Absicherung einer CMS/ms-Installation

Eine über das Internet erreichbare Software-Installation gegen Angriffe von Außen abzusichern, gewinnt aufgrund zunehmender Aktivitäten von Hackern immer mehr an Bedeutung. CMS/made simple ist zwar relativ sicher, aber grundsätzlich auch vor derartigen Angriffen nicht gefeit.

Im folgenden soll daher etwas intensiver auf dieses Thema eingegangen werden:

Sichere Anmeldung in der Administration

Wählen Sie einen nur schwer zu erratenden Benutzernamen und ein sicheres Kennwort.

Der Benutzername sollte sinnvollerweise nicht admin, administrator, webmaster usw. lauten. Ein sicheres Kennwort enthält Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen und hat eine Länge von 8-10 Zeichen.

Absicherung der Administration

Geben Sie auch dem Ordner /admin einen möglichst schwer zu erratenden Namen (also nicht administration, verwaltung oder ähnliches). Jeder, der sich mit CMS/made simple beschäftigt, wird unter /admin die Verwaltung von CMS/made simple suchen.

Anschließend muss noch die config.php, die auf das Verzeichnis der Administration verweist, angepasst werden:


$config['admin_dir'] = 'xyz';

Außerdem sollten Sie den Eintrag des Administrationsverzeichnisses aus der robots.txt entfernen.

Hinweis: Nach jeder Änderung der config.php muss den Zwischenspeicher geleert werden (Administration, Menü Webseiten-Administration > System-Wartung > Registerkarte "Zwischenspeicher und Inhalte"). Erst dann werden die Änderungen wirksam.

Absicherung der config.php

Setzen Sie die Berechtigung der config.php per FTP auf 444 (CHMOD 444) erteilen. Damit wird für diese Datei für alle Gruppen ausschließlich lesender Zugriff gewährt.

Absicherung des CMS/ms-Hauptverzeichnisses

Erstellen oder ergänzen Sie die .htaccess-Datei im CMS/ms-Hauptordner mit dem folgenden Code (gleich zu Beginn der Datei):


# BEGIN Optional settings
# Turns off directory browsing
# not absolutely essential, but keeps people from snooping around without
# needing empty index.html files everywhere
Options -Indexes
# Deny access to config.php
# This can be useful if php ever breaks or dies
# Use with caution, this may break other functions of CMSms that use a config.php
# file. This may also break other programs you have running under your CMSms
# install that use config.php. You may need to add another .htaccess file to those
# directories to specifically allow config.php.
<Files "config.php">
order deny,allow
deny from all
</Files>
# No sense advertising what we are running
ServerSignature Off
# END Optional Settings

Absicherung des /lib-Verzeichnisses

Erstellen Sie eine neue .htaccess-Datei mit dem folgenden Inhalt und kopieren Sie anschließend in das /lib-Verzeichnis der CMS/ms-Installation:


Order deny,allow
Deny from All
Allow from 127.0.0.1

Achtung: Diese Anweisung deaktiviert den Zugang zur in der Bildverwaltung integrierten Bildbearbeitung (IFRAME).

Absicherung des /uploads-Verzeichnisses

Erstellen Sie eine neue .htaccess-Datei mit dem folgenden Inhalt und kopieren Sie anschließend in das /uploads-Verzeichnis der CMS/ms-Installation:


Order deny,allow
Deny from All

Absicherung gegen Spambots

RewriteEngine on

# Spambots nach User_agent aussperren

RewriteCond %{HTTP_USER_AGENT} ^.*Whacker.*$ [OR]

RewriteCond %{HTTP_USER_AGENT} ^EmailCollector [OR]

RewriteCond %{HTTP_USER_AGENT} ^EmailSiphon [OR]

RewriteCond %{HTTP_USER_AGENT} ^EmailWolf [OR]

RewriteCond %{HTTP_USER_AGENT} ^.*FileHound.*$ [OR]

RewriteCond %{HTTP_USER_AGENT} ^.*TurnitinBot.*$ [OR]

RewriteCond %{HTTP_USER_AGENT} ^.*JoBo.*$ [OR]

RewriteCond %{HTTP_USER_AGENT} ^.*adressendeutschland.*$

RewriteRule ^.* - [F]

Diese Rewrite-Anweisung bewirkt, dass der USER_AGENT vom Webserver abgefragt wird. Sollte der User-Agent den Namen eines Spider-Programms haben, wird ein 403 (Forbidden) Fehler gesendet. Der Code schliesst die schlimmsten Spider aus. Eine (wesentlich) umfangreichere Liste gibts hier

http://www.spywareinfo.com/harvest_project/spambots.txt

Quelle: http://www.modrewrite.de/13.13.0.0.1.0.phtml

Absicherung der Kontakt-Möglichkeiten auf einer Webseite

Veröffentlichen Sie NIEMALS Ihre E-Mail-Adresse im Klartext.

Anstatt dessen sollten Sie eine Kontaktmöglichkeit über ein spamsicheres Kontaktformular anbieten. Eine weitere Alternative ist, die E-Mail-Adresse mit dem Smarty {mailto}-Tag zu verschlüsseln, zum Beispiel so

{mailto address="post@meine-domain.de" encode="javascript"}

{mailto address="post@meine-domain.de" encode="hex"}

Der Dank für das Konzept zu dieser Seite geht an den langjährigen Foren-User LeisureLarry.

Hinweis: Aktualisierungen zu diesem Thema finden Sie in unserem Forum.

Impressum  ·  Datenschutz  ·  Kontakt  ·  Spenden  ·  Inhaltsverzeichnis

© Copyright 2006-2024 by Andreas Just