Sicherheit für das Webhosting

Der folgende Artikel thematisiert die wichtigsten Punkte bezüglich Sicherheit für deinen Serverplatz. Nebst Massnahmen in der Ausgestaltung des Systems kannst auch du als Kunde einiges zur Sicherheit Ihrer Applikation oder Website beitragen.

Eine öffentlich zugängliche Präsenz bietet bereits eine Anzahl möglicher Schwachstellen, da diese auch für jeden Benutzer zugänglich sein soll. Es muss somit sichergestellt werden, dass die einzelnen Zugriffsvarianten gegen Fremdeinflüsse so gut wie möglich geschützt sind.

Weiche von Standards ab! Jede Web-Applikation arbeitet mit einem entsprechenden Administratoren-Zugang, welcher standardmässig mit einem vordefinierten Benutzernamen zugänglich gemacht wird. Diese sind öffentlich bekannt und als nicht sicher zu betrachten. Ändere diesen spätestens bei Umschaltung auf den Produktivbetrieb.

Ebenfalls arbeiten viele Applikationen mit vordefinierten Datenbank-Tabellenpräfixen und Verzeichnispfaden. Ändere auch diese bei Installation, um automatisierte Angriffe (Exploit Scans) ins Leere laufen zu lassen.

Achte darauf, dass du die Passwörter für das Controlpanel Plesk, den Backend-Zugang, FTP-Zugriff, Mail-Adresse sowie den Datenbank-Benutzer unbedingt geheim haltest und sicher verwahrst. Zugangsdaten sind der Schlüssel zum jeweiligen System und sind vielfach die einzige Hürde, welche das System gegen unbefugte Zugriffe schützt. Bitte beachte, dass du die folgenden Regeln unbedingt einhälst:

• schöpft die volle Möglichkeit von mind. 25 (besser 40 oder mehr) Zeichen aus.
• enthält mind. 5 Buchstaben unter Verwendung von Gross- als auch Kleinbuchstaben.
• enthält mind. 5 Ziffern.
• enthält mind. 3 Sonderzeichen.
• enthält keine (erkennbare) Systematik, erscheint also wie eine zufällig erzeugte Zeichenfolge.
• ist kein Wort einer bekannten Sprache.
• ist keine Tastaturkombination oder Tastaturbild.
• enthält keine Namen, insbesondere nicht einen, der im Zusammenhang mit der Domain / dem Benutzerkonto steht.
• ist nur dem Inhaber der Kennung bekannt.
• wird nicht für weitere Funktionen oder andere Dienste verwendet.
  
  

• Stelle sicher, dass du jeweils die aktuelle Version des Programmes einsetzt.
• Installiere nur Module / Komponenten, die du auch wirklich benötigst, da jedes zusätzliche Modul die Angriffsfläche erhöht.
• Nicht mehr aktive und ungewartete Programme/Applikationen dürfen nicht öffentlich zugänglich sein. Das heisst wenn zum Beispiel testweise ein CMS in einem Unterverzeichnis installiert wird und danach nicht mehr verwendet wird, kann dies auch die aktive Präsenz tangieren – analog verhält es sich mit ersetzten Programmen oder Web-Applikationen (Beispiel: in Unterverzeichnis /wp ist die aktive WordPress-Installation aktiv und die Alte wird auf /wp_old umbenannt).  Die alte Umgebung und dadurch auch die Neue bleiben in dieser Form angreifbar.

• Ändere die Rechte kritischer Konfigurationsdateien (Passwortdateien) ausnahmslos auf 600.
• Verhindere Web-Zugriffe auf sicherheitsrelevante Scripts und Git Repositories via .htaccess (Deny from all)
• Verhindere unprivilegierte Web-Zugriffe auf nicht öffentliche Bereiche mit einem Passwortschutz.
  
  

• Verbinde dich ausschliesslich verschlüsselt mit dem FTP-Server.
  
  

• Verbinde dich ausschliesslich verschlüsselt mit dem Postein- und Ausgangsserver.

SMTP over SSL = Port 465
POP3 over SSL = Port 995
IMAP over SSL = Port 993

• Vermeide Standard-Datenbanknamen wie typo3, wordpress, joomla etc.
• Falls nicht benötigt, schränke externe Verbindungen zur Datenbank ein indem nur lokale Verbindungen zugelassen werden.

• Wir raten dringend davon ab, Passwörter in E-Mails, Office-Dokumenten oder anderen elektronischen Dokumenten zu speichern. Wir empfehlen für die sichere Ablage einen Passwort-Manager wie z.B. SecureSafe, im Idealfall mit 2-Faktor-Authentifizierung.