Thema: Mein Sicherheitsleitfaden

Zitat von ViperRT10

super hat geklappt!

hast du die wow seiten gemacht?

Ja, das sind meine. In der Signatur stehen aber nur meine privaten Projekte, ich habe auch beruflich schon ein paar gemacht.

Hallo @all,

hat jemand noch etwas zum Thema Sicherheit beizutragen? Es wäre schön, wenn wir hier weitermachen könnten.

Gruß
Markus

Zitat von Worti

Wenn man Anderen hilft, kann man selbst eine Menge lernen.

Cooler Spruch!

-------------------------------

An verschiedenen Stellen liest man die Empfehlung, die configuration.php dadurch zu schützen, dass diese umbenannt und in einen passwortgeschützten Ordner verschoben wird. Am alten Speicherort wird dann eine neue configuration.php mit folgendem Inhalt hinterlegt:

<?php
require( dirname(__FILE__).'/Ordnername/neuername.php');
?>

Der Tipp wurde hier im Forum zwar schon heftigst! verrissen, aber ich bin immer noch der Meinung, dass auch das zur Gesamtsicherheit beiträgt. Vor automatisierten Scripten kann es zumindest schützen, und auf alle Fälle schadet es nicht.

Schaden können solche Sicherheitstips (die ich persönlich unter "Paranoia" einstufe) in dem Moment, wo ein Fehler auftritt und der Webmaster nicht mitteilt, daß er solche Einstellungen getätigt hat.
Ich denke, man könnte noch sehr viel mehr machen, bis hin zur kompletten Verschlüsselung der Installation, aber irgendwie sollte man auch die Kirche im Dorf lassen.

Die normalen Maßnahmen zur Grundabsicherung, die Flotte schon auf seiner Seite schön aufbereitet hat, sollten ausreichen.
Alles andere macht dem Webmaster, und im Falle eines Falles auch den Supporten, das Leben nur unnötig schwer.

Klar, wie weit es jemand mit den Sicherheitsmaßnahmen treibt, ist jedem selbst überlassen.
Und solange alles gut geht und man nicht gehackt wird, kann auch keiner sagen, welche Sicherheitseinstellung nun dafür zuständig war/ist.
Und Stichwort 'Paranoia': Wir wollen doch sachlich bleiben, oder?

Wenn jemand Zugriff auf Deinen Accout hat, nützt dieser "Schutz" rein gar nichts. Das umbenennen und woanders abspeichern dieser Datei ist schlichtweg Quatsch, zumal die configuration.php ja nach wie vor vorhanden sein muss. Somit ist es ein Leichtes diese Datei aufzuspüren. Sie wird ja sogar autom. geladen, wenn man die Datei aufruft....

Grundsätzlich ist es richtig, das die Speicherung dieser Datei auf Webroot-Ebene unter sicherheitskritischer Betrachtung betrachtet, keine gute Lösung ist. Schon allein deswegen, weil ein Browser direkten Zugriff darauf hat und man diese Ebene nicht so einfach per .htaccess schützen kann, um Browserzugriff zu verhindern (geht natürlich, aber dann reicht kein simples "deny all"). Die Datei ist deswegen bedenklich, weil dort das MySQL-Passwort in Klartext drinsteht.

<?php header('Location: http://'. $_SERVER['SERVER_NAME'] .'/'); ?>

Bei diesem Beispiel wird zur Startseite der Hauptdomain umgelenkt. Praktisch für einen Einsatz als "index.php"-Datei in Unterverzeichnissen, in denen der gemeine Gast nichts verloren hat. ;-) Quelle: http://www.schmager.de/redirect.shtml

Was haltet Ihr davon ?

In Verzeichnissen, in denen der "gemeine Gast" nix zu suchen hat, liegt standardmäßig eine index.html drin, die eine hübsche weiße Seite auf den Monitor zaubert.
Erfüllt imho den selben Zweck und wird von Joomla schon mitgeliefert.