Redaxo - Sicherheit und Wartung?

[scannergmbh]

Hallo, ich möchte Redaxo kennen lernen und hätte ein paar Fragen.

1. Bzgl. Sicherheit, In Joomla hatte ich Akeeba Admin-Tools laufen. Gibt es soetwas ähnliches für Redaxo auch? Also so eine softwareseitige Firewall?
2. Kann man über Cron automatisierte Backups erstellen? Ist das Wiederherstellen einfach?
3. Wie sieht es Allgemein mit der Wartung und Pflege des CMS aus? Wie häufig kommen Updates vor und sind diese Zuverlässig oder kann bei beim Updaten auch mal das System zerschießen?
4. Lebt man mit Redaxo einfacher als mit Joomla? :-)

[skerbis]

Hallo @scannergmbh

zu 1. Ein solches AddOn ist mir jetzt nicht bekannt. Ich sehe darin aber auch einen geringen Nutzen. Sinnvoller aus meiner Sicht ist eher ein guter serverseitiger Schutz mit Application Firewall und fail2ban. REDAXO ist ein kleines und meist sehr individuell konfiguriertes CMS mit einem sehr schlanken Kern. Viele Funktionalitäten kommen über die verwendeten AddOns oder zu einem hohen Maß aus Eigenentwicklungen bei den Projekten. Sicherheitslücken beugen wir vor, indem bei Github in der FriendsOfRedaxo Community Security Audits der Vendoren z.B. durch depandabot durchgeführt werden. Entsprechende AddOns werden bei einer Warnung, sofern möglich, aktualisiert oder wenn nicht ggf. aus dem Installer genommen und die Community informiert. Mögliche Angriffszenarien würden wohl eher auf den Kern zielen. Hier hat sich REDAXO bislang als robust erwiesen. Erfolgreiche Einbrüche in das System sind mir nicht bekannt.
Zum Schutz des Logins möchte ich Dir aber die 2 Faktor Autorisierung empfehlen: https://github.com/FriendsOfREDAXO/2factor_auth

zu 2. Ja man kann regelmäßige Backups mittels Cronjob erstellen. REDAXO bietet dazu einen Cronjob-Dienst. Dieser kann bei request im Frontend und oder Backend sowie automatisiert auf Shell-Ebene über einen "echten" Cronjob ausgeführt werden. Die Wiederherstellung erfolgt einfach im Backup-AddOn.

zu 3. Jährlich kann man ca. mit 2 Feature-Updates rechnen, es kann aber auch mal mehr sein. Sicherheitsupdates und Fixes erscheinen wenn sie erforderlich sind. Es gibt keinen Update-Zeitplan. Updates kommen, wenn die Dinge erledigt sind. Bei gravierenden Sicherheitslücken selbstverständlich sofort und sogar am selben Tag wenn die Sicherheitslücke bekannt wurde.
Bei Updates sollte man "wie in jedem System" immer die Release-Notes beachten dabei ist es egal ob es um das Core-Update oder um Updates für AddOns handelt. Wir geben uns aber Mühe die Updates möglichst reibungslos anzubieten und auch gut zu dokumentieren.

zu 4. Ich kenne Joomla nicht, kenne nur das Ursystem Mambocms. Daher hierzu keine Bewertung. Einfach mal ausprobieren.

[olien]

HI,

1. ich kenne Joomla nicht gut genug um wirklich etwas dazu zu sagen. eine softwareseitige Firewall hat REDAXO meines Wissens nach nicht. Aber es gab schon öfter Tests bezüglich der Sicherheit. Die Ergebnisse haben uns gefallen. (wobei das Thema Sicherheit auch sehr von dem Entwickler, der Templates , Module und AddOns baut abhängig ist.

2. Ja und Ja

3. Guckst Du hier: https://github.com/redaxo/redaxo/releases (läuft recht gut alles)

4. siehe 1. :-)

Hoffe es hilft

LG
Oliver

[staabm]

zu 1: REDAXO wird in sehr großen projekten verwendet in denen security audits nahezu jährlich durchgeführt werden.
redaxo wird immer wieder erweitert um neue einstellungen, mit denen man das system weiter härten kann.

am REDAXO Tag am 17.09.2022 in Mainz ist außerdem ein Vortrag zum härten des Systems geplant

zu 2: https://www.redaxo.org/doku/main/cronjobs

zu 3: siehe https://de.wikipedia.org/wiki/Redaxo#Versionshistorie

zu 4: ist Geschmacksache.

REDAXO ist mehr ein Framework als ein fertiges System. daher ist man sehr flexibel und kann viele Dinge beeinflussen in denen man bei "fertigen Systemen" keinen Einfluss hat.

[engel4u]

Zu 1)
Dazu gibt es bei FOR eine gute Zusammenfassung, was man tun kann oder sollte. Ich selbst habe auch schon einen PEN-Test ohne größere Beanstandungen gehabt.

Zu 2) ist alles gesagt

Zu 3) ja, kann passieren. Vor allem in Zusammenhang mit Apps. Passiert mir persönlich eher selten. Daher immer vorher Backup erstellen und gut is

Zu 4) m. E. ja. Vor allem wenn Du eigene Module / Addons umsetzten willst. Ansonsten ist aus Sicht der Redakteure die Arbeit einfacher und übersichtlicher

[staabm]

bitte zu separaten fragen neue Discussions aufmachen, sodass wir je thema einzelne punkte haben, wo auch andere antworten finden