Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Webserver Sicherheit - .htaccess - PHP Sicherheitsmaßnahmen

Mitglied: trebax

trebax (Level 1) - Jetzt verbinden

14.11.2013, aktualisiert 12:39 Uhr, 1708 Aufrufe, 2 Kommentare

Hallo Admins & co!

Meine Frage ist etwas speziell, aber ich hoffe es gibt hier Leute die mir weiterhelfen können.
Ich habe in der letzten Zeit wieder massiv mit Hackerangriffen auf meine Webseiten zu kämpfen.

Die CMS-Versionen sind nicht immer aktuell, es wäre aber auch verhältnismäßig zu viel Aufwand diese regelmäßig auf Aktualisierungen zu prüfen und diese einzuspielen.

Nun überlege ich welche Sicherheitsmaßnahmen ich ergreifen kann um einen guten Schutz zu erreichen.

Meine Überlegungen:

1. Zugriffe über .htaccess Beschränken
a. Administrationsbereiche und weitere Verzeichnisse werden nur noch über die Zugriffsbereichtigung meiner IP-Adresse verfügen
b. Verzeichnisse in denen user generated content, wie z. B. PDF, oder Bilddateien landen werden auf Dateitypen beschränkt, alle anderen abgewiesen.

2. PHP-Script zur Datenüberprüfung
a. Daten werden auf Änderung überprüft und sofern eine Änderung vorliegt wird per E-Mail eine Benachrichtigung erfolgen. Ausgeführt wird das Script über einen Cronjob

3. Proxy-Server
Da einige Kunden Ihre Webseiten selbst administrieren überlege ich einen Proxy-Server einzurichten über den dann der Kunde Zugriff zum Administrationsbereich seiner Webseite bekommt. Hat jemand einen Guide der sehr gut beschreibt wie eine Einrichtung von statten geht? Linux oder Windows ist egal.

Hat jemand von euch weitere Vorschläge oder kann mir aus eigener Erfahrung was über die Wirksamkeit meiner Überlegungen sagen?
Mitglied: SlainteMhath
14.11.2013 um 13:03 Uhr
Moin,

Vorab...
Die CMS-Versionen sind nicht immer aktuell, es wäre aber auch verhältnismäßig zu viel Aufwand diese regelmäßig auf Aktualisierungen zu
prüfen und diese einzuspielen.
...genau DAS ist aber doch dein Job als Webmaster/Dienstleister/Hoster, oder nicht?

Ohne jetzt das Einsatzgebiet des CMS's zu kennen (Intranet/Extranet/Customer-facing...)
Deine Überlegungen sind grundsätzlich iO; das ziehen einer zusätzlichen Schutzmauer um das Admininfterface ist eine gute Idee. Allerdings werden üblicherweise Löcher in CMS auf den öffentlich zugänglichen ausgenutzt um Rechte auf dem Server oder im CMS selbst zu erlangen - meist mit dem Ziel die Box als Malware Schleuder zu missbrauchen.

Wenn du dich nicht um das CMS selbst kümmern willst, dann hilft dir im Prinzip nur eine Web-Application Firewall (WAF), die quasi als Proxy vor dem Webserver läuft un alle Zugriffe erstmal auf Ungereimtheiten untersucht.

lg,
Slainte
Bitte warten ..
Mitglied: trebax
14.11.2013, aktualisiert um 13:51 Uhr
Danke für die schnelle Antwort!
Zu deinen Fragen:

...genau DAS ist aber doch dein Job als Webmaster/Dienstleister/Hoster, oder nicht?
Mein Job erschließt sich natürlich aus Vertragsinhalten.

Allerdings werden üblicherweise Löcher in CMS auf den öffentlich zugänglichen ausgenutzt um Rechte
auf dem Server oder im CMS selbst zu erlangen - meist mit dem Ziel die Box als Malware Schleuder zu missbrauchen.
Sicherheitslücken sind von CMS-Typ und Version abhängig.

