In diesem Artikel möchten wir Ihnen einige Hinweise geben, wie Sie die Sicherheit Ihrer Skripte erhöhen und Missbrauch vorbeugen können.
Wählen Sie sichere Skript-Einstellungen
Insbesondere für PHP-Skripte gibt es eine Vielzahl von Einstellungen, durch die die Sicherheit Ihrer Skripte beeinflusst wird. Viele dieser Einstellungen können Sie im KIS unter "Produktverwaltung - Webhosting - Konfigurieren - Skripte & Datenbanken - Skript-Einstellungen" ändern. Dabei haben wir die Standard-Einstellungen so gewählt, dass diese eine größtmögliche Sicherheit gewährleisten. Besonders relevant sind in diesem Zusammenhang die Einstellungen "PHP-Errors", "Allow URL fopen" sowie "Allow URL include". Sofern die von Ihnen eingesetzten Anwendungen keine speziellen Einstellungen benötigen, empfehlen wir, die von uns gesetzte Voreinstellung zu belassen. Detaillierte Informationen zu diesen Einstellungen finden Sie im FAQ-Artikel Skript-Einstellungen/Sicherheits-Einstellungen.
Vergeben Sie restriktive Dateirechte
Durch Sicherheitslücken in Skripten kann es dazu kommen, dass Dateien auf Ihrem Webspace verändert oder neu angelegt werden, sofern die vergebenen Dateirechte dies zulassen. Auf diesem Wege kann beispielsweise Schadcode an die Besucher Ihrer Seiten verteilt werden. Um dem möglichst vorzubeugen, sollte alle Dateien und Verzeichnisse, die von Ihrer Webanwendung im normalen Betrieb nur gelesen werden müssen, dem FTP-Benutzer gehören und nur für den Benutzer beschreibbar sein. Nur Dateien und Verzeichnisse, auf die Ihre Skripte immer Schreibzugriff benötigen, sollten für den Webserver-Benutzer beschreibbar sein. Dies können etwa Upload-, Cache- oder Logfile-Verzeichnisse sein. Weitere Informationen zu Unix-Dateirechten finden Sie im FAQ-Artikel Datei-/Verzeichnisrechte.
Halten Sie Ihre Webanwendungen aktuell
Gerade bei weit verbreiten Anwendungen werden bekannt gewordene Sicherheitslücken oft sehr schnell und in großen Umfang ausgenutzt. Daher sollten Sie Software-Updates, die Sicherheitslücken beheben, möglichst zeitnah einspielen. Dies gilt nicht nur für eine Webanwendung selbst, sondern auch für eventuell installierte Plug-Ins.
Sichern Sie Formulare ab
Webformulare wie Kommentar- oder Kontaktformulare werden gerne zu Spamversand missbraucht, meist durch automatisierte Bots. Daher ist es wichtig, solche Formulare gegen Missbrauch abzusichern. Wir empfehlen den Einsatz eines guten Captchas, z.B. des kostenlosen reCaptcha-Dienstes.
Wählen Sie sichere Kennwörter (und ändern diese regelmäßig)
Auch die sicherste Skript-Konfiguration schützt nicht vor Einbrüchen, wenn Passwörter, die den Zugang absichern, leicht zu erraten sind. Passwörter sollten daher nicht im Wörterbuch zu finden sein, nicht aus Eigennamen oder einem Datum bestehen und keine einfachen Zeichenketten wie 1234, xyz oder asdf enthalten. Auch sollten Sie ein Passwort möglichst nur an einer Stelle verwenden und nicht für alle Anwendungen das gleiche Passwort nutzen. Um die Sicherheit zu erhöhen, empfehlen wir auch, alte Passwörter regelmäßig gegen neue auszutauschen.
Tipps zu sicheren Passwörtern gibt z.B. das Bundesamt für Sicherheit in der Informationstechnik.
Um das Durchprobieren von Passwörter zu unterlaufen, empfiehlt es sich auch, für den Login in die Verwaltungsoberfläche von Webanwendungen keine Standard-Benutzernamen wie "admin" o.ä. zu verwenden.
Halten Sie Ihre lokale Software und den Antivirensoftware aktuell
Auch die Sicherheit Ihres Rechners zu Hause ist wichtig für die Sicherheit Ihrer Webseiten. Wenn Passwort-Eingaben durch Keylogger mitgeschnitten oder Dateien schon vor dem hochladen mit Schadcode infiziert werden, hilft alle Vorsicht beim Betrieb Ihrer Skripte nichts. Sie sollten daher immer eine Antivirus-Software auf Ihrem Rechner installiert haben und diese aktuell halten.
Darüber hinaus empfiehlt es sich ein besonderes Augenmerk auch auf die Aktualität des Betriebssystems, Ihres Webbrowsers und Erweiterungen wie Java und Flash zu haben und sicherheitsrelevante Updates zeitnah einzuspielen.
Aktuelle Sicherheitsinformationen stellt das Bundesamt für Sicherheit in der Informationstechnik im Bürger-CERT bereit.
Gelegentlich empfiehlt sich auch die Überprüfung Ihres Computers von einer Boot-CD aus, z.B. mit dem kostenlosen EU-Cleaner.