Sicherheit
Es ist falsch zu Glauben, dass der Hoster für die Sicherheit verantwortlich ist. Er ist lediglich nur für die Sicherheit des Bereitgestellten Systems verantwortlich. Alles weitere liegt beim Nutzer des Systems!
Absolute Sicherheit gibt es nicht, aber man kann einiges dafür tun!
Ein paar Grundregeln, welche die Sicherheit einer Website wesentlich erhöhen:
Weil ich vorzugsweise Joomla als CMS verwende, sind die Tips die ich hier gebe auch auf Joomla bezogen, aber im Prinzip so oder so ähnlich auch übertragbar.
Zunächst sollte man über Webspace verfügen, bei dem man entweder ensprechnede Einstellungen selbst vornehmen kann, oder es kein Problem darstellt dass diese vom Hoster vorgenommen werden. - Wenn nicht, empfehle ich baldmöglichst den Hoster wechseln!
Eine häufige Sicherheitslücke stellt die php-Einstellung register-globals=on dar. - Diese muss "off" sein, weil sonst Tür und Tor geöffnet sind! Diese Einstellung kann über die php.ini vorgenommen werden.
Ferner sollte eine .htaccess-Datei die Zugriffe auf die Website regeln und zusätzlich Verzeichnisse wie z.B. das Administrator-Verzeichnis zusätzlich durch eine .htaccess-Datei Passwort geschützt sein.
In ersterer .htaccessdatei (liegt im root-Verzeichnis der Website) kann man ziemlich viel bewirken, in dem z.B. Zugriffe auf xml-Files ausgschlossen werden (mit Ausnahme der sitemap.xml), durch Blockierung sogenannter "Bad User" Agents oder msSQL Injekts oder durch abschalten unsicherer Server-Requests wie z.B. TRACE.
Eine Beispiel .htaccess-Datei für Joomla, kann als txt-Datei hier heruntergeladen werden: Download
Einfach in einem Texteditor bearbeiten, ins root-Verzeichnis hochladen und ind .htaccess umbenennen.
Mehr Sicherheit erreicht man in dem man die Rechte von Dateien (nicht Verzeichnissen!) auf 644 setzt. - Das geht wunderbar mit dem FTP-Client Filezilla.
Man sollte nicht den Standard-Admin verwenden. - Ein neuer Superadmin sollte eingerichtet und der alte dann gelöscht werden. Der Admin-Name sollte möglichst kryptisch wie auch das Passwort sein. - Richtlinien und Prüfung der Passwortstärke findet man hier:
Website des Datenschutzbeauftragten des Kantons Zürich
Der FTP-Layer sollte deaktiviert sein und nur aktiviert werden wenn man die Funktion gerade braucht. Danach wieder deaktivieren!
Ferner sollte darauf geachtet werden, dass bei automatisch generierten Sitemaps die zugehörige xsl zur Sitemap auch im Rootverzeichnis liegt und nicht im Admin VErzeichnis der Komponente! - Zugriffe auf den Admin-Bereich sind immer als Bedenklich einzustufen!
Unnötige Templates, Komponenten Module und Plugins entfernen und verfügbare CMS-Updates installieren.
Zudem regelmäßig selbst Backups machen und diese mit einem geeigneten Program Scannen.
Weiterhin ist ein IDS (Intrusion Detection System) empfehlenswert, welches meldet/anzeigt wenn Dateien verändert werden oder unerlaubt auf das Filesystem zugegriffen wird.
Natürlich dürfen Sie auch gerne meine Dienste zur Verbessung der Sicherheit Ihrer Website in Anspruch nehmen - Nutzen Sie für Anfragen das Kontaktformular.