Hallo,

in einigen meiner Webprojekte steckt inzwischen eine Menge Zeit und Arbeit. Je weiter die Arbeit fortschreitet, um so höher ist auch die Angst vor einem Angriff durch Hacker.
Ich ziehe regelmässig Backups.
Doch was kann man noch tun, um die Webseiten gegen solche Angriffe zu schützen.

Sylvia

Ich denke Mal, wenn du eine solche Frage stellst, dass Du shared Hosting benutzt - der Server sollte also bereits professionell durch den Hoster abgesichert sein.

Was Du machen kannst:
- keine Opensource-Scripte einsetzen, ohne geprüft zu haben, dass diese sicherheitstechnisch unbedenklich sind (z.B. mittels Google-Search, Fragen bei derer Support-Community, usw.)
- Die Opensource-Scripte regelmässig auf die neue Version updaten
- Dateirechte mit FTP/chmod richtig setzen
- sichere Passwörter wählen
- Scripte/Formulare absichern (gegen crossite scripting und SQL injection)
(...)

Oder auf Intrusion Detection/Prevention setzen.

@sd12: das wäre aber eher auf Server Ebene

Die Frage des Servers ist ja noch nicht geklärt...

Es gibt auch SW basierte Lösungen...

Zum Serverseitigen
Also bei uns wird z.B. nach einigen Fehlangaben bei FTP/SSH Zugriffen die IP auf die Firewall gesetzt für ein paar Minuten, daneben gibt es noch je nach System unterschiedliche Sicherheitstufen (z.B. bei unserer Hauptseite haben wir ein anderes Sicherheitslevel als bei den Hostingservern, etc.). Ich denke, jeder Administrator hat da seine eigenen Gewohnheiten und die sollten auch nicht offen gelegt werden (ehrlich gesagt, habe ich sowieso keine Ahnung von Systemabsicherung und lasse das die Profis machen).

Zum Scriptseitigen
Ich denke, mit regelmässigen Backups und Updates ist man auf der sicheren Seite, man kann auch übertreiben . Wenn dann mal etwas passiert ist, wird sich der Hoster sowieso melden (wobei das dann in der Regel nicht mehr so toll ist und auch in seltenen Fällen sogar teuer werden kann).

Danke.

Zu den Opensource-Scripten. Wie sieht es grundlegend mit Drupal aus? Ich hatte mich dafür entschieden, weil es ein hochleistungsfähiges Script ist, den Sicherheitsaspekt hatte ich damals nicht bedacht.

Dateirechte sind richtig eingestellt und meine Passwörter denke ich sicher.

Doch wie sichere ich Formulare ab? Vielleicht kann mir das Jemand speziell bei Drupal erklären?

Speziell an Marc.

Die Seiten liegen bei Euch.

Sind Eure Server gegen Intrusion Detection/Prevention abgesichert?

Sylvia

Drupal hat sicherheitstechnisch einen recht guten Ruf.
Wie bei allen Scripten kommen aber auch bei Drupal regelmässig Security-Advisories sowie Patches heraus.
Regelmässige Updates auf neue Versionen bleiben somit unabdingbar.

Standard-Formulare (z.B. mit Drupal mitgelieferte) sind in der Regel sicher.

Bei selbsterstellten Formularen sollte man den Input validieren
(such Mal auf Google nach "Input Validation")

Konkret heisst das, dass das Script, dass die Daten erhält, diese erst überprüft und gegebenenfalls "säubert".
Z.B. wenn eine Feldeingabe eigentlich nur Zeichen wie LEER, 0 bis 9 und A bis Z enthalten soll, dass das Script dann automatisch alle anderen Zeichen aus der Eingabe eliminiert.

Danke, für die ausführliche Antwort!