Welches sind Ihre Sicherheitsempfehlungen?
Eine öffentlich erreichbare Internetpräsenz bietet eine Anzahl von möglichen Schwachstellen, welche zur Verbreitung von Malware oder Spam missbraucht werden können.
Um diese Risiken zu minimieren, befolgen Sie bitte unsere Sicherheitsempfehlungen:
1. Passwörter
Verwenden Sie für Passwörter (Administatoren-Zugang, FTP, Datenbanken, Plesk etc.) den Plesk Passwort-Generator oder erstellen Sie Ihr Passwort nach den folgenden Richtlinien:
Das generierte Passwort ...
- besteht aus mind. 8 (besser 10 oder mehr) Zeichen
- enthält mind. 2 Buchstaben (Gross- und Kleinbuchstaben)
- enthält mind. 2 Ziffern und Sonderzeichen
- enthält keine erkennbare Systematik, d.h. erscheint wie eine zufällig erzeugte Zeichenfolge
- ist nur dem Inhaber bekannt
- wird regelmässig geändert
- wird nicht auch für andere Anwendungen verwendet
2. Web-Applikation
- Jede Web-Applikation verwendet als Standard-Administrator einen vordefinierten Benutzernamen. Ändern Sie diesen, spätestens jedoch bei der Umstellung auf den Produktivbetrieb.
- Halten Sie Ihre Applikation immer auf dem neuesten Stand und führen Sie alle verfügbaren Updates durch.
- Installieren Sie nur Module / Komponenten, die Sie auch wirklich benötigen. Jedes zusätzliche Modul erhöht die Angriffsfläche
- Entfernen Sie alle nicht benötigten Applikationen, Plug-Ins, Add-Ons und Themen vom Server (nicht nur deaktivieren), da auch diese Sicherheitslücken enthalten können.
3. Web-Server
- Verwenden Sie FastCGI oder FPM in den PHP-Einstellungen, um PHP unter dem FTP-Benutzernamen zu betreiben.
- Konfigurieren Sie die Berechtigungen von Konfigurationsdateien ohne Ausnahme auf 600
- Verhindern Sie Web-Zugriffe auf sicherheitsrelevante Scripts via .htaccess (Deny from all)
- Verhindern Sie Zugriffe auf nicht öffentliche Bereiche Ihrer Seite durch einem Passwortschutz.
4. FTP-Server
- Verbinden Sie sich ausschliesslich verschlüsselt mit dem FTP-Server - Explizites FTP über TLS (FTPES).
→ FAQ: Wie kopiere ich meine Daten mittels FTP / FTPES auf meinen Server? - Verwende Sie ein starkes Passwort für den FTP-Zugriff. Siehe Abschnitt Passwörter
5. Datenbank-Server
- Vermeiden Sie Standard Datenbanknamen wie wordpress, typo3, gallery etc.
- Ändern Sie bei der Installation die vordefinierten Datenbank-Tabellenpräfixe und Verzeichnispfade. Automatisierte Angriffe (Exploit Scans) laufen so ins Leere.
6. Mail-Server
- Verbinden Sie sich ausschliesslich verschlüsselt mit dem Postein- sowie ausgangsserver.
SMTP over SSL = Port 465 bzw. Port 587 (Submission)
POP3 over SSL = Port 995
IMAP over SSL = Port 993