trebax
Goto Top

Webserver Sicherheit - .htaccess - PHP Sicherheitsmaßnahmen

Hallo Admins & co!

Meine Frage ist etwas speziell, aber ich hoffe es gibt hier Leute die mir weiterhelfen können.
Ich habe in der letzten Zeit wieder massiv mit Hackerangriffen auf meine Webseiten zu kämpfen.

Die CMS-Versionen sind nicht immer aktuell, es wäre aber auch verhältnismäßig zu viel Aufwand diese regelmäßig auf Aktualisierungen zu prüfen und diese einzuspielen.

Nun überlege ich welche Sicherheitsmaßnahmen ich ergreifen kann um einen guten Schutz zu erreichen.

Meine Überlegungen:

1. Zugriffe über .htaccess Beschränken
a. Administrationsbereiche und weitere Verzeichnisse werden nur noch über die Zugriffsbereichtigung meiner IP-Adresse verfügen
b. Verzeichnisse in denen user generated content, wie z. B. PDF, oder Bilddateien landen werden auf Dateitypen beschränkt, alle anderen abgewiesen.

2. PHP-Script zur Datenüberprüfung
a. Daten werden auf Änderung überprüft und sofern eine Änderung vorliegt wird per E-Mail eine Benachrichtigung erfolgen. Ausgeführt wird das Script über einen Cronjob

3. Proxy-Server
Da einige Kunden Ihre Webseiten selbst administrieren überlege ich einen Proxy-Server einzurichten über den dann der Kunde Zugriff zum Administrationsbereich seiner Webseite bekommt. Hat jemand einen Guide der sehr gut beschreibt wie eine Einrichtung von statten geht? Linux oder Windows ist egal.

Hat jemand von euch weitere Vorschläge oder kann mir aus eigener Erfahrung was über die Wirksamkeit meiner Überlegungen sagen?

Content-Key: 221979

Url: https://administrator.de/contentid/221979

Ausgedruckt am: 29.03.2024 um 12:03 Uhr

Mitglied: SlainteMhath
SlainteMhath 14.11.2013 um 13:03:17 Uhr
Goto Top
Moin,

Vorab...
Die CMS-Versionen sind nicht immer aktuell, es wäre aber auch verhältnismäßig zu viel Aufwand diese regelmäßig auf Aktualisierungen zu
prüfen und diese einzuspielen.
...genau DAS ist aber doch dein Job als Webmaster/Dienstleister/Hoster, oder nicht?

Ohne jetzt das Einsatzgebiet des CMS's zu kennen (Intranet/Extranet/Customer-facing...)
Deine Überlegungen sind grundsätzlich iO; das ziehen einer zusätzlichen Schutzmauer um das Admininfterface ist eine gute Idee. Allerdings werden üblicherweise Löcher in CMS auf den öffentlich zugänglichen ausgenutzt um Rechte auf dem Server oder im CMS selbst zu erlangen - meist mit dem Ziel die Box als Malware Schleuder zu missbrauchen.

Wenn du dich nicht um das CMS selbst kümmern willst, dann hilft dir im Prinzip nur eine Web-Application Firewall (WAF), die quasi als Proxy vor dem Webserver läuft un alle Zugriffe erstmal auf Ungereimtheiten untersucht.

lg,
Slainte
Mitglied: trebax
trebax 14.11.2013 aktualisiert um 13:51:16 Uhr
Goto Top
Danke für die schnelle Antwort!
Zu deinen Fragen:

...genau DAS ist aber doch dein Job als Webmaster/Dienstleister/Hoster, oder nicht?
Mein Job erschließt sich natürlich aus Vertragsinhalten.

Allerdings werden üblicherweise Löcher in CMS auf den öffentlich zugänglichen ausgenutzt um Rechte
auf dem Server oder im CMS selbst zu erlangen - meist mit dem Ziel die Box als Malware Schleuder zu missbrauchen.
Sicherheitslücken sind von CMS-Typ und Version abhängig.

Wenn du dich nicht um das CMS selbst kümmern willst, dann hilft dir im Prinzip nur eine Web-Application Firewall (WAF), die
quasi als Proxy vor dem Webserver läuft un alle Zugriffe erstmal auf Ungereimtheiten untersucht.
Danke, da werd ich mich mal schlau machen!