HowTo: CMS/made simple absichern

nockenfell · 16. September 2015 18:50

Gleich ergänzt.

faglork · 17. September 2015 11:10

cyberman schrieb:

Aus gegebenen Anlässen - trotz aller Absicherungen kann es passieren, dass mal eine Seite gehackt wurde,
"Was tun?" spricht Zeus, "die Welt ist weggegeben" (frei nach Schiller)
Was jetzt auf euch zukommt, bedeutet eine ganze Ecke Arbeit. Wie die Arbeit in diesem Fall konkret aussieht, hat @nockenfell hier
http://www.cmsmadesimple.de/forum/viewt … 536#p14536
chronologisch für euch festgehalten (gilt natürlich nicht nur bei Malware ).

Sollte man ausgliedern und anpinnen. Gleich neben der Anleitung zum Absichern. (Oder hab ich das übersehen?)

Servus,
Alex

Andynium · 17. September 2015 12:04

Titel geändert und fixiert!

Andynium · 07. Oktober 2015 15:23

Punkt 2.3/2.4 neu strukturiert und überarbeitet.

Klenkes · 08. Oktober 2015 11:20

Zu Punkt 2.3.2:
Ich glaube die ersten 2 Zeilen müssen noch raus:

Hier klicken, um den Code zum Kopieren zu markieren

order deny,allow
deny from all
<Files ~ ".*\.css|.*\.js|.*\.gif|.*\jpe?g|editor.php|thumbs.php|images.php|xajax.js|xajax_uncompressed.js|editorFrame.php$">
Order deny,allow
Allow from all
</Files>

Des Weiteren gibt es dann aber Probleme mit AdvancedContent.
Folgende JS Fehlermeldung tritt im Backend auf:

Javascript schrieb:

Error: the xajax Javascript component could not be included. Perhaps the URL is incorrect?
URL: ../lib/xajax/xajax_js/xajax_core.js

Andynium · 08. Oktober 2015 12:40

Danke für den Hinweis!

Habs geändert - die xajax Sache wundert mich aber trotzdem. Ist doch ausdrücklich freigeschaltet ...

NaN · 08. Oktober 2015 13:56

Wenn Du JavaScript-Dateien erlaubst, brauchst Du doch xajax nicht explizit nochmal zu erlauben, oder?
Das hier sollte es für's lib-Verzeichnis eigentlich schon tun:

Hier klicken, um den Code zum Kopieren zu markieren

Order allow,deny
<FilesMatch ".*\.css|.*\.js|.*\.gif|.*