BlackCat CMS - OpenSource Content Management System

Die wichtigsten Maßnahmen, um eine BlackCat CMS Installation abzusichern

Die meisten Sicherheitsprobleme entstehen nicht durch die Software selbst, sondern durch die unsachgemäße Verwendung. Diese Checkliste soll einerseits sensibilisieren, andererseits aber natürlich auch konkrete Maßnahmen aufzeigen, die helfen, Ihre Installation zu schützen. Hierbei gilt es eines stets im Hinterkopf zu behalten: Kein System ist jemals wirklich sicher!

Einige grundlegende Maßnahmen sind bereits im Benutzerhandbuch beschrieben, werden hier aber nochmals wiederholt.

Allgemein

Halten Sie Ihre BlackCat Installation aktuell! Wir beheben mit jedem Release nicht nur Fehler, wir arbeiten auch ständig an einer Verbesserung der Sicherheit. Im Backend Dashboard sehen Sie, ob Ihre Version aktuell ist.
Schauen Sie sich Ihre eigene Seite regelmäßig selber an, inbesondere die am häufigsten frequentierten Seiten. Diese sind für Hacker besonders interessant.

Benutzerkonten absichern

Verwenden Sie bei der Installation keine leicht zu erratende Benutzerkennung für das Administratorkonto, z.B. "admin", "root" oder "superuser".
Lassen Sie keine zu einfachen Benutzerkennungen zu. Unter "Einstellungen" -> "Benutzereinstellungen" können Sie eine Mindestlänge für Kennung und Kennwort einstellen; nutzen Sie diese Möglichkeit!
Gleiches gilt für das Kennwort. Ein gutes Kennwort sollte mindestens 8 Zeichen lang sein (es gibt andere Empfehlungen, die von deutlich mehr Zeichen sprechen, etwa 15) und Sonderzeichen beinhalten.
Verwenden Sie die Option, Benutzerkonten nach X fehlgeschlagenen Anmeldeversuchen automatisch zu sperren. ("Einstellungen" -> "Sicherheit")
Kennworte sollten öfter geändert werden. Derzeit gibt es in BlackCat CMS leider noch keine Option, eine solche Änderung zu "erzwingen"; wir planen das für Version 2.0.

Das Backend absichern

Der Zugang zum Administrationsbereich liegt bekanntlich im Unterverzeichnis "backend". Durch Umbenennen des Verzeichnisses erschweren Sie dem Angreifer den Zugriff, da er den neuen Namen zuerst erraten muss. Natürlich sollten Sie nicht statt dessen "admin" verwenden. ;)
Verwenden Sie zusätzlich die Möglichkeit, das Verzeichnis serverseitig mit einem Kennwort zu schützen. Die Konfiguration eines solchen Verzeichnisschutzes erfolgt über die .htaccess-Datei. (Backend-Benutzer müssen sich dann zweimal anmelden, einmal beim Webserver (sog. Basic Authentication), anschliessend beim BlackCat CMS Backend.) Der Verzeichnisschutz läßt sich in der Regel über die Verwaltungstools des Providers einschalten.
Schränken Sie die Benutzerrechte im Backend so weit ein, wie es möglich ist. (Da die Benutzerverwaltung derzeit noch auf der von Website Baker basiert, sind die Möglichkeiten hierfür leider beschränkt. Das Rechtesystem wird mit Version 2.0 komplett überarbeitet.)
Verwenden Sie den experimentellen SSL-Patch; dieser schaltet bei Anmeldung im Backend automatisch auf SSL um, wenn dies möglich ist. (Der Patch ist experimentell, weil noch keine Langzeiterfahrungen vorliegen.)

Addons

Addons sind eines der größten Einfallstore für potentielle Sicherheitslücken. Wir können nicht jedes Addon einzeln auf Sicherheit prüfen und schon gar nicht irgendwelche Garantien übernehmen. Daher gibt es auch kein "Siegel" für Addon-Sicherheit. Die Etablierung von Review-Prozessen erfordert Zeit und Personal, das wir als relativ neues Projekt noch nicht haben.

Verwenden Sie stets die aktuellste Version.
Achten Sie bei der Auswahl von Addons darauf, ob diese noch aktiv supportet werden oder nicht. (Ggfs. einfach den in der info.php genannten Autor anschreiben.)
Deinstallieren Sie Addons, die Sie nicht benötigen.
Achten Sie auf Rückmeldungen und Erfahrungsberichte anderer Benutzer.
Testen Sie neue Addons in einer lokalen Testumgebung, bevor Sie sie einsetzen.

Wichtige Anmerkung: Wir schützen unseren Downloadbereich mit Checksummen. Sollte Ihnen ein Hinweis auf eine ungültige Checksumme begegnen, benachrichtigen Sie uns umgehend!

Downloads von GitHub sind in der Regel sicher.

Außerhalb von BlackCat CMS

Verwenden Sie nach Möglichkeit eine verschlüsselte FTP-Verbindung. (FTP überträgt Kennworte im Klartext!)
Speichern Sie Kennworte nicht im Klartext auf dem PC. (FileZilla beispielsweise speichert Kennworte im Klartext in einer unverschlüsselten Datei, wo sie leicht von Schadsoftware ausgelesen werden können.) Verwenden Sie statt dessen Werkzeuge wie Keepass.
Verwenden Sie auch für FTP und Datenbank möglichst komplexe Kennworte.
BlackCat CMS muss das Datenbankkennwort leider unverschlüsselt speichern; Sie sollten daher für den Datenbankzugriff ein entsprechend eingeschränktes Konto verwenden. (Also eines, das nur auf diese eine Datenbank Zugriff hat.)
Führen Sie regelmäßige Backups durch. Hierfür eignet sich z.B. sehr gut SyncData2. Es wird außerhalb von BlackCat CMS installiert und kann daher problemlos "global" für mehrere BlackCat-Installationen verwendet werden.
Auch die Wahl des Providers ist ein Aspekt. Gute Provider haben Virenscanner im Einsatz und benachrichtigen Sie umgehend, falls diese etwas Ungewöhnliches feststellen. Ignorieren Sie solche Warnungen nicht!