Contao Sicherheit: Mit einfachen Schritten Contao richtig absichern - Sicherheit erhöhen
Contao richtig absichern
Legende
- Das Backend und Installtool richtig absichern
- Die Contao Backend-URL anpassen
- Den Contao Manager umbenennen
- Zwei-Faktor-Authentifizierung für das Backend aktivieren
- Contao Backend Login und Contao Manager nur für bestimmte IP Adresse erlauben
1) Die .htaccess im Hauptverzeichnis erweitern um das Contao Backend zu schützen
Die .htaccess-Datei ist in Sachen Sicherheit unübertroffen und es lassen sich einzelne Dateiaufrufe und ganze Verzeichnisse darüber speeren.
Im Webverzeichnis (public bzw. web) kann man die .htaccess Datei wie folgt ergänzen, damit das Backend und das Installtool zusätzlich per Passwortschutz abgesichert wird. Du kannst einen .htpasswd Generator benutzen oder die Tools die dein Hosting Anbieter bereitstellt.
# public/.htaccess
SetEnvIf Request_URI ^/(contao($|/)|contao\/install($|/)) require_auth=true
AuthUserFile "/var/www/example.com/.htpasswd"
AuthGroupFile /dev/null
AuthName "Login"
AuthType Basic
Require valid-user
Order deny,allow
Deny from all
Allow from env=!require_auth
Satisfy any2) Die Contao Backend-URL anpassen
Seit Contao 4.13 lässt sich der Pfad für den Backend-Login anpassen. Dazu kannst du in der config.yml folgende Anpassung durchführen:
# config/config.yml
contao:
backend:
route_prefix: '/mynewadminpanel'3) Den Contao Manager umbenenen
Du kannst für den Contao Manager einen beliebigen Dateinamen verwenden. Allerdings ist der Contao Manager dann nicht mehr über das Backend erreichbar. In diesem Fall kannst du die config.yml entsprechend anpassen. Anschließend musst du über den Contao Manager (»Systemwartung« > »Prod.-Cache erneuern«) oder über die Konsole einmalig den Anwendungs-Cache leeren.
# config/config.yaml
contao_manager:
manager_path: cm.php4) Zwei-Faktor-Authentifizierung für das Backend aktivieren
Wenn es darum geht, den Contao Backend Login noch weiter abzusichern, ist eine weitere schöne Lösung die 2-Faktor-Authentifizierung, die seit Contao 4.8 zur Verfügung steht. Über Benutzer -> Sicherheit kann die Zwei-Faktor-Authentifizierung aktiviert werden.
5) Contao Backend Login und Contao Manager nur für bestimmte IP Adresse erlauben
Den Contao Backend Login und den Contao Manager kannst du auch relativ einfach blockieren bzw. für einzelne Personen freischalten. Voraussetzung ist, dass alle die auf das Backend oder den Manager zugreifen müssen eine feste IP Adresse besitzen.
# public/.htaccess
# Contao Manager absichern
<Files contao-manager.phar.php>
order deny,allow
deny from all
# IP Addressen für Contao Manager erlauben
allow from 2.206.242.84
# allow from <second ip>
# allow from <third ip>
</Files>
# Contao Backend absichern
<Directory "/contao">
Order Deny,Allow
Deny from all
allow from 2.206.242.84
# allow from <second ip>
# allow from <third ip>
</Directory>Woher bekommst du deine IP Adresse?
Jedes Gerät mit Internetanschluss erhält vom Internetprovider eine IP Adresse, um eindeutig identifiziert werden zu können. Du kannst deine IP Adresse z.B. über wieistmeineip.de auslesen.
