Contao Systemeinstellungen Teil 2

In unserem ersten Beitrag zu den Systemeinstellungen von Contao haben wir bereits die Punkte "Titel der Webseite" bis "Frontend-Einstellungen" genauer betrachtet. Hier beleuchten wir nun die weiteren Einstellungen, die uns Contao anbietet. Da diese recht umfangreich sind, beschränken wir uns auch hier auf die wichtigsten für den Normal-Betrieb einer Website. 

Datenschutz-Einstellungen

Unter den Datenschutz-Einstellungen finden sich die zwei Optionen "IP-Adressen anonymisieren" und "Google Analytics anonymisieren", die relativ selbsterklärend sind. Beide sollten aus Datenschutzgründen eingeschaltet sein - letzterer insbesondere, wenn Google Analytics auf der Seite eingebunden ist. 

Sicherheitseinstellungen

Erlaubte HTML-Tags

Eine recht wichtige Funktion, die man kennen sollte, wenn man mit dem Element "HTML-Code" innerhalb der Artikel von Contao arbeiten möchte. Denn jeder Tag, der hier nicht genannt ist, wird nach dem Speichern sofort eliminiert oder einfach nicht im Frontend ausgegeben. (Je nach Contao-Version) Das kann ein ziemlich lästiges Problem werden, wenn man den Fehler als solchen nicht erkennt.
Wer z.B. eine Google Karte via iFrame und HTML-Code-Element auf seiner Seite einbinden möchte, muss hier erst den Tag <iframe> angeben.

Die beiden folgenden Optionen sind wieder recht selbsterklärend. Das die Option "Fehlermeldungen anzeigen" auf produktiven Seiten nicht ausgewählt werden sollte, ist eigentlich klar - Fehlermeldungen in der Logdatei zu protokollieren ist hingegen sinnvoll. Der Systemadministrator kann im Log unter Umständen hilfreiche Hinweise finden, wenn auf der Seite Fehler auftauchen. 

Anfrage-Tokens deaktivieren

Um Zugriffe auf Formulare von aussen zu sichern, bzw. zu verhindern, dass unlautere Daten an Contao geschickt werden, verwendet das CMS sogenannte Anfrage-Tokens (oder auch Request-Token). Dabei handelt es sich um eine zufällige Zahlen- Buchstabenkombination, die vom Formular mitgeschickt werden muss. Contao überprüft diese beim Empfang der Daten. Ist der Token ungültig, wird eine Fehlermeldung ausgegeben.
Demzufolge sollte man diese Funktion niemals ausschalten, da sie zu einem wessentlichen Teil die Sicherheit von Contao ermöglicht. Gebraucht wird die Deaktivierung also nur in Aussnahmefällen, zum Beispiel in einer lokalen Entwicklungsumgebung, wenn wir sicher sein können, dass wir sicher sind.

IP-Prüfung deaktivieren

Die IP Prüfung ist ein weiterer Sicherheitsmechanismus im Backend um vor möglichen Angriffen zu schützen. Das bedeutet, das Contao seine Nutzer anhand der IP Adresse identifiziert, bzw. den Zusammenhang zwischen angemeldeten Nutzer und IP überwacht. Wechselt jetzt die IP Adresse kann Contao davon ausgehen, dass es sich nicht mehr um den gleichen Benutzer handelt, also ein Angreifer die Session übernommen hat und wirft den Nutzer aus dem Backend, bzw. aus dem geschützten Bereich.
Problematisch dabei ist, dass in einem lokalen Netzwerk die IP Adressen ggf. häufig wechseln. Dann wird es für die Nutzer ärgerlich, da sie sich ständig neu anmelden müssen. Für diesen Fall kann man die IP Prüfung auch deaktivieren. In Hinterkopf behalten sollte man allerdings, dass sich dadurch ein gewisses Sicherheitsrisiko ergibt.

Dateien und Bilder

Erlaubte Download-Dateitypen

Ähnlich wie bei den "Erlaubten HTML-Tags" oben, verhält sich diese Funktion. Dateitypen, die hier nicht angegeben sind, können über Contao nicht heruntergeladen werden. In der Regel sollten die hier aufgeführten Dateitypen aber bereits ausreichend sein.

Unterstützte Bildformate

Möchten wir ein Bild einfügen, zum Beispiel innerhalb eines Text-Elements, muss dieses Bild von einem der hier genannten Typen sein. Auch hier sollten die default-Typen bereits ausreichend sein. 

Editierbare Dateien

Ebenfalls wie oben, nur das es hier um zu bearbeitende Typen mit dem Quelltexteditor geht. 

Unterstützte Templateformate

Hier geht es darum, welche Dateiformate Contao als Template erkennt. In der Regel sind hier die Dateiendungen .html5, .xhtml und .tpl eingetragen und ausreichend. Letztere ist noch eine alte Endung aus Contao 2 Zeiten und vermutlich nur noch der Kompatibilität halber in der Liste.
Wer möchte kann hier eine eigene Dateiendung eintragen. Zu bedenken ist, dass nach jeder weiteren Endung auch gescannt werden muss. Dieser Vorgang kann unter Umständen das System bremsen.

Maximale Frontend-Breite

Mit der maximalen Breite des Frontend ist eigentlich die maximal gewünschte Breite gemeint. Oder anders ausgedrückt, Bilder dürfen einfach nicht breiter werden als angegeben. Überschreiten Bilder beim Upload diese Breite, werden Sie von Contao automatisch skaliert.

JPG-Qualität

Bilder, die über die Vorschaufunktion von Contao erzeugt werden (z.B. die Thumpnails in der Dateiverwaltung), werden mit der eingestellen Qualitätsstufe erstellt. Dabei ist der voreingestellte Wert von 80 i.d.R. ausreichend gut. Wer etwas Platz auf seinem Webspace und ein wenig Traffic im Backend sparen will, kann diesen Wert kleiner stellen. Unter den Wert 50 sollte man aber nicht gehen, da die Preview-Bilder dabei einfach zu unscharf werden.

Maximale GD-Bildbreite und maximale GD-Bildhöhe

Bei der GD Library handelt es sich um eine Funktionssammlung auf dem Webserver, die dazu gedacht ist, Bilder zu bearbeiten. Contao benutzt diese Funktion hauptsächlich um Bilder in ihrer Größe zu skalieren oder zu beschneiden.
Allerdings sind diesen Funktionen durch den verfügbaren RAM Speicher (auf dem Server) Grenzen gesetzt. Bedeutet, ist ein Bild zu groß um von der Library in den Speicher geladen zu werden, gibt es eine unschöne Fehlermeldung in der Protokolldatei und ein nicht existierendes Bild im Frontend.
Um den Absturz der Library zu vermeiden, stellen wir hier einfach eine maximale Größe ein. Default sind 3000 x 3000 Pixel eingetragen. Dieser Wert sollte i.d.R. immer funktionieren.

Datei-Uploads

Files-Verzeichnis

In früheren Versionen von Contao wurden die Bilder und Dateien, die über die Dateiverwaltung auf den Server gespeichert wurden, im Verzeichnis tl_files abgelegt. Damit wir bei einem Upgrade von Contao 2 nach 3 nicht alle Pfade umbenennen müssen, können wir an dieser Stelle einfach das alte Verzeichnis eintragen.

Erlaubte Upload-Dateitypen

Das gleiche wie bereits für die Download-Dateitypen beschrieben, nur dass es sich hier um Uploads handelt.

Simultane Datei-Uploads

In der Dateiverwaltung können mehrere Dateien "quasi" gleichzeitig zum Server geschickt werden. Wieviele "Uploads" dazu gebraucht werden, können wir hier begrenzen. Dabei muss man bedenken, dass die verschiedenen Uploads sich alle eine Leitung teilen müssen. Deshalb ist der Transfer auch nur "quasi gleichzeitig". In Wirklichkeit geht von jedem Upload immer nur ein Stückchen abwechselnd durch die Leitung. Der Vorteil dabei ist, dass dadurch die Bandbreite der Leitung besser genutzt wird. Übertreiben darf man es allerdings nicht, sonst ist der Verwaltungsaufwand für den Rechner irgendwann größer als der Nutzen.

Maximale Upload-Dateigröße

Hier lässt sich die maximale Größe von Dateien festlegen, die über die Dateiverwaltung hochgeladen werden können. Diese Begrenzung ist meistens sinnvoll, wenn die Website durch Redakteure gepflegt wird. So wird zum Beispiel verhindert, dass zu große Bilder hochgeladen werden, die die Ladegeschwindigkeit der Seite drosseln. Allerdings zeigt die Erfahrung, dass bei einer zu kleinen Einstellung Redakteure dazu neigen, sich ständig zu beschweren, dass sie Dateien nicht in das System eingespielt bekommen. Demnach sollte man diese Grenze nicht zu klein bemessen.
Jedoch sollte man auch bedenken, dass der http-Transfer von Dateien von sich aus schon sehr oft fehlschlägt. Also wiederrum nicht zu groß einstellen. Ein echter kleiner Teufelskreis eben...;-)

Maximale Bildbreite* & Maximale Bildhöhe*

Mit der maximalen Bildbreite bzw. Bildhöhe können wir die Bildgrößen in unserem Webauftritt allerdings doch noch sinnvoll begrenzen. Contao wird alle Bilder, die größer als die hier vorgegeben Werte sind, automatisch skalieren.

Website-Suche

Suche aktivieren

Das Contao-Suchmodul benötigt für das schnelle Auffinden von Suchbegriffen eine Indextabelle. Diese sollte vor der ersten Suche aufgebaut werden, damit die Suche möglichst schnell läuft. Wir können diese Funktion manuell unter dem Punkt System -> Systemwartung auslösen. Dabei werden alle Inhalte von Contao durchsucht und die Schlüsselwörter werden in einer Datenbanktabelle abgelegt.
Haben wir die Indextabelle nicht aufgebaut, wird diese "on the fly" beim Suchen aufgebaut. Dadurch baut sich die Indextabelle über kurz oder lang ebenfalls auf, allerdings dauert es bei jedem Aufruf einfach länger.
Bei Websites, die die Suchfunktion von Contao nicht nutzen, können wir diese einfach deaktivieren und somit das Aufbauen des Suchindex verhindern.

Geschützte Seiten indizieren

Wenn wir diese Option wählen, werden auch die Seiten indiziert, die durch einen Zugriffsschutz nur für bestimmte Benutzergruppen freigeschaltet sind. Es ist also nur im Sonderfall sinnvoll diese Option einzuschalten.

SMTP-Einstellungen

E-Mails via SMTP versenden

Auf manchen Servern funktioniert die interne PHP-Funktion mail() nur eingeschränkt. Das zeigt sich i.d.R. beim Versand von Newslettern, wenn der Versand nach wenigen Mails fehlschlägt. Jetzt kann alternativ auf einen anderen SMTP Server umgestellt werden. Die dazu notwendigen Zugangsdaten werden hier eingetragen.

Inaktive Erweiterungen

Hier können nicht benötigte Erweiterungen einfach deaktiviert werden. Dies ist mitunter sinnvoll, wenn sich im Laufe der Entwicklung viele Erweiterungen, die nur zum testen installiert wurden, angesammelt haben.
Damit wir jetzt testen können, ob unsere Website ohne eine bestimmte Erweiterung noch voll funktionsfähig ist, müssen wir die Erweiterung nicht deinstallieren. Es genügt, sie hier zu deaktivieren.

Command-Scheduler

Über den Command-Scheduler werden von Contao die internen Cron Jobs (cron.php) aufgerufen. Bei einem Cron Job handelt es sich um ein Script, das in festgelegten Abständen immer wieder ausgeführt wird, um die im Script festgelegten Aufgaben abzuarbeiten. Beispielsweise das Versenden von E-Mails, wenn ein Benutzer Geburtstag hat.

Jetzt muss man aber bedenken, dass es sich hierbei nicht um einen echten Cron Job handelt, da Contao das Script nur aufrufen kann, wenn es selbst aufgerufen wird. Das bedeutet, wenn niemand unsere Website besucht, wird auch das Cron Script nicht ausgeführt und die Geburtstagsemail wird ggf. zu spät ausgeliefert.

Allerdings lassen sich von Server Seite echte Cron Jobs einrichten, abhängig vom Provider. Diese rufen dann in einem gewählten Zeitinterval unser Script auf. So kann es nicht passieren, dass wir einen Geburtstag aufgrund mangelnder Besucher unserer Website verpassen. Wenn wir einen Cron Job auf dem Server einrichten, sollten wir den Command-Scheduler deaktivieren. Das spart eine Menge an Leistung.

Die weiteren Funktionen der Contao Systemeinstellungen beleuchten wir in unserem nächsten Beitrag (ab März 2017)...