Sicherheit

Guite edited this page Nov 15, 2014 · 6 revisions
Clone this wiki locally

Durch das ferngesteuerte und automatisierte Hacken bekannter Sicherheitslücken hat das Thema Sicherheit in den letzten Monaten eine neue Qualität erhalten. Ein Fehler in einer weit verbreiteten Software kann so leicht zum Problem für hunderte Installationen werden, während man früher noch relativ sicher war, weil es immer eines Hackers bedurfte, der die Seite für hackenswert halten musste, sind automatisierte Hackingskripte inzwischen wesentlich weniger wählerisch.

Zikula pur

In anderen Systemen werden die Sicherheitslücken mit anderen, krude integrierten Skripten oft noch potentiert. Wenn zum Beispiel “Beliebte Forensoftware A” in “Beliebtes CMS B” eingebunden wird, bietet die Seite gleich die doppelte Angriffsfläche. Schwachpunkte sind oft auch die Stellen, an denen die Daten von dem einen in das andere System kommen.

Bei Zikula wird in den meisten Bereichen komplett auf Eigenentwicklungen gesetzt. Auch wenn externe Lösungen zum Teil mehr Features anbieten, solltest Du lieber mithelfen, dass alle Möglichkeiten der externen Skripte auch in die Zikula Module integriert werden - und wenn nur entsprechende Wünsche im Forum gestellt werden.

Updates! Updates! Updates!

Es gibt leider nach wie vor Webmaster, die Aktualisierung für unnötig halten oder sie nur machen, wenn man ihnen dafür ein Bündel neuer Features verspricht. Das Core-Team kann sich aber etwas Netteres vorstellen als ein Release - das ist nämlich jedesmal echter Stress.

Updates - gerade die, bei denen sich nur die 3. Ziffer ändert, sind IMMER auch Sicherheits-Updates. Jeder Webmaster, der sich nicht um die Aktualisierung seines Systems kümmert, handelt grob fahrlässig und darf sich nicht beschweren, wenn seine Seite gehackt wird.

Dies gilt im Übrigen nicht nur für das Basissystem, sondern auch für alle eingesetzten Module. Das Team Zikula ist im Forum gerne beim Update behilflich.

Servereinstellungen

In der Administration unter Sicherheit/SysInfo sind verschiedene Informationen dazu zu finden, wie der Webserver konfiguriert ist und wie er noch sicherer eingestellt werden kann.

Die Zikula-Entwickler empfehlen die folgenden Server-Einstellungen zur optimalen Sicherheit:

  • allow_url_include sollte off sein
  • allow_url_fopen sollte off sein
  • display_errors sollte off sein
  • expose_php sollte off sein
  • empfohlene disable_functions: show_source, system, shell_exec, passthru, exec, popen, proc_open
  • Apache 2.x - Die aktuelle Version des Webservers
  • modsecurity - Apache-Erweiterung für die Absicherung des Servers
  • Suhosin - PHP Sicherheitspatch

Infos zur PHP Konfiguration:

Security Center

In der Administration unter Sicherheit/Security Center findest Du das Herz des Zikula Sicherheitssystems. Hier kannst Du einstellen, ob der Schutz aktiviert sein soll oder nicht. Außerdem kannst Du entscheiden, ob du bei abgefangenen Angriffen benachrichtigt werden willst oder nicht.

Weiterführende Sicherheitstipps

  1. Sicherer Umgang mit Verzeichnissen
  2. Server absichern
  3. Backups
  4. Spamschutz