Homepage selbermachen 7.851 Themen, 35.615 Beiträge

Verfolgung starten Optionen

Homepage gegen eindringlinge absichern

hansapark / 3 Antworten / Baumansicht Nickles

hallo..

ich habe eine frage, und zwar, was kann man tun um seine webseiten vor unerwünschten änderungen im code und ähnlichem zu schützen?

bei mir kam es jetzt mehrmals vor dass quelltext einfach verschwunden ist.

außer "mysql_real_escape" bei manchen eingaben, und einem regelmäßigen backup habe ich keine maßnahmen ergriffen. (weiß nicht welche)

was kann man alles tun um die sicherheit zu maximieren,?

es ist eine reine html,php,mysql webseite

danke.
h.





bei Antwort benachrichtigen
the_mic hansapark „Homepage gegen eindringlinge absichern“
Optionen

Schneller Brainstorm:
- auf PHP verzichten
- ein Framework verwenden, das schon die wichtigsten Prüfungen macht
- Quelloffene Standardsoftware (CMS, Blog) verwenden, diese immer aktuell halten
- Zugriffsrechte auf Dateiebene restriktiv handhaben
- Sichere Passwörter für SSH/FTP/MySQL verwenden
- kein FTP verwenden sondern SFTP/SSH oder zumindest FTPS
- Webserver paranoid absichern. bei Apache mod_security konfigurieren. PHP mittels suhosin härten und diverse gefährliche Funktionen deaktivieren. Gescheit konfiguriertes und sicheres Betriebssystem verwenden

cat /dev/brain > /dev/null
bei Antwort benachrichtigen
hansapark Nachtrag zu: „Homepage gegen eindringlinge absichern“
Optionen

ui.
ich werd mich erst mal an SFTP/SSH oder zumindest FTPS, + evtl. suhosin, versuchen..

dann auf PHP verzichten
- ein Framework verwenden, das schon die wichtigsten Prüfungen macht, was mir noch nicht klar ist, von der funktion her...
sowas wie django ? (was mir noch ein rätsel ist, aber schon interessiert)
danke sehr
h.

bei Antwort benachrichtigen
the_mic hansapark „ui. ich werd mich erst mal an SFTP/SSH oder zumindest FTPS, evtl. suhosin,...“
Optionen

mysql_real_escape alleine genügt nicht. Jeder Userinput muss akribisch geprüft werden. d.h. jede Eingabe muss mit strip_tags, addslashes etc pp gefiltert werden. Ein gescheites Entwicklungsframework wie z.B. cakephp, symfony oder zend sollte dir die Mehrheit dieser Aufgaben abnehmen.

Auf PHP zu verzichten ist nicht ganz trivial. Je mehr in PHP geschriebene Funktionalität das Projekt enthält, desto mühsamer wird es, die Sache in einer anderen Sprache neu zu schreiben. Daher sollte diese Designentscheidung eigentlich je schneller desto besser getroffen werden.

django ist ein Framework für Python, also nix mit PHP. Wenn du Python nehmen willst, solltest du dir aber auch mal Turbogears anschauen, das ist nicht übel. Falls du dich mal an was ganz anderem versuchen willst, soll Ruby on Rails ziemlich genial sein.

cat /dev/brain > /dev/null
bei Antwort benachrichtigen