Teil 2: CMS-Serie: Zikula 1.1

Der ursprüngliche Code von Zikula hat sich stark weiterentwickelt. Mit den veröffentlichten Bugfixes wurden inzwischen unzählige Sicherheitslücken geschlossen. Die naheliegende Frage, ob man Zikula als sicher einstufen kann, lässt sich jedoch nicht pauschal beantworten. Das hängt davon ab, ob man die Standardinstallation in unveränderter Form einsetzt oder manuell nachbessert, um die bekanntesten Risiken zu unterbinden.

Eine Out-of-the-box-Installation von Zikula hinterlässt ein Verzeichnis namens pnTemp mit temporären Dateien im Wurzel-Verzeichnis des CMS-Systems und gewährt darauf Schreibrechte. Das Ablegen von Skripten an einer Stelle mit Schreibrechten ist natürlich besonders simpel, aber leider wird das System somit für unzählige Hacker zu einer leichten Beute.

Die Platzierung eines Verzeichnisses mit Schreibrechten auf temporäre Dateien ist denkbar unpassend und man sollte sie unbedingt vermeiden. Es empfiehlt sich, das pnTemp-Verzeichnis aus dem Dokumenten-Verzeichnis des Webservers heraus zu verschieben.

Außerdem sollte man die Zugriffsrechte der Zikula-Installation manuell korrigieren. Dateien benötigen die Zugriffsrechte 644 oder 444; Verzeichnisse sollten auf 755 gesetzt sein.

Warum die Installationsskripte von Zikula im Dokumentenverzeichnis einfach so belassen werden und warum die Zugriffsrechte so liberal gesetzt sind, kann nicht sinnvoll begründet werden. Das Korrigieren von Zugriffsrechten durch einen Aufruf von chgrp, chown und chmod wäre dem Installationsskript auf jeden Fall zuzumuten.

Zu großzügig bemessene Zugriffsrechte, insbesondere in Kombination mit einem FTP-Zugang, führen dazu, dass Hacker sich in Minutenschnelle Zugriff auf den Webserver verschaffen. Ein Angreifer versucht im ersten Schritt, auf dem Server via FTP ausführbare Skripte abzulegen.

Mit diesen Skripten kann er dann das Web-Verzeichnis des Webservers nach lückenhaften Zugriffsrechten scannen. Dort installiert der Hacker ein übers Web steuerbares Skript. Das ist in einer Standardinstallation von Zikula leider nicht unmöglich. Wurde der Server ganz offensichtlich kompromittiert, wird der Systemverwalter tätig.

Wenn der Hacker aber nur unauffällig zu Werke schreitet, kann er den Server monatelange missbrauchen und viel gravierendere Schäden anrichten.

Niemand würde die Haustür offen lassen und dann verreisen, aber viel zu viele Entwickler gehen vergleichsweise leichtsinnig mit den Zugriffsrechten um und Webmaster sind sich dessen oft nicht bewusst.

Zikula ist zwar nicht so krass leichtsinnig wie manche anderen CMS-Systeme, bei denen man zwangsläufig 777 einstellen muss, damit sie überhaupt funktionieren, aber es sorgt eben auch nicht für lückenlosen Schutz vor Angriffen.

Sichere Installation

Wenn Sie Zikula auf einem Server einrichten, der über das Netzwerk zugänglich ist, sollten Sie sicherstellen, dass Unbefugte mit Ihrer Installation nicht interferieren können.

Es wird empfohlen, das Zikula-Wurzelverzeichnis beziehungsweise Dokumenten-Verzeichnis Ihres Webservers mittels einer .htaccess-Datei vor unerwünschten Zugriffen zu schützen - entweder manuell oder im Administrationsfrontend des Webservers.

Falls sich in dem Dokumenten-Verzeichnis eine .htaccess-Datei bereits befindet, öffnen Sie diese in einem Texteditor und fügen Sie ihr den folgenden Inhalt hinzu:

Wenn diese Datei noch nicht existiert, können Sie diese in einem Texteditor erstellen. In dem Pfad, der in der .htaccess-Datei angegeben ist, muss sich jetzt eine Datei namens .htpasswd befinden.