Sicherheit auf dem Webserver erhöhen

In der vergangenen Woche haben wir mit dem Beitrag „Skript-Sicherheit mittels PHP.INI erhöhen“ einige Optionen genannt, mit der Sie als Kunde Ihre eingesetzten Skripte etwas eindämmen und die Sicherheit auf dem Webspace erhöhen können. Heute möchten wir Ihnen weitere Möglichkeiten und Hinweise geben, um es Angreifern schwerer zu machen und deren Schaden zu verringern.

Alle beschriebenen Optionen bieten keinen 100-prozentigen Schutz und sind nur als zusätzliche Maßnahmen anzusehen. Bitte prüfen Sie im Einzelfall, ob die genannten Maßnahmen für Sie überhaupt sinnvoll nutzbar sind.

  1. Nutzen Sie wo immer möglich eine Quota zur Abtrennung einzelner Verzeichnisse/Bereiche, so dass im schlimmsten Fall nur dieser Bereich betroffen ist und nicht Ihr kompletter Webserver. Die Einrichtung von Quotas nehmen Sie bitte im Kundenmenü in der Rubrik „Für Profis“ unter dem Menüpunkt „Verzeichnisse/Quotas“ vor.
  2. Setzen Sie in der php.ini-Datei Ihrer Domain(s) die sicheren PHP-Einstellungen, sofern Sie keine eigene PHP.INI verwenden möchten/können. IM Kundenmenü finden Sie Option bei der PHP-Versionsauswahl über den Menüpunkt „Allgemeines“ -> „PHP-Version“.
  3. Sichern Sie sensible Bereiche zusätzlich mit einem Passwortschutz per .htaccess ab. Beispielsweise die URL bzw. den Pfad für die Administrationsoberfläche. (Wie Sie einen solchen Passwortschutz erstellen, beschreiben wir in unseren FAQ: Wie kann ich einen geschützten Bereich für meine Homepage einrichten? 
  4. Nutzen Sie für sensiblere Bereiche wie den Login zusätzlich eine sichere Verbindung mittels SSL. Auch ohne eigenes Zertifikat kann beispielsweise über unseren SSL-Proxy „https“ genutzt werden. Alle Informationen dazu finden Sie ebenfalls in unseren FAQ: Wie rufe ich meine Seite mit SSL-Verschlüsselung auf? 
  5. Falls Sie selbst entwickelte PHP-Skripte einsetzen, sollten Sie bestimmte Grundregeln zur sicheren Entwicklung von PHP-Skripten beachten. Hierzu gehört es vor allem:- sämtliche Benutzereingaben zu validieren, um ein Einschleusen von ungültigen und ggf. schadhaften Werten/Parametern zu verhindern.
    • Zugangsdaten (z. B. zu Admin-Backends oder Datenbanken) nicht im Klartext auf dem Webserver zu speichern, sofern dies möglich ist. Häufig ist hier ein Abgleich mit einem Hash-Wert des Passwortes ausreichend.- sichere Passwörter zu verwenden, ab 10 Stellen und mit Buchstaben- und Zahlenkombinationen sowie Sonderzeichen.
    • Bitte verwenden Sie nach Möglichkeit die jeweils aktuellste der angebotenen PHP-Version (z.B. PHP 5.2.17 oder PHP 5.3.10), um auszuschließen, dass durch in PHP vorhandene Fehler und Sicherheitslücken Schadcode auf Ihrem Webspace ausgeführt wird. Selbes gilt für die MySQL-Datenbanken.
  6. Besitzen Sie bei uns einen Managed- oder ResellerDedicated-Server, so können Sie über das Kundenmenü mittels einer Anfrage an unsere Technikabteilung für den Webserver nachfolgende Werte setzen lassen:
    • ServerTokens ProductOnly (Diese Einstellung gilt für den gesamten Server und veranlasst den Webserver nur seinen Namen auszugeben, nicht jedoch die genaue Versionsnummer oder eingesetzte Module)
    • ServerSignature Off (Der Webserver erzeugt keine Informationsfußzeile mehr unter ausgelieferte Dokumente)
    • Für beide Einstellungen gilt: Es gibt Anwendungen, die die zurückgegebenen Werte auswerten und ohne vollständige Informationen Fehler verursachen. Ebenfalls gelten diese Optionen für den kompletten Server, einzelne Domains können davon nicht ausgenommen werden.

End of article

Dietmar

Über den Autor

Dietmar

Dietmar ist seit 2005 bei domainFACTORY in wechselnden Aufgabenbereichen tätig. Seit 2013 unterstützt er als "Spezialist Qualitätssicherung Web" die Kollegen in der Entwicklungsabteilung bei allen Themen rund um Quality Assurance / Testing. Dabei kommt ihm die jahrelange Erfahrung im direkten und indirekten Kundensupport und der Begleitung bei der Einführung unseres ResellerProfessional-Systems zu Gute. Auch für viele Kollegen ist er bei Fragen dazu oder sehr alten Tarif-Konstellationen noch immer gerne eine Anlaufstelle.

7 Kommentare

Die von Ihnen hier erhobenen Daten werden von der domainfactory GmbH zur Veröffentlichung Ihres Beitrags in diesem Blog verarbeitet. Weitere Informationen entnehmen Sie bitte folgendem Link: www.df.eu/datenschutz


  • Michel
    Michel - 12. November 2012 um 10:19 Uhr

    Für die Wahl des Passworts kann man auch einfach einen kurzen oder langen Satz verwenden. Je länger desto sicherer und in dem Falle auch einfacher zu merken 😉

  • Michel
    Michel - 12. November 2012 um 10:20 Uhr

    „in dem Falle“ -> in jedem Falle.

  • Jan
    Jan - 12. November 2012 um 17:39 Uhr

    > Für die Wahl des Passworts kann man auch einfach
    > einen kurzen oder langen Satz verwenden. Je länger
    > desto sicherer

    Diese Erkenntnis ist geradezu sensationell. 😉

  • Rabenfuß
    Rabenfuß - 14. November 2012 um 12:14 Uhr

    @Jan: Für dich vielleicht nicht, für viele (leider) schon. Wenn ich mit meinem 20 Zeichen Passwort komme, dann drehen viele schon ab, von wegen „soviel kannst du dir merken?“

    Und ich merke mir alle meine Passwörter/Phrasen auswendig und davon gibt’s ne ganze Menge 😉