Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Webserver Sicherheit - .htaccess - PHP Sicherheitsmaßnahmen

Mitglied: trebax

trebax (Level 1) - Jetzt verbinden

14.11.2013, aktualisiert 12:39 Uhr, 1834 Aufrufe, 2 Kommentare

Hallo Admins & co!

Meine Frage ist etwas speziell, aber ich hoffe es gibt hier Leute die mir weiterhelfen können.
Ich habe in der letzten Zeit wieder massiv mit Hackerangriffen auf meine Webseiten zu kämpfen.

Die CMS-Versionen sind nicht immer aktuell, es wäre aber auch verhältnismäßig zu viel Aufwand diese regelmäßig auf Aktualisierungen zu prüfen und diese einzuspielen.

Nun überlege ich welche Sicherheitsmaßnahmen ich ergreifen kann um einen guten Schutz zu erreichen.

Meine Überlegungen:

1. Zugriffe über .htaccess Beschränken
a. Administrationsbereiche und weitere Verzeichnisse werden nur noch über die Zugriffsbereichtigung meiner IP-Adresse verfügen
b. Verzeichnisse in denen user generated content, wie z. B. PDF, oder Bilddateien landen werden auf Dateitypen beschränkt, alle anderen abgewiesen.

2. PHP-Script zur Datenüberprüfung
a. Daten werden auf Änderung überprüft und sofern eine Änderung vorliegt wird per E-Mail eine Benachrichtigung erfolgen. Ausgeführt wird das Script über einen Cronjob

3. Proxy-Server
Da einige Kunden Ihre Webseiten selbst administrieren überlege ich einen Proxy-Server einzurichten über den dann der Kunde Zugriff zum Administrationsbereich seiner Webseite bekommt. Hat jemand einen Guide der sehr gut beschreibt wie eine Einrichtung von statten geht? Linux oder Windows ist egal.

Hat jemand von euch weitere Vorschläge oder kann mir aus eigener Erfahrung was über die Wirksamkeit meiner Überlegungen sagen?
Mitglied: SlainteMhath
14.11.2013 um 13:03 Uhr
Moin,

Vorab...
Die CMS-Versionen sind nicht immer aktuell, es wäre aber auch verhältnismäßig zu viel Aufwand diese regelmäßig auf Aktualisierungen zu
prüfen und diese einzuspielen.
...genau DAS ist aber doch dein Job als Webmaster/Dienstleister/Hoster, oder nicht?

Ohne jetzt das Einsatzgebiet des CMS's zu kennen (Intranet/Extranet/Customer-facing...)
Deine Überlegungen sind grundsätzlich iO; das ziehen einer zusätzlichen Schutzmauer um das Admininfterface ist eine gute Idee. Allerdings werden üblicherweise Löcher in CMS auf den öffentlich zugänglichen ausgenutzt um Rechte auf dem Server oder im CMS selbst zu erlangen - meist mit dem Ziel die Box als Malware Schleuder zu missbrauchen.

Wenn du dich nicht um das CMS selbst kümmern willst, dann hilft dir im Prinzip nur eine Web-Application Firewall (WAF), die quasi als Proxy vor dem Webserver läuft un alle Zugriffe erstmal auf Ungereimtheiten untersucht.

lg,
Slainte
Bitte warten ..
Mitglied: trebax
14.11.2013, aktualisiert um 13:51 Uhr
Danke für die schnelle Antwort!
Zu deinen Fragen:

...genau DAS ist aber doch dein Job als Webmaster/Dienstleister/Hoster, oder nicht?
Mein Job erschließt sich natürlich aus Vertragsinhalten.

Allerdings werden üblicherweise Löcher in CMS auf den öffentlich zugänglichen ausgenutzt um Rechte
auf dem Server oder im CMS selbst zu erlangen - meist mit dem Ziel die Box als Malware Schleuder zu missbrauchen.
Sicherheitslücken sind von CMS-Typ und Version abhängig.

