HowTo: CMSms Sicherheit

[Sonya]

@Sonya:

Sehe ich genauso (siehe auch meine Ergänzung zu Schritt 2 im Originalbeitrag).

Sorry, habe ich nicht gesehen / gelesen.

[LeisureLarry]

Hab einmal einen Link bei Schritt 1 zu einer Internetseite hinzugefügt, die für Euch merkbare Kennwörter generiert.

[SimonSchaufi]

den Generator finde ich weitaus besser zumal der auch noch Sonderzeichen mit einbauen kann

http://www.gaijin.at/olspwgen.php

kann den post auch gerne wieder löschen, wenn du den link übernimmst

[LeisureLarry]

Dein Link hat leider auch einen Nachteil, die Kennwörter kann sich niemand merken. Das Besondere an meinem Link ist, daß dort aussprechbare und somit besser merkbare Kennwörter erzeugt werden. Deswegen würde ich den genannten Link bevorzugen und dort halt noch manuell Sonderzeichen einfügen.

Aber als Alternative sollte Dein Posting auf jedenfall vorhanden bleiben, da man dort mehr Einfluss auf die Generierung hat.

LeisureLarry

[cyberman]

Eine interessante Ergänzung zu diesem Thema ist auch im Wiki zu finden

http://wiki.cmsmadesimple.org/index.php ... mall_Guide

[LeisureLarry]

Hab heute mal ne kleine Ergänzung zum Wiki bzgl. des Upload-Ordners gemacht und eine Linksammlung für weiterführende Links unter dem Hauptbeitrag begonnen.

- LeisureLarry

[SimonSchaufi]

echt cool. danke!

[LeisureLarry]

Habe gerade einen interessanten Artikel zum Thema Passwortsicherheit gefunden.

Denn ein ganz entscheidender Faktor wird bei all den Maßnahmen immer wieder vergessen: der Mensch. Und der ist so käuflich, das geht auf keine Kuhhaut. Bei Frauen reicht bereits eine Tafel Schokolade und schwupp hat der Feind den Zugangscode. Gibt's nicht? Gibt's wohl! Hat Infosecurity Europe herausgefunden.

http://entwickler.com/itr/news/psecom,i ... id,82.html

In diesem Sinne denkt daran, das Admin-Kennwort sollte nur einem sehr kleinen Personenkreis bekannt sein (am besten nicht mehr als zwei Personen) und nicht gerade auf einem Post-It am Serverschrank notiert sein.

Grüße aus Nürnberg
LeisureLarry (interiete.net)

[Sonya]

Bei Frauen reicht bereits eine Tafel Schokolade und schwupp hat der Feind den Zugangscode. Gibt's nicht? Gibt's wohl! Hat Infosecurity Europe herausgefunden.

Oh, jeee. Der Feind bin ja ich. Als Frau gefährde ich meinen Server wohl am meisten .

Und zur Statistik: ja, mein CMSMS wurde schon Mal gehackt. Grund: Benutzung eines Masterpasswortes für alle Installationen sowie diverse Anmeldungen bei Foren im Netz. Der Benutzername war natürlich "admin". Die größte Sicherheitslücke bestand in meinem Kopf.

[cyberman]

Der Feind bin ja ich.

Aha. Deswegen die Tarnung (Foto) .

Grad noch einen Artikel über die Absicherung von PHP-Software im allgemeinen gefunden

http://www.heise.de/security/Grundsiche ... ikel/96564

[LeisureLarry]

Neuen Schritt hinzugefügt in Anlehnung an nachfolgenden Thread:
http://forum.cmsmadesimple.org/index.ph ... 787.0.html

Dort wurde zwar eine Datei im Root des Webservers erstellt und dann erst Dateien im tmp-Ordner und diese auch nicht vom Typ php, aber man weiss ja nie.

[NaN]

Bei Schritt 11 bin ich mir nicht sicher, ob das die Funktionalität des CMS beinträchtigt.
In einigen Unterordnern des Verzeichnisses tmp/templates_c befinden sich sehr wohl PHP-Dateien, die doch zumindest vom System ausgeführt werden dürften, oder?
Kann es leider gerade nicht online testen, da PHPIDS mich gerade von meinen eigenen Seiten ausgesperrt hat 
Ich habe das Gefühl, dass PHPIDS Probleme mit mod_rewrite hat.
Jedenfalls kann ich in der URL http://lasergame-le.de/top/impressum.html keinen schadhaften Code erkennen.
Trotzdem bekomme ich vom Modul Emails mit Sicherheitswarnungen.
Naja, und jetzt wurde ich erstmal für 30 Tage verbannt 
Im Prinzip ein tolles Tool, wenn man weiß, damit umzugehen.

[NaN]

So, habs gerade getestet.
Scheint doch keine Probleme zu machen.

[LeisureLarry]

PHPIDS hab ich leider auch nie in meiner Konstellation zum Laufen bekommen, das Teil hat einfach meine Kunden ausgesperrt.

Die PHP-Dateien, die Du meinst, müssen nicht PER BROWSER ausgeführt werden können. Sie werden von einer anderen PHP-Datei eingebunden und werden somit nie direkt ausgeführt.

[NaN]

Also könnte man doch auch für den Modulordner den Direktzugriff auf php-Dateien verbieten, da die doch über die Moduleinterface.php eingebunden werden.