicht: Es begrenzt Anfragen pro Sekunde, nicht jedoch viele gleichzeitig offene Verbindungen, die jeweils einen Worker blockieren. Unsere Absicherung kombiniert deshalb zwei Ebenen:

  • nginx Connection Limiting begrenzt die gleichzeitigen Verbindungen pro IP-Adresse.
  • fail2ban erkennt Scanner an ihren typischen Request-Mustern und sperrt sie vollständig aus.

Damit bleibt die Website auch unter aggressivem Scan-Verkehr für echte Besucher verfügbar.

Zugriffssicherheit: 2FA und sicherer SSH-Zugriff

Sicherheit endet nicht beim Server, sondern schließt jeden Zugang ein:

  • Zwei-Faktor-Authentifizierung im TYPO3-Backend: Redaktions- und Administrationszugänge werden zusätzlich zum Passwort durch einen zweiten Faktor abgesichert.
  • Sicherer SSH-Zugriff: Root-Login ist deaktiviert, Passwort-Authentifizierung verboten – erlaubt ist ausschließlich die Public-Key-Authentifizierung mit begrenzten Fehlversuchen. Inaktive Verbindungen werden automatisch getrennt.

So lassen sich kompromittierte Passwörter allein nicht in einen Zugriff verwandeln.

Sicherer Go-live

Gerade beim Produktivgang zeigt sich, ob ein System wirklich sauber abgesichert ist. Beim Go-live des TYPO3-13-Projekts von Profenster haben wir genau diese Punkte konsequent umgesetzt: Zugangsdaten wurden aus dem Repository entfernt und über die Umgebung bereitgestellt, der Mailversand wurde von einem reinen Entwicklungs-Werkzeug auf produktiven Versand umgestellt, und das System wurde vor dem Livegang gehärtet. Das Ergebnis: ein Produktivsystem ohne fest hinterlegte Secrets, mit zuverlässigem Mailversand und einer durchgängig gehärteten Konfiguration.

Mehr zu diesem und weiteren Projekten finden Sie in unseren Erfolgsgeschichten.

Lassen Sie Ihr TYPO3-System absichern

Ob Neuaufsetzung, Go-live oder Härtung eines bestehenden Systems – wir bringen Ihre TYPO3-Umgebung auf einen reproduzierbaren, dokumentierten Sicherheitsstandard. Kontaktieren Sie uns für ein unverbindliches Gespräch über die Absicherung Ihrer Produktionsumgebung.