Content Management in der Praxis
Themen
- Content-Management-Systeme (CMS)
- Content managen
- Content Management
- Suchmaschinen
- Fachliteratur
- Rezensionen
Aktuelle Termine
Tags
Die Installation von TYPOlight und der Benutzer k.jones
Die Installation von TYPOlight ist ja ganz gut dokumentiert. Hilfetexte unterstützen den Benutzer und ein Benutzerhandbuch steht zur Verfügung. Auch ein Beispiel-Template kann eingebunden werden, so dass man mit TYPOlight erst einmal herumspielen kann. Die Crux an der Geschichte: mit dem Demo-Template werden Benutzer angelegt, die bei der Veröffentlichung der eigenen Website Hacker-Angriffe ermöglichen können.
Es ist schon eine grosse Hilfe. Bei der Installation von TYPOlight kann man bestimmen, ob man das Demo-Template “Music Academy” verwenden möchte. Mit diesem Template werden gleich sechs Benutzer mitgeliefert – vom Frontend-Benutzer bis zum Administrator mit dem Namen “Kevin Jones”. Mit den Benutzerdaten von Kevin Jones kann man sich dann problemlos im Backend einloggen und die Inhalte bearbeiten.
Diese an sich gute Idee birgt aber eine Gefahr in sich. Die Login-Daten des Benutzers k.jones sowie der anderen Benutzer sind im Internet bekannt und einsehbar.
Die offiziellen TYPOlight-Websites gehen offensichtlich davon aus, dass TYPOlight-Newbies die Demo-Installation ausschliesslich auf ihren lokalen Rechnern einrichten und nicht auf ihrem Webserver. Weiterhin wird wohl davon ausgegangen, dass die eigene Website nur unter Nicht-Verwendung des Demo-Templates auf den Webserver übertragen wird.
Aber die Praxis zeigt anderes: aus den TYPOlight-Foren geht hervor, dass es durchaus Websites gibt, die ursprünglich auf Grundlage des Demo-Templates entstanden sind, auch wenn sie heute ein eigenes Design und eigene Inhalte besitzen. Und bei einigen dieser Sites scheint der Administrator Kevin Jones immer noch vorhanden zu sein. Damit besitzen diese Websites einen Benutzer, dessen Login-Daten weit bekannt sind; damit bieten diese Websites ein Scheunentor für Angriffe auf die Site; damit kann sich praktisch jeder in diese Websites einloggen und die Inhalten verändern.
Leider finden sich auf den offiziellen TYPOlight praktisch keine Hinweise auf diese Gefahr.
Also: wer seine TYPOlight-Website auf seinen Webserver spielt und sie im Internet veröffentlicht, sollte in der Benutzerverwaltung unbedingt prüfen, ob die Benutzer aus der Demo-Vorlage noch vorhanden sind.
Möglichst frühzeitig sollte ein eigener Administrator angelegt werden, dessen Login-Daten selbstverständlich nicht bekannt gegeben werden sollten. Dann sollten die automatisch von der Demo angelegten Benutzer wie Kevin Jones, Helen Lewis und James Wilson unter “Benutzer” sowie John Doe, Donna Evans und John Smith unter “Mitglieder” unbedingt gelöscht werden. Nur so kann verhindert werden, dass sich unberechtigte Personen über diese Login-Daten Zutritt zu der Website verschaffen und diese manipulieren können.
Websites erstellen mit Contao: Projekte mit dem Contao (TYPOlight) Open Source CMS erstellen und erweitern
Peter Müller
'Websites erstellen mit Contao' auf Amazon.de bestellen
Das offizielle Contao-Buch: Der Leitfaden für Anwender, Administratoren und Entwicklung
Leo Feyer
'Das offizielle Contao-Buch' bei Amazon.de bestellen
Mit Contao Webseiten erfolgreich gestalten: Konzeption, Umsetzung, Beispielprojekte (TYPOlight)
Thomas Weitzel
'Mit Contao Webseiten erfolgreich gestalten: Konzeption, Umsetzung, Beispielprojekte' (TYPOlight) bei Amazon.de bestellen
Contao für Redakteure: Inhalte editieren und verwalten mit dem Open-Source-CMS (TYPOlight)
Nina Gerling
'Contao für Redakteure: Inhalte editieren und verwalten mit dem Open-Source-CMS' (TYPOlight) auf Amazon.de bestellen
cm4u.net auf Facebook
