In der vergangenen Woche haben wir mit dem Beitrag „Skript-Sicherheit mittels PHP.INI erhöhen“ einige Optionen genannt, mit der Sie als Kunde Ihre eingesetzten Skripte etwas eindämmen und die Sicherheit auf dem Webspace erhöhen können. Heute möchten wir Ihnen weitere Möglichkeiten und Hinweise geben, um es Angreifern schwerer zu machen und deren Schaden zu verringern.
Alle beschriebenen Optionen bieten keinen 100-prozentigen Schutz und sind nur als zusätzliche Maßnahmen anzusehen. Bitte prüfen Sie im Einzelfall, ob die genannten Maßnahmen für Sie überhaupt sinnvoll nutzbar sind.
- Nutzen Sie wo immer möglich eine Quota zur Abtrennung einzelner Verzeichnisse/Bereiche, so dass im schlimmsten Fall nur dieser Bereich betroffen ist und nicht Ihr kompletter Webserver. Die Einrichtung von Quotas nehmen Sie bitte im Kundenmenü in der Rubrik „Für Profis“ unter dem Menüpunkt „Verzeichnisse/Quotas“ vor.
- Setzen Sie in der php.ini-Datei Ihrer Domain(s) die sicheren PHP-Einstellungen, sofern Sie keine eigene PHP.INI verwenden möchten/können. IM Kundenmenü finden Sie Option bei der PHP-Versionsauswahl über den Menüpunkt „Allgemeines“ -> „PHP-Version“.
- Sichern Sie sensible Bereiche zusätzlich mit einem Passwortschutz per .htaccess ab. Beispielsweise die URL bzw. den Pfad für die Administrationsoberfläche. (Wie Sie einen solchen Passwortschutz erstellen, beschreiben wir in unseren FAQ: Wie kann ich einen geschützten Bereich für meine Homepage einrichten?
- Nutzen Sie für sensiblere Bereiche wie den Login zusätzlich eine sichere Verbindung mittels SSL. Auch ohne eigenes Zertifikat kann beispielsweise über unseren SSL-Proxy „https“ genutzt werden. Alle Informationen dazu finden Sie ebenfalls in unseren FAQ: Wie rufe ich meine Seite mit SSL-Verschlüsselung auf?
- Falls Sie selbst entwickelte PHP-Skripte einsetzen, sollten Sie bestimmte Grundregeln zur sicheren Entwicklung von PHP-Skripten beachten. Hierzu gehört es vor allem:- sämtliche Benutzereingaben zu validieren, um ein Einschleusen von ungültigen und ggf. schadhaften Werten/Parametern zu verhindern.
- Zugangsdaten (z. B. zu Admin-Backends oder Datenbanken) nicht im Klartext auf dem Webserver zu speichern, sofern dies möglich ist. Häufig ist hier ein Abgleich mit einem Hash-Wert des Passwortes ausreichend.- sichere Passwörter zu verwenden, ab 10 Stellen und mit Buchstaben- und Zahlenkombinationen sowie Sonderzeichen.
- Bitte verwenden Sie nach Möglichkeit die jeweils aktuellste der angebotenen PHP-Version (z.B. PHP 5.2.17 oder PHP 5.3.10), um auszuschließen, dass durch in PHP vorhandene Fehler und Sicherheitslücken Schadcode auf Ihrem Webspace ausgeführt wird. Selbes gilt für die MySQL-Datenbanken.
- Besitzen Sie bei uns einen Managed- oder ResellerDedicated-Server, so können Sie über das Kundenmenü mittels einer Anfrage an unsere Technikabteilung für den Webserver nachfolgende Werte setzen lassen:
- ServerTokens ProductOnly (Diese Einstellung gilt für den gesamten Server und veranlasst den Webserver nur seinen Namen auszugeben, nicht jedoch die genaue Versionsnummer oder eingesetzte Module)
- ServerSignature Off (Der Webserver erzeugt keine Informationsfußzeile mehr unter ausgelieferte Dokumente)
- Für beide Einstellungen gilt: Es gibt Anwendungen, die die zurückgegebenen Werte auswerten und ohne vollständige Informationen Fehler verursachen. Ebenfalls gelten diese Optionen für den kompletten Server, einzelne Domains können davon nicht ausgenommen werden.
Für die Wahl des Passworts kann man auch einfach einen kurzen oder langen Satz verwenden. Je länger desto sicherer und in dem Falle auch einfacher zu merken 😉
„in dem Falle“ -> in jedem Falle.
> Für die Wahl des Passworts kann man auch einfach
> einen kurzen oder langen Satz verwenden. Je länger
> desto sicherer
Diese Erkenntnis ist geradezu sensationell. 😉
@Jan: Für dich vielleicht nicht, für viele (leider) schon. Wenn ich mit meinem 20 Zeichen Passwort komme, dann drehen viele schon ab, von wegen „soviel kannst du dir merken?“
Und ich merke mir alle meine Passwörter/Phrasen auswendig und davon gibt’s ne ganze Menge 😉