Webserver Sicherheit - .htaccess - PHP Sicherheitsmaßnahmen
Hallo Admins & co!
Meine Frage ist etwas speziell, aber ich hoffe es gibt hier Leute die mir weiterhelfen können.
Ich habe in der letzten Zeit wieder massiv mit Hackerangriffen auf meine Webseiten zu kämpfen.
Die CMS-Versionen sind nicht immer aktuell, es wäre aber auch verhältnismäßig zu viel Aufwand diese regelmäßig auf Aktualisierungen zu prüfen und diese einzuspielen.
Nun überlege ich welche Sicherheitsmaßnahmen ich ergreifen kann um einen guten Schutz zu erreichen.
Meine Überlegungen:
1. Zugriffe über .htaccess Beschränken
a. Administrationsbereiche und weitere Verzeichnisse werden nur noch über die Zugriffsbereichtigung meiner IP-Adresse verfügen
b. Verzeichnisse in denen user generated content, wie z. B. PDF, oder Bilddateien landen werden auf Dateitypen beschränkt, alle anderen abgewiesen.
2. PHP-Script zur Datenüberprüfung
a. Daten werden auf Änderung überprüft und sofern eine Änderung vorliegt wird per E-Mail eine Benachrichtigung erfolgen. Ausgeführt wird das Script über einen Cronjob
3. Proxy-Server
Da einige Kunden Ihre Webseiten selbst administrieren überlege ich einen Proxy-Server einzurichten über den dann der Kunde Zugriff zum Administrationsbereich seiner Webseite bekommt. Hat jemand einen Guide der sehr gut beschreibt wie eine Einrichtung von statten geht? Linux oder Windows ist egal.
Hat jemand von euch weitere Vorschläge oder kann mir aus eigener Erfahrung was über die Wirksamkeit meiner Überlegungen sagen?
Meine Frage ist etwas speziell, aber ich hoffe es gibt hier Leute die mir weiterhelfen können.
Ich habe in der letzten Zeit wieder massiv mit Hackerangriffen auf meine Webseiten zu kämpfen.
Die CMS-Versionen sind nicht immer aktuell, es wäre aber auch verhältnismäßig zu viel Aufwand diese regelmäßig auf Aktualisierungen zu prüfen und diese einzuspielen.
Nun überlege ich welche Sicherheitsmaßnahmen ich ergreifen kann um einen guten Schutz zu erreichen.
Meine Überlegungen:
1. Zugriffe über .htaccess Beschränken
a. Administrationsbereiche und weitere Verzeichnisse werden nur noch über die Zugriffsbereichtigung meiner IP-Adresse verfügen
b. Verzeichnisse in denen user generated content, wie z. B. PDF, oder Bilddateien landen werden auf Dateitypen beschränkt, alle anderen abgewiesen.
2. PHP-Script zur Datenüberprüfung
a. Daten werden auf Änderung überprüft und sofern eine Änderung vorliegt wird per E-Mail eine Benachrichtigung erfolgen. Ausgeführt wird das Script über einen Cronjob
3. Proxy-Server
Da einige Kunden Ihre Webseiten selbst administrieren überlege ich einen Proxy-Server einzurichten über den dann der Kunde Zugriff zum Administrationsbereich seiner Webseite bekommt. Hat jemand einen Guide der sehr gut beschreibt wie eine Einrichtung von statten geht? Linux oder Windows ist egal.
Hat jemand von euch weitere Vorschläge oder kann mir aus eigener Erfahrung was über die Wirksamkeit meiner Überlegungen sagen?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 221979
Url: https://administrator.de/forum/webserver-sicherheit-htaccess-php-sicherheitsmassnahmen-221979.html
Ausgedruckt am: 23.12.2024 um 08:12 Uhr
2 Kommentare
Neuester Kommentar
Moin,
Vorab...
Ohne jetzt das Einsatzgebiet des CMS's zu kennen (Intranet/Extranet/Customer-facing...)
Deine Überlegungen sind grundsätzlich iO; das ziehen einer zusätzlichen Schutzmauer um das Admininfterface ist eine gute Idee. Allerdings werden üblicherweise Löcher in CMS auf den öffentlich zugänglichen ausgenutzt um Rechte auf dem Server oder im CMS selbst zu erlangen - meist mit dem Ziel die Box als Malware Schleuder zu missbrauchen.
Wenn du dich nicht um das CMS selbst kümmern willst, dann hilft dir im Prinzip nur eine Web-Application Firewall (WAF), die quasi als Proxy vor dem Webserver läuft un alle Zugriffe erstmal auf Ungereimtheiten untersucht.
lg,
Slainte
Vorab...
Die CMS-Versionen sind nicht immer aktuell, es wäre aber auch verhältnismäßig zu viel Aufwand diese regelmäßig auf Aktualisierungen zu
prüfen und diese einzuspielen.
...genau DAS ist aber doch dein Job als Webmaster/Dienstleister/Hoster, oder nicht?prüfen und diese einzuspielen.
Ohne jetzt das Einsatzgebiet des CMS's zu kennen (Intranet/Extranet/Customer-facing...)
Deine Überlegungen sind grundsätzlich iO; das ziehen einer zusätzlichen Schutzmauer um das Admininfterface ist eine gute Idee. Allerdings werden üblicherweise Löcher in CMS auf den öffentlich zugänglichen ausgenutzt um Rechte auf dem Server oder im CMS selbst zu erlangen - meist mit dem Ziel die Box als Malware Schleuder zu missbrauchen.
Wenn du dich nicht um das CMS selbst kümmern willst, dann hilft dir im Prinzip nur eine Web-Application Firewall (WAF), die quasi als Proxy vor dem Webserver läuft un alle Zugriffe erstmal auf Ungereimtheiten untersucht.
lg,
Slainte