Wenn du dich nicht um das CMS selbst kümmern willst, dann hilft dir im Prinzip nur eine Web-Application Firewall (WAF), die
quasi als Proxy vor dem Webserver läuft un alle Zugriffe erstmal auf Ungereimtheiten untersucht.
Danke, da werd ich mich mal schlau machen!
Bitte warten ..
Ähnliche Inhalte
Sicherheitsgrundlagen

WebServer im Heimnetzwerk - Port 80 - SIcherheit

Frage von Dummy2507Sicherheitsgrundlagen2 Kommentare

Hallo, wie mein Nutzername schon aussagt, bin ich kein großer Experte, sondern eher ein Home-User. Zuhause habe ich von ...

Apache Server

Apache Webserver V-Host .htaccess Frage

gelöst Frage von Andi2401Apache Server5 Kommentare

Hallo Admin`s, wir haben einen Webserver wo mehrere Webseiten betrieben werden, und diese funktionieren auch hervorragend. Ich habe auch ...

PHP

WebShop direkt in PHP aufrufen ohne Webserver

Frage von StefanKittelPHP9 Kommentare

Hallo, ich würde gerne einen Webshop direkt in PHP aufrufen ohne den Webserver zu benutzen. Es handelt sich um ...

Apache Server

Server Abuse, Sicherheitsmassnahmen und Sicherheitslücken schliessen

Frage von wescraven07Apache Server3 Kommentare

Hallo Admins, folgende Frage: Wir haben seit etwa 12 tagen das Problem, dass unser Managed Webserver irgendwo eine Sicherheitslücke ...

Neue Wissensbeiträge
Windows 10

USB Maus und Tastatur versagen Dienst unter Windows 10

Erfahrungsbericht von hardykopff vor 1 TagWindows 105 Kommentare

Da steht man ziemlich dumm da, wenn der PC sich wegen fehlender USB Tastatur und Maus nicht bedienen lässt. ...

Administrator.de Feedback
Update der Seite: Alles zentriert
Information von Frank vor 1 TagAdministrator.de Feedback18 Kommentare

Hallo User, die größte Änderung von Release 5.8 ist das Zentrieren der Webseite (auf großen Bildschirmen) und ein "Welcome"-Teaser ...

Humor (lol)

WhatsApp-Nachrichten endlich auch per Bluetooth versendbar

Information von BassFishFox vor 2 TagenHumor (lol)4 Kommentare

Genau darauf habe ich gewartet! ;-) Der beliebte Messaging-Dienst WhatsApp erhält eine praktische neue Funktion: Ab dem nächsten Update ...

Google Android

Googles "Android Enterprise Recommended" für Unternehmen

Information von kgborn vor 2 TagenGoogle Android3 Kommentare

Hier eine Information, die für Administratoren und Verantwortliche in Unternehmen, die für die Beschaffung und das Rollout von Android-Geräten ...

Heiß diskutierte Inhalte
Windows Netzwerk
WSUS4 und Windows 10 Updates automatisch installieren
Frage von sammy65Windows Netzwerk15 Kommentare

Hallo miteinander, ich habe mit einen neuen WSUS Server aufgesetzt Server 2016 darauf einen aktuellen WSUS. Grund, wir stellen ...

Speicherkarten
Vergessliche USB-Sticks?
Frage von hanheikSpeicherkarten14 Kommentare

Ich habe in den letzten Tagen 500 USB-Sticks mit Bilddateien bespielt. Obwohl ich die Dateien mit größter Sorgfalt kopiert ...

Hyper-V
Hyper-V mit altem XEON-Server. Was ist falsch?
Frage von LollipopHyper-V11 Kommentare

Hallo Bin etwas frustriert. Kleinbetrieb, ca. 15 PC's, 2 Stk. Server mit einigen virtuellen PC's für Fernwartung, VaultServer für ...

Windows Server
NTFS Berechtigungen Ordnerstruktur
Frage von hukahu23489Windows Server11 Kommentare

Hallo, ich bin seit kurzem in einer neuen IT-Abteilung und bin über das Berechtigungskonzept des Unternehmens sehr schockiert. Ich ...