0
0
Die Entwickler von MODX Revolution sind ständig bemüht, die Sicherheit ihres Systems zu verbessern. Allerdings muss auch der Ersteller der Website einige Anstrengungen unternehmen, um sicherzustellen, dass die Sicherheit der Website angemessen bleibt.
Zwar kann niemand absolute Sicherheit garantieren, aber wir können es Eindringlingen sehr schwer machen, Ihnen das Leben schwer zu machen. In diesem Artikel möchte ich Ihnen einfache, aber wirksame Möglichkeiten zum Schutz Ihrer Website vorstellen.
Den Kernel verschieben
Seit Version 2.4 zeigt MODX auf der Startseite des Panels eine Warnung an, wenn sich das Kernel-Verzeichnis in der Public Domain befindet. Trotzdem ist dieser Tipp für jedes Webprojekt relevant – der Anwendungskernel sollte sich an einem Ort befinden, der für Eindringlinge möglichst unzugänglich ist.
Welches Risiko birgt es, das Kernel-Verzeichnis an einem zugänglichen Ort abzulegen?
- Ein Angreifer kann die Version von MODX herausfinden und diese Information nutzen, um die entsprechenden Sicherheitslücken zu finden.
- Ein Angreifer kann Informationen über installierte Add-ons erhalten.
- Ein Angreifer könnte Add-on-Pakete herunterladen, insbesondere wenn sie kostenpflichtig sind.
- Wenn der Server plötzlich auf ein Problem stößt, bei dem php-Dateien nicht mehr ausgeführt werden und stattdessen „so wie sie sind“ angezeigt werden, ist es für einen Eindringling ein Leichtes, Zugang zur Datenbank zu erhalten.
Lösung
Lassen Sie uns ein einfaches Beispiel betrachten. Nehmen wir an, die Website befindet sich unter der folgenden Adresse:
/home/user/vasya/www/site.ru/public_html/.
In diesem Verzeichnis befinden sich die Dateien index.php, .htaccess, config.core.php und die Verzeichnisse assets, connectors, core.
Wie Sie sehen können, befindet sich der Kern von MODX hier:
/home/user/vasya/www/site.ru/public_html/core/
Das Problem ist, dass sich das Core-Verzeichnis auf derselben Ebene befindet wie die Dateien, die für normale Website-Besucher zugänglich sind. Der einfachste Weg, das Problem zu lösen, besteht darin, das Verzeichnis mit dem MODX-Kern im Dateisystembaum nach oben zu verschieben. Am einfachsten geht das über SSH oder mit einem Dateimanager, der von Ihrem Hosting oder einem Kontrollpanel wie ISP Manager bereitgestellt wird. Nachdem Sie also das Kernel-Verzeichnis verschoben haben, lautet seine neue Position wie folgt:
/home/user/vasya/www/site.ru/core/.
Nach dieser Manipulation ist es wichtig, die MODX-Konfigurationsdateien mit dem neuen Pfad zum MODX-Kern zu aktualisieren. Die Liste der Dateien ist wie folgt:
- config.core.php
- anschlüsse/config.inc.php
- Kern/Konfiguration/Konfiguration.inc.php
- manager/config.inc.php
Änderung der Adresse des Panels
Normalerweise befindet sich das administrative Panel der Website auf MODX unter https://site.ru/manager. Eine kleine Hilfe von MODX ist das Verschieben des Admin-Panels, und es ist einfach zu machen – benennen Sie einfach das Verzeichnis selbst um (zum Beispiel von manager zu admin oder abrakadabra), und geben Sie dann den neuen Pfad in derselben Konfigurationsdatei an:
core/config/config.inc.php
Add-ons aktualisieren
Auch wenn die Funktionalität der aktuellen Version der Add-ons völlig zufriedenstellend ist, bedeutet das nicht, dass es keinen Grund für ein Update gibt. Wie Sie wissen, bringen neue Versionen von Software nicht nur neue Funktionen, sondern auch verschiedene Fehlerkorrekturen mit sich (auch wenn damit in der Regel auch neue Fehler einhergehen).
MODX aktualisieren
Wie ich bereits oben geschrieben habe, arbeiten die MODX-Entwickler ständig daran, die Sicherheit von MODX zu gewährleisten. Es wird daher empfohlen, MODX regelmäßig auf die neueste stabile Version zu aktualisieren.
Aufteilen und erobern
Wenn Sie mehr als eine Person an Ihrer Website arbeiten lassen, sollten Sie für jeden Benutzer die minimal erforderlichen Zugriffsrechte einrichten. Schließlich macht es keinen Sinn, dass der Content Manager Zugriff auf Systemeinstellungen oder Chunked Snippets hat.
Selbst wenn der Content Manager keinen Bedarf hat, am System herumzubasteln, könnte ein Eindringling auftauchen und die Inkompetenz des Benutzers ausnutzen, um sich Zugang zum Verwaltungsbereich zu verschaffen. Dies gilt insbesondere dann, wenn die Arbeit mit der Website über eine unsichere Verbindung erfolgt, so dass der Benutzername und das Kennwort im Klartext über das Netzwerk übertragen werden. Um das Risiko des Abfangens von Passwörtern zu verringern, empfiehlt es sich, ein SSL-Zertifikat zu kaufen und zu installieren, so dass alle Anfragen verschlüsselt übertragen werden.
Fazit
Eine sichere Website ist eine gute Sache.