Wenn du dich nicht um das CMS selbst kümmern willst, dann hilft dir im Prinzip nur eine Web-Application Firewall (WAF), die
quasi als Proxy vor dem Webserver läuft un alle Zugriffe erstmal auf Ungereimtheiten untersucht.
Danke, da werd ich mich mal schlau machen!
Bitte warten ..
Ähnliche Inhalte
PHP
Sicherheit bei Emails per PHP
gelöst Frage von lcer00PHP1 Kommentar

Hallo zusammen, Der Titel ist nicht so ganz perfekt. Ich habe ein kleine Website mit einem Joomla 3.9.3 auf ...

Apache Server
htaccess Weiterleitung
gelöst Frage von schneerunzelApache Server5 Kommentare

Hallo zusammen, ich hoffe, dass ich eine relativ einfache Frage habe: Es soll eine Seite von einer Domain auf ...

Apache Server
Htaccess Zugriffe einschränken
gelöst Frage von killtecApache Server5 Kommentare

Hallo, ich möchte den Zugriff auf eine Seite einschränken. Ich möchte dass bestimmte IP-Adressbereiche die Seite ohne Eingabe von ...

Sicherheits-Tools
KeepassXC und .htaccess
gelöst Frage von hokaidoSicherheits-Tools3 Kommentare

Hallo, ich bin von Keepass auf KeepassXC umgestiegen und hätte eine Frage zum ausfüllen der .htaccess: Bei Keepass habe ...

Neue Wissensbeiträge
Off Topic
Wann gibt es mehr Bits als Atome?
Information von AnkhMorpork vor 1 StundeOff Topic8 Kommentare

Boys 'n' girls, Freitagslektüre: Wenn Computertechnologie und Digitalisierung sich so weiterentwickeln, könnte die Zahl der digitalen Bits in 150 ...

Sicherheits-Tools

TrendMicro Worry-Free Business Security (WFBS) 10.0 SP1 - Critical Patch veröffentlicht!

Information von VGem-e vor 5 StundenSicherheits-Tools3 Kommentare

Servus, siehe hier. Download-Link hier swfbs/10.0WFBS_100_SP1_All_MSA_11.7_HFB1073.exe Nähere Infos habe ich online noch nicht gefunden. Gruß VGem-e

Humor (lol)

Wie verhindere ich, dass Websitebesucher die Werbecookies abschalten?

Information von DerWoWusste vor 2 TagenHumor (lol)9 Kommentare

Ich habe gerade auf die Antwort gefunden: ich täusche einen langwierigen Änderungsprozess vor und biete nebenbei einen Cancelbutton, den ...

Sicherheit

Windows Setup erlaubt elevation of privilege plus DC Updates

Information von DerWoWusste vor 2 TagenSicherheit4 Kommentare

Eine interessante neue Sicherheitslücke. Details gibt es wenig, edit: doch, jetzt hab ich was: aber die klare Empfehlung: ...

Heiß diskutierte Inhalte
Windows Server
Patchday August Server 2019 - zerstört Hyper V Dienste
Frage von ichkriegediekrieseWindows Server20 Kommentare

Guten Morgen alle zusammen Gestern habe ich, wie oft die Sicherheitsupdates vom Patchday eingespielt da ja doch einige Sicherheitsupdates ...

Hardware
Azubi Projekt - Serverhardware
Frage von nachgefragtHardware19 Kommentare

Hallo Administratoren, für ein Azubi-Projekt benötige ich euren Rat, um ihr das Thema Serverhardware näher zu bringen: Server zusammenbauen ...

iOS
Facetime Nummer
gelöst Frage von ral9004iOS16 Kommentare

Hallo Ein Kollege bat mich, ihm für den Videochat meine Facetime Nummer zu mailen. Meine Facetime App läuft auf ...

Windows Server
Administratorrechte im Dateisystem - Windows Server 2019 - DC
Frage von Indy06Windows Server15 Kommentare

Hallo, alle zusammen! Es kommt ja nun doch mal vor, dass man als Administrator auf einem Windows Server 2019, ...

Administrator Magazin
08 | 2020 Cloud-First-Strategien sind inzwischen die Regel und nicht mehr die Ausnahme und Workloads verlagern sich damit in die Cloud – auch Datenbanken. Dort geht es aber nicht nur um die Frage, wie die Datenbestände in die Wolke zu migrieren sind, sondern auch darum, welche Datenbank ...