Sicherheit und Qualitätssicherung bei Craft CMS und Craft Commerce

 

Wie sicher ist Craft CMS?

Die Sicherheit von Websites und Content-Management-Systemen ist für viele Unternehmen von größter Bedeutung. Nachfolgend wollen wir einen sicherheitsrelevanten Blick auf das Craft CMS werden. Es ist das beliebteste CMS der Entwickler bei craft unit, vor allem wegen seiner Flexibilität, Benutzerfreundlichkeit und leistungsstarken Funktionen. 

Bei der Arbeit mit größeren Unternehmen und Organisationen, insbesondere, die mit Regierungsbehörden zusammenarbeiten, ist die Frage der Systemsicherheit oft eine der wichtigsten Überlegungen bei der Bewertung eines neuen CMS. Glücklicherweise hat sich Craft CMS der Sicherung der von ihm betriebenen Websites verschrieben die bei ihrem Software-Ökosystem Qualität vor Quantität setzt.

Wie bei jeder Software, die zur Verwaltung sensibler Daten verwendet wird, ist die Sicherheit ein Hauptanliegen für Website-Besitzer und Administratoren.
Craft CMS legt großen Wert auf Sicherheit und bietet eine solide Grundlage für Ihre Website. Es enthält ein eingebautes Sicherheitssystem zum Schutz vor gängigen Web-Schwachstellen, wie Cross-Site-Scripting (XSS)-Angriffe. XSS-Angriffe sind eine häufige Angriffsart, bei der ein Angreifer versucht, bösartigen Code in eine Website einzuschleusen, um sensible Informationen zu stehlen oder Benutzersitzungen zu kapern. Craft CMS verfügt über einen eingebauten Schutz gegen XSS-Angriffe, indem benutzergenerierte Inhalte automatisch umgangen und potenziell bösartiger Code herausgefiltert werden.

Ebenso werden SQL-Injection-Angriffe verhindertwomit Angreifer keinen Zugriff auf die Datenbank erhalten. Regelmäßige Updates und Patches werden veröffentlicht, um alle Sicherheitsrisiken zu beseitigen und die Sicherheit Ihrer Website zu gewährleisten.

Ein weiteres wichtiges Sicherheitsmerkmal von Craft CMS ist der Schutz vor Cross-Site-Request-Forgery-Angriffen (CSRF). CSRF-Angriffe sind eine Art von Angriffen, bei denen ein Angreifer einen Benutzer dazu verleitet, eine Aktion auf einer Website ohne sein Wissen oder seine Zustimmung durchzuführen. Craft CMS enthält einen eingebauten Schutz gegen CSRF-Angriffe, indem es für jede Benutzersitzung eindeutige Token generiert und verifiziert.

Darüber hinaus verwendet Craft CMS ein sicheres Authentifizierungssystem, das Benutzerpasswörter mit dem Blowfish-Algorithmus und der PHP crypt()-Methode schützt. Dadurch wird sichergestellt, dass ein Angreifer, selbst wenn er Zugang zur Datenbank der Website erhält, nicht in der Lage ist, die Benutzerpasswörter in einer verwertbaren Form abzurufen.

Im Ergebnis geht Craft CMS auf die gängigsten Sicherheitslücken und Angriffsversionen ein. Bietet darüber hinaus durchdachten Daten- und Cookie-Schutz sowie Maßnahmen zur Benutzerverifizierung und Passwortsicherheit. Außerdem bietet das System eine breite Palette von Werkzeugen, mit denen Website-Administratoren zusätzliche sicherheitsrelevante Elemente auf der Website konfigurieren können. Das gibt jedem Unternehmen oder jeder Organisation Sicherheit bei der Auswahl von Craft Content-Management-System, sowohl für ihre Website als auch den Schutz ihrer Daten.

(Not a) Fun Fact: WordPress hat in den letzten sechs Jahren fast fünfmal so viele Sicherheitslücken gemeldet wie Craft CMS
 

Konfiguration von sicherheitsrelevanten Themen

Zusätzlich zu diesen Sicherheitspraktiken bietet Craft CMS auch eine Reihe von Konfigurationsoptionen, die es Website-Administratoren ermöglichen, die Sicherheit ihrer Websites weiter zu verbessern. Zum Beispiel können Administratoren Craft CMS so konfigurieren, dass sichere HTTP-Header verwendet werden, bestimmte PHP-Funktionen, die als unsicher bekannt sind, deaktiviert werden und eine Zwei-Faktor-Authentifizierung (2FA) und alternativ auch Passkey für Benutzerkonten aktiviert wirdDie Pflicht zur Erstellung eines starken Passworts hilft, Brute-Force-Angriffe und andere passwortbasierte Angriffe zu verhindern


Funktionen für die Benutzerverwaltung

Zur Sicherheit gehört auch die Möglichkeit, Benutzern bestimmte Rollen und Berechtigungen zuzuweisen, wodurch Administratoren den Zugang zu bestimmten Bereichen der Website einschränken können. So kann ein Administrator zum Beispiel einem Redakteur die Erlaubnis erteilen, Inhalte zu erstellen und zu bearbeiten, aber nicht auf die Einstellungen der Website zuzugreifen.

Mit Craft CMS können Administratoren auch die Zwei-Faktor-Authentifizierung für Benutzerkonten aktivieren. Dabei handelt es sich um eine zusätzliche Sicherheitsebene, bei der die Benutzer zusätzlich zu ihrem Benutzernamen und Passwort einen Code eingeben müssen, wenn sie sich auf der Website anmelden. Die Zwei-Faktor-Authentifizierung hilft, den unbefugten Zugriff auf Benutzerkonten zu verhindern, selbst wenn ein Angreifer das Passwort eines Benutzers erlangt hat.

Eine weitere nützliche Funktion des Benutzerverwaltungssystems von Craft CMS ist die Möglichkeit, den Zugriff auf bestimmte IP-Adressen zu beschränken. Dies bedeutet, dass Administratoren Craft CMS so konfigurieren können, dass der Zugriff auf bestimmte Teile der Website nur von bestimmten IP-Adressen aus möglich ist. So könnte ein Administrator Craft CMS beispielsweise so konfigurieren, dass der Zugriff auf das Kontrollpanel der Website nur von seiner Büro-IP-Adresse aus möglich ist, was den Zugriff anderer Personen auf das Kontrollpanel verhindern würde, selbst wenn diese über einen gültigen Benutzernamen und ein Passwort verfügen.

Insgesamt bietet die Benutzerverwaltung von Craft CMS Administratoren leistungsstarke Werkzeuge zur Kontrolle des Zugriffs auf ihre Website. Durch die Zuweisung von Rollen und Berechtigungen, die Aktivierung der Zwei-Faktor-Authentifizierung und die Beschränkung des Zugriffs auf bestimmte IP-Adressen können Administratoren sicherstellen, dass ihre Website sicher und nur für autorisierte Benutzer zugänglich ist. 

 

Verschlüsselung via SSL/TLS

Craft CMS verwendet Verschlüsselung zum Schutz der Daten während der Übertragung. Das bedeutet, dass die Daten bei der Übertragung zwischen der Website und dem Gerät des Nutzers mittels SSL/TLS-Verschlüsselung verschlüsselt werden, wodurch sichergestellt wird, dass die Daten nicht von Dritten abgefangen und gelesen werden können.

 

Management von Updates und Patches

Eine wichtige Sicherheitspraxis von Craft CMS ist das regelmäßige Patchen von bekannten Sicherheitslücken. Das Entwicklerteam von Craft CMS veröffentlicht regelmäßig Updates für die Plattform, um Sicherheitslücken und andere Probleme zu schließen. Durch einen standardisierten Release-Zyklus, der regelmäßige Wartungsversionen beinhaltet, wird gewährleistet, dass Craft CMS stets mit der sichersten Version läuft. Während die meisten kommerziellen CMS-Plattformen nur ein paar Mal im Jahr Updates und Patches veröffentlichen, gibt Craft in der Regel mehrere Releases pro Monat heraus. Diese regelmäßigen Aktualisierungen sind mittels eines integrierten Updater einfach zu installieren. Es ermöglicht den Website-Besitzern und Administratoren, ihre Websites mit den neuesten Sicherheitspatches und anderen Updates, sehr leicht auf dem neuesten Stand zu halten.

Neben der Veröffentlichung regelmäßiger Updates stellt das Entwicklungsteam von Craft CMS auch Ressourcen und Anleitungen zur Verfügung, um die Sicherheit der Craft Websites zu gewährleisten. Dazu gehört eine Dokumentation über bewährte Verfahren zur Sicherung von Craft CMS-Websites sowie eine Anleitung zur Konfiguration des Webservers, um die Sicherheit zu maximieren.

 

Plugin-Shop, Entwickler-Foren & Qualitätssicherung

Das Entwicklungsteam von Craft CMS setzt sich auch für die Unterstützung der Benutzergemeinschaft der Plattform ein. In den letzten 10 Jahren hat sich rund um das System Craft eine stetig wachsende Community gebildet. Es gibt diverse Foren und Plattformen, auf denen sich Nutzer:innen austauschen und gegenseitig unterstützen können. Auch werden von Pixel & Tonic regelmäßig Webinare, Newsletter, Blogbeiträge und Online-Workshops angeboten, die den Nutzer:innen bei der Erstellung und Verwaltung ihrer Websites helfen. Nicht zuletzt ist der Kundenservice bei Craft bekannt für seine reaktionsschnellen und lösungsorientierte Support auch über eine Reihe von Kanälen, einschließlich E-Mail, Foren und sozialen Medien. Das Team ist außerdem in der Craft CMS-Benutzer-Community aktiv, nimmt regelmäßig an Diskussionen teil und gibt den Benutzern Hilfestellung (Versuchen Sie mal bei WordPress oder Typo3 sich mit einem verantwortlichen Programmierer auszutauschen). Dadurch fühlt man sich in der Craft-Community gut aufgehoben und man kann auf Hilfsbereitschaft bei jeglichen Problemen zählen.

Folgende Seiten helfen Craft CMS Entwickler.

Craft CMS Stack Exchange - https://craftcms.stackexchange.com/
GitHub - https://github.com/craftcms/cms/discussions
Discord - https://discord.com/invite/uuDFCTX
Craft Documentation - https://craftcms.com/docs/