Hold din TYPO3 CMS hjemmeside opdateret

Jeg har siden 2005 fulgt udviklingen af CMS systemet TYPO3. Systemet har i den tid udviklet sig en masse. Dog ikke så meget som i de senere år. Emner som sikkerhed og brugervenlighed er også emner som bliver taget mere og mere seriøst inden for TYPO3.

I går aftes udkom version 4.5 af TYPO3, som er en såkaldt “Long Term Support release”. Det betyder at der ydes support inden for sikkerhed og bug fixes på denne version i minimum 3 år frem.

Helt konkret betyder det at der i mere end 3 år vil komme en ny subversion (4.5.x) af TYPO3, hver gang der findes fejl eller sikkerhedshuller i systemet.

Opgrader “automatisk” TYPO3 til seneste subversion

Rigtig mange TYPO3 CMS huse benytter dog ikke denne opgraderingsmulighed, og det er en skam. Hvis ikke du får opgraderet kan du risikere at skulle leve med små fejl i systemet eller måske endda at din hjemmeside bliver udsat for hackerangreb.

Sidstnævnte kan aldrig undgås. Ikke med noget system. Men du kan forebygge og gøre risikoen så lille som overhovedet mulig. Det gør du blandt andet ved at opgradere dit CMS til seneste subversion.

Nu tænker du nok at det er et kæmpe arbejde, men det behøver slet ikke at være så vanskeligt.

På vores servere har vi et setup der gør os i stand til at opgradere samtlige TYPO3 installationer inden for 15 minutter, hver gang der kommer en ny subversion.

Det kommer vores kunder til gode i form af fejlretninger af børnesygdomme, samt sikkerhedsopdateringer. Og det vel og mærke uden at de skal røre en finger eller have pengepungen op af lommen.

Vores TYPO3 opgraderingspolitik

Vi har den politik at vi kun er “tvunget” til at få opgraderet vores kunders installationer, når der findes nogle sikkerhedhuller der er serverkritiske.

Det skal forstås på den måde, at hvis et sikkerhedshul er så kritisk at det potentielt ikke “kun” går ud over den pågældende installation, men også alle andre sites på serveren, ja så skal sitet altså opgraderes til nyeste version af TYPO3.

Lad mig give dig et eksempel:

I skrivende stund har vi nogle kunder der kører med version 4.2.x (4.2.16) af TYPO3. Denne version blev kun supporteret indtil december 2010. Med andre ord, så bliver der ikke rettet fejl og lukket sikkerhedshuller i denne version mere. Derfor ville kunden fra dette eksempel skulle opgraderes til version 4.5.x for at mindske risikoen for fejl og ikke mindst hackerangreb.

Så hvis du har en TYPO3 hjemmeside der er ældre end 4.3.x, så bør du få den opgraderet til en nyere version.

Den slags opgraderinger betaler vores kunder for. Det tager typisk et sted mellem 3 og 8 timer, afhængigt af hvor avanceret TYPO3 hjemmesiden er. Selvom nogle kunder har svært ved at acceptere dette, så kan de som regel også godt forstå vigtigheden af det – og hvis vi sammenligner denne omkostning med hvad licenser til kommercielle systemer koster, så er de 3-8 timer peanuts.

Siden 2004 tror jeg vi har været “tvunget” til at lave disse systemopgraderinger 3 gange. Jeg tror dog ikke der er nogen kunder der har oplevet de mere end 2 gange. Det skal dog siges at TYPO3 er kommet i ny hovedversion ret ofte de seneste 2-3 år. Det har betydet at disse opgraderinger har fyldt lidt mere end vi synes godt er.

Derfor er det dejligt at se at version 4.5 nu er udkommet, og at de kunder der bliver opgraderet til denne version, kan køre på den i de næste 3 år (minimum).

Husk også modulerne (extensions)

En opgradering af kernen af TYPO3 gør det dog ikke alene. Af og til findes der også sikkerhedshuller i nogle af de mere end 3000 moduler der findes til TYPO3. De bør også blive opgraderet – ellers går du igen på kompromis med sikkerheden.

Indtil videre har vi dog også været i stand til at få opgraderet modulerne på en installation inden for de 3-8 timer. Og fremover behøver det med version 4.5 ikke ske så tit mere.

Valg af hostingleverandør til TYPO3

I forhold til sikkerhed er det også enormt vigtigt at du finder en hostingpartner, der både har styr på almindelig serveropsætning, serveradministration og ikke mindst TYPO3 hosting.

Det er rigtigt at TYPO3 sagtens kan fungere på et billigt webhotel, men de har næppe helt styr på sikkerheden omkring en TYPO3 løsning. I hvert fald har jeg oplevet rigtig mange gange, blandt andet ved nogle TYPO3 kunder vi har overtaget fra andre, at TYPO3 versionen ikke er blevet opgraderet siden hjemmesiden blev udviklet. Ikke en gang subversioner er blevet rullet ud.

Sådan bør det altså ikke være. Så hvis du oplever at det er sådan på din TYPO3 installation, så spark til din leverandør. Nå ja. Du kunne jo også finde en anden. :-)

TYPO3 sikkerhed generelt

Nu er du ikke engang helt sikker, hvis du lever op til ovenstående to ting. Der selvfølgelig også mere normale ting, så som:

  • gode kryptiske passwords til dit login
  • deaktivering af install tool
  • fjernelse af standard login til backenden
  • begrænsede rettigheder på filstrukturen
  • m.m.

Det kan være jeg kommer med et uddybende indlæg om dette på et senere tidspunkt.

Til sidst kunne jeg godt tænke mig at spørge dig kære læser. Hvor meget tænker du på sikkerhed (og bøvl) når du skal vælge system eller leverandør til en hjemmeside eller webshop?

14 replies
  1. Henrik Andersen
    Henrik Andersen siger:

    Mange tak Thomas.

    Det er dejligt at høre det fra dig, som jeg har fulgt på nettet i mange år – og lært en masse af.

    Du er måske endda en af grundene til at jeg skrev dette indlæg. Bliver tit inspireret af måden du skriver på og af dine podcasts, og der er i den grad noget at leve op til. Hvis det bare lykkes en smule er jeg glad. :-)

    Svar
  2. Paw Hellegaard
    Paw Hellegaard siger:

    Vil give både dig og Thomas ret, jeg har selv oplevet et angreb som lykkes for angriberen – hvad jeg holdt min platform up2date var det aldrig sket.

    Svar
  3. Lars Skjoldby
    Lars Skjoldby siger:

    Som webhotel udbyder oplever vi ofte at hjemmesider bliver hacket fordi CMS’et ikke er opdateret.

    Jeg har i sin tid skrevet en artikel som overordnet kigger på de fejl man begår med alle typer open source CMS: http://blog.abusiness.dk/2010/7/9/de-8-stoerste-fejl-man-begaar-med-open-source-cms.aspx

    En enkelt ting i din artikel, forstår jeg ikke sammenhængen i:
    “Det er rigtigt at TYPO3 sagtens kan fungere på et billigt webhotel, men de har næppe helt styr på sikkerheden omkring en TYPO3 løsning.”

    Uanset om webhotellet er dyrt eller billigt er det vel, som udgangspunkt, ikke webhotellets opgave at opgaradere CMS’et. Det er vel hjemmesideejeren som i sidste ende sidder med ansvaret (eller rettere aben) – at webbureauet så bør lave opdateringsaftaler er en helt anden sag, som jeg kun kan støtte op om.

    Men ellers en rigtig god artikel som sætter fokus på nogle vigtige ting. Lad os håbe at rigtig mange hjemmesideejere ser den og tager deres ansvar seriøst og stiller krav til deres webbureau. Vi har i hvert fald retwittet den til vores followers.

    Svar
  4. Henrik Andersen
    Henrik Andersen siger:

    Hej Lars

    Mange tak for din kommentar. Jeg kan godt se at den formulering er svær at forstå. :-)

    Det jeg mener med den formulering, er at de webudbydere der tilbyder hosting af alle mulige slags systemer, ikke har en jordisk chance for at kende alle systemerne til bunds.

    Derfor kan de ikke håndhæve nogle regler i forhold til opdateringer. Det ville måske også være et kæmpe arbejde.

    Men når det nu er så stor en risiko – og ikke kun for en enkelt hjemmeside – men for hele serveren, at CMS systemer ikke bliver opdateret, så vil jeg mene at en del af ansvaret også ligger hos hostingudbyderen.

    I princippet har det ikke noget med prisen at gøre, men det er bare tit de billigste der er de værste hvad sådan noget angår, uden at jeg skal nævne navne eller pege fingre af nogen. :-)

    Jeg ved godt det er noget af en generalisering, men i forhold til TYPO3, som jeg har arbejdet med siden 2004, så har jeg set MANGE trælse eksempler på sider der aldrig opdateres. Og det endda selvom både webbureau og hostingudbyder har et indgående kendskab til TYPO3.

    Er det ok at dette potentielt går ud over andre sites på en webserver?

    En ting er helt sikkert. Den merpris det koster at blive hosted hos nogen der både har styr på serveradministration, opsætning, samt et indgående kendskab til systemet, er efter min mening rigtig godt givet ud.

    Så kan du sove roligt om natten og hvis uheldet skulle være ude, så er du også bedre hjulpet.

    Og om et webhotel koster 10-20 kr. i måneden eller det ti dobbelte (eller mere), det burde altså være småpenge for langt de fleste virksomheder.

    Til privatpersoner kan jeg sagtens forstå at det måske er overkill, men ikke til virksomheder.

    Svar
  5. Søren Malling
    Søren Malling siger:

    Hej Henrik,

    Rigtig spændende artikel!

    Jeg arbejder selv med TYPO3 på både professionelt & især i community sammenhæng, så jeg nikker genkende til hvor vigtig opdateringer er. Både for sikkerhed, men også bruger oplevelsen! :-)

    Men, forholder i jer ukritisk til det som er i seneste trunk? Et tilfælde, hvor jeg brændte nallerne på en test side, var ved TYPO3 4.5 RC2. Her havde man havde man introduceret et form tokens, men desværre gjorde det det til en umulig opgave at logge ind.

    Havde i ukritisk rullet sådan en “feature” ud, nu hvor den lå i trunk?

    Jeg vil rigtig gerne give et svar på dit spørgsmål mht. hvor meget der tænkes på sikkerhed:

    Hvis man arbejder sammen med freelancer (eller til medarbejdere generelt) som har adgang til flere projekter, kan jeg anbefale at man bruger OpenID. Du kan lave et OpenID til din eksterne konsulent, og oprette ham med det på dine installationer.

    Skulle det uheldige så ske, at man går fra hinanden med dårlig stemning, kan man slette deres OpenID og så kan de ikke logge ind i nogle installationer.

    Svar
  6. Lars Skjoldby
    Lars Skjoldby siger:

    Hej Henrik
    Jeg tror vi er enige :-)
    Vi er begyndt at lave aftaler med dem hvor vi står for installationen, men vi løber også ind i kunder som ikke vil betale for den service. Dem forsøger vi så at kontakte når vi ved der er kommet kritiske opdateringer til deres system.

    Vi gør som udgangspunkt ikke noget for dem som selv har installeret et open source CMS. Det er et stort arbejde dels at kontrollere hvad en kunde selv har installere på hans webhotel og dernæst om det han har installeret nu er uptodate.

    Mvh
    Lars

    Svar
  7. Henrik Andersen
    Henrik Andersen siger:

    @Søren
    Mange tak for dit bidrag.

    Vi opgraderer aldrig til en ny installation inden vi har testet den ordentligt for de værste børnesygdomme i forhold til brugervenlighed. Der er nemlig tit små bugs i forhold til f.eks. Internet Explorer. Derfor kan det godt være vi først vælger at opgradere når disse er blevet fikset i version 4.x.1 eller 4.x.2

    Rigtig god pointe med OpenID. Vi plejer faktisk at slette de brugerkontis, i disse tilfælde, men du har ret i at det ville være noget nemmere med OpenID.

    @Lars
    Jeg har stor forståelse for at det er et kæmpe arbejde at holde øje med mange forskellige installationer af forskellig art. Det ville være langt nemmere for de hosting firmaer der f.eks. KUN hoster TYPO3 løsninger. Men her synes jeg også tingene tit kunne fungere bedre.

    Jeg tror også vi er enige. I sidste ende er det op til forbrugeren at vælge. Jeg har bare på fornemmelse at, der ikke ret mange af dem der tænker på sikkerhed.

    Svar
  8. Henrik Andersen
    Henrik Andersen siger:

    Mange tak Frederik.

    Din kommentar var desværre havnet som spam, derfor har jeg først opdaget (og godkendt) den nu.

    Ja jeg ser også konstant TYPO3 installationer der ikke er gjort noget som helst ved i forhold til opgraderinger og sikkerhed. Også hos de helt store TYPO3 huse i Danmark. Det er sørgeligt, men sandt.

    Svar
  9. Søren Malling
    Søren Malling siger:

    [quote]
    Ja jeg ser også konstant TYPO3 installationer der ikke er gjort noget som helst ved i forhold til opgraderinger og sikkerhed. Også hos de helt store TYPO3 huse i Danmark. Det er sørgeligt, men sandt.
    [/quote]

    Af ren og skær nysgerrighed: Hvordan har du set dem? På baggrud af det nummer som du kan aflæse i “GENERATOR” tagget i eller har du været kildekoden igennem og set manglende patches?

    Versionnummeret er ikke afgørende for hvordan kildekoden ser ud, det er blot en variabel :-)

    TYPO3.org f.eks. fremstår som 4.2, men er sikkerhedspatchet på kildekode niveau :-)

    Svar
  10. Henrik Andersen
    Henrik Andersen siger:

    Hej Søren

    Konstant er måske også en vending der var lige kæk nok at bruge i denne sammenhæng.

    Men jeg bygger det ikke på generator meta tagget, men mere alle de installationer jeg igennem tiden har været logget ind på, som ikke var vores egne. Enten fordi vi har skulle give et tilbud på en opgave eller overtage kunden fra en anden TYPO3 leverandør.

    Så gennem tiden har jeg prøvet at være logget ind på sider som har lagt hos de fleste store TYPO3 huse i dk. Det er det jeg bygger det på. :-)

    Svar
  11. Søren Malling
    Søren Malling siger:

    Spændende afklaring :-)

    GENERATOR tagget siger nemlig intet om den egentlige kildekode, så det må man ikke bare tage for gode varer. Man skal være lidt skepsis :-)

    Svar

Skriv en kommentar

Want to join the discussion?
Feel free to contribute!

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *