Mangelhafte Prüfung externer Erweiterungen
Mit mehreren Tausend Extensions steht den TYPO3-Anwendern ein breiter Fundus an ergänzenden Funktionen zur Verfügung. Dieser scheinbar paradiesische Zustand kann sich jedoch schnell in einen Albtraum verwandeln, wenn es nach der Installation einer neuen Extension oder eines Updates plötzlich zu erheblichen Funktionsstörungen kommt.
Deshalb ist gerade bei "exotischeren" Erweiterungen, die kaum verbreitet sind, eine gesunde Skepsis angebracht, bevor diese in ein produktives System integriert werden. Eine zumindest allgemeine Überprüfung des Quellcodes auf Auffälligkeiten im Zusammenhang mit den Sicherungsfunktionen und eine wenigstens rudimentär vorhandene Dokumentation sollten Pflicht sein. Auch gilt es zu überprüfen, ob eine Anleitung für die Erweiterung besteht und wie genau diese ist. Für das Verwenden externer Erweiterungen ist es daher sinnvoll, einen Test-Workflow einzuführen, in dem die Verträglichkeit mit dem bestehenden System geprüft wird und der grundsätzlich bei allen Extensions zum Einsatz kommen sollte.
Geringer Fokus auf Sicherheitsaspekte
Als Content Management System interagiert TYPO3 naturgemäß intensiv mit der zugrundeliegenden Datenbank und je nach Einsatzzweck auch mit externen Systemen. Deshalb muss das CMS gründlich gegen unberechtigte Manipulation von Inhalten oder sogar die Übernahme des kompletten CMS durch einen unbekannten Dritten geschützt werden. Dies betrifft besonders die verwendeten Erweiterungen, die Daten von der Client-Seite Richtung Datenbank transportieren. Ebenso gehören die Typoscript-Templates dazu, wenn dort beispielsweise ergänzende PHP-Skripte eingebunden sind.
Um eine maximale Sicherheit zu gewährleisten, ist darauf zu achten, dass Datenbankabfragen immer über die von TYPO3 zur Verfügung gestellten Funktionen abgewickelt werden. Diese bereinigen alle Parameter der SQL-Queries von eventuell enthaltenem Schadcode und führen weitgehend gesicherte Datenbankabfragen durch. Besonders Erweiterungen Dritter, die über keine hohe Zahl an Installationen verfügen und somit weniger oft einem Live-Test unterliegen, müssen diesbezüglich gründlich überprüft werden. Ein Augenmerk sollte hierbei auch auf eine Validierung von Parametern gelegt werden, damit Sicherheitsrisiken ausgeschlossen werden können.
Nicht zu vergessen ist ein gelegentlicher "Frühjahrsputz" einschließlich dem Deinstallieren nicht mehr verwendeter Extensions. Sie werden nicht mehr von Administratoren aktualisiert und können dadurch unbemerkt Sicherheitslücken im System aufreißen.