WebsiteBaker Community Forum

WebsiteBaker Support (2.8.x) => Hilfe & Support (deutsch) => General Help & Support => Diskussion über WB (closed) => Topic started by: Ritschie on August 06, 2008, 11:59:05 PM

Title: Frage zur Sicherheit
Post by: Ritschie on August 06, 2008, 11:59:05 PM

Moin,

ich bin im Webdesign ein bisschen Neuling und habe die Aufgabe geerbt, eine Website zu erstellen. Zufällig bin ich über WB gestolpert und ganz begeistert, was ich damit alles machen kann.

Aber ich habe noch ein bzw. mehrere Problem mit der Sicherheit. Ich weiß nicht, ob es irgendwo steht, ich habe jedenfalls nichts gefunden:

Wie müssen die Berechtigungen in den Verzeichnissen gesetzt werden? Ich habe hier öfter 777 gelesen. Ist das eigentlich eine SIcherheitslücke im I-Net?

Wie angreifbar ist eigentlich das Backend? Das admin Verzeichnis ist ja ungeschützt, da kann jeder rein. Und jeder weiß, wie es heißt. Oder kann man das umbenennen (Security by Obscurity)? Ich finde es ja schon komisch, mich ohne https anzumelden.

Was ist im Bereich Sicherheit noch zu beachten?

Ich hoffe, ihr habt ein paar Antworten für mich. Oder Links oder Suchworte (gerne auch in Englisch).

Gruß
Richard

PS: Cooles Smiley, habe ich noch nie gesehen:  :mrgreen:

Edit: Gerade gefunden: http://help.WebsiteBaker.org/pages/de/basis-doku/installation/wb-installer.php
Da sind ja schon ein paar Sachen erklärt. Peinlich...

Edit2: Auch gefunden: http://help.WebsiteBaker.org/pages/de/knowledge-base/dateien-und-berechtigungen.php
Da steht ja mehr oder weniger der Rest zu den Berechtigungen. Noch peinlicher, ich glaube, ich hole mir einen neuen Account.  :roll:

Title: Re: Frage zur Sicherheit
Post by: ruebenwurzel on August 07, 2008, 01:58:30 PM

Hallo,

seit WB 2.7 sollte es auch möglich sein, das admin Verzeichnis umzubenennen. Man muss dann lediglich noch in der config.php die entsprechenden Anpassungen vornehmen (in zwei Zeilen das admin durch den neuen Namen ersetzen).

Was sich natürlich immer anbietet ist ein Schutz mit .htaccess + Passwort. Nachteil ist eigentlich nur, dass man beim Einloggen halt zweimal einen Namen und ein Passwort eingeben muss.

Irgendwo hier im Forum hat auch jemand mal ein howto veröffentlicht, das komplette admin Verzeichnis auf einen anderen Bereich des Servers auszulagern (https// ). Find es aber auf die schnelle net. Vielleicht suchst du mal ein bisserl (auch im englischen Bereich).

Nachdem du ja auf den Hilfeseiten den Abschnitt mit Dateien und Berechtigungen gelesen hast, weißt du, dass abhängig von der Serverkonfiguration hier unterschiedliche Werte funktionieren können. Am besten austesten wie weit man die Rechte einschränken kann, ohne dass es zu Funktionseinbußen kommt. Was man aber auf jeden Fall machen kann ist Dateien und Ordnern, auf die definitiv nur lesend zugegriffen werden braucht, dort auch nur Lesezugriffe (chmod 444) zu setzen. (index.php und config.php in der root z.B.).

Matthias