Verfasst am: Di Feb 14, 2006 8:45 pm Titel: Sicherheit für Phpnuke
Was kann man tun um seine website sicherer zu machen? Angeblich können hacker in sekundenschnelle (per Bruce
Force Attake) das admin passwort ausspionieren und so ändern dass man sich nicht mehr als site admin einloggen kann.
Muß man dann alles neu installieren oder gibt es eine einfachere Lösung?
1. Immer die aktuellen Sicherheitspatche einspielen.
2. Sicherheitstools installieren (z.B. Sentinel)
3. Regelmäßige Backups der Datenbank anlegen.
4. Die config.php schützen und verstecken (htaccess)
Das sind nur einige Punkte zum Schutz
Wenn man dann doch mal gehackt wird, braucht man im Normalfall nur das Backup der Datenbank wieder einspielen.
Mich würde mal interessieren, ob es wirklich möglich ist, Php-Dateien auszulesen, also nicht nur den Html Quelltext... Angeblich soll es Tools geben, die das ermöglichen. Stimmt das?
Und wenn ja, ist eine Code Verschlüsselung mit z.B. dem Php Obfuscator ein sinnvoller Schutz?
Hej
Ja. Man kann den Code unter gewissen umständen auslesen, oder auch gleich kopieren und ansehen. Aber das ist soweit kein Problem. Im Nuke werden z.B in den PHP Dateien keine Daten gespeichert. Darum ist es auch völlig egal, ob den Code jemand lesen kann oder nicht. Einzig alleine ist die Datei, in der die Daten für die SQL Verbindung stehen von Wichtigkeit. Diese sollte man schützen, in dem man sie außerhalb von Nuke ablegt, oder mit extra Dateizugriff schützt.
Ein verschlüsseln der Dateien machen eigentlich nur dann Programmierer, wenn sie ihren Code schützen möchten, damit sie von anderen nicht modifiziert werden können, oder Teile aus diesem Code für andere Skripte verwendet können.
Aber bei Nuke ist das völlig sinnlos. Jeder kann Nuke runterladen und sich den Code ansehen.
Dabei seit: May 25, 2006 Beiträge: 255 Wohnort: LE
Verfasst am: Sa Feb 10, 2007 12:30 pm Titel:
siehe HTTP Auth oder CGI Auth, beides ist mit Nuke sentinel einfach zumachen...( es ist aber erforderlich Nuke Sentinel auf dem Neusten Stand zu halten, Nukesentinel block die Bruce Force Attake mittlerweile auch ^^)
und wie hermann schon schreibt "htacess verstecken", denn was man nicht sieht, kann man nicht finden...
aber jeder zusätzlicher Schutz, solange sie sich nicht behacken und alles frutzt, kann helfen, entweder führt es eventuelle Hacker in die irre, oder in die "Falle"...
und ja Du kannst Dein Passwort aber auch über MyPhpAdmin in der DB ändern
dazu ist dann eine Neuinstallation überflüssig _________________
also sentinel hab ich jez nicht, aber die config in einen anderen ordner gepackt und mit ner .htaccess und .htpasswd versehen. hoffe, dass dies auch ausreicht.
die eigentliche config.datei erreichen die skripte mittels "include...". falls hacker diesen "include.."- befehl auslesen könnten, werden sie wohl den ordner mit den ftp daten finden, aber zumindest ist er user- und pw- geschützt.
oder wie ist das mit dem verstecken gemeint?
habe schon gedacht, ob es gut ist die "include.." datei zu verschlüsseln, die zur config verweist. könntet ihr mir ein gutes encoder proggie empfehlen, das kostenlos ist???
Du kannst keine Beiträge in dieses Forum schreiben. Du kannst auf Beiträge in diesem Forum nicht antworten. Du kannst deine Beiträge in diesem Forum nicht bearbeiten. Du kannst deine Beiträge in diesem Forum nicht löschen. Du kannst an Umfragen in diesem Forum nicht mitmachen.
FAQ
Suchen
Mitgliederliste
Benutzergruppen
Profil
Einloggen, um private Nachrichten zu lesen
kostenlos 
