Damit Eure Webseiten einen möglichen Angreifer das Leben erschwert, sollten so wenig Angriffsvektoren nach aussen bekannt geben werden.
Worauf sollte man achten?
- Keine Versionen & Namen von bekannter opensource CMS / Weblog Software oder Frameworks exposen
- Nicht im HTML-Code
- Nicht sichtbar auf der Webseite
- Nicht im Response-Header
- Keine angreifbaren Tools wie "PHPMyAdmin" installieren
- Falls es nicht anders geht:
- eigene Subdomain hier anlegen und das Tool via HTACCESS Passwortschutz sichern
- Falls es nicht anders geht:
- Datenbank-Verbindungen absichern
- Wenn möglich, Zugriff nur von "localhost" und via SSH-Tunnel
- Zugriff via SSH auf Webspace / Webserver
- Login als User "root" deaktivieren
- Login nur via SSH-Key ermöglichen
- Unnötige Ports deaktivieren
- Bei Nutzung von Frameworks / Bibliotheken
- Regelmässig auf Sicherheitsupdates prüfen
- Bevor Updates eingespielt werden:
- Prüfen ob es vollständig kompatibel ist oder ob es Major-Breaks gibt
- Bei Nutzung von PHP
- keine PHP-Version nach außen bekannt geben
- keine "X-Powered-By" mit einer PHP-Version im Response-Header
- Keine "info.php" mit vollständigen Infos zur installierten PHP-Version "phpinfo();" öffentlich zugreifbar machen
- Hier werden sensible Infos inkl. Serverpfade etc. ausgegeben
- Servernamen und Versionen nicht bekannt geben
- Nicht Sichtbar auf der Webseite
- Nicht im Response-Header unter "X-Server"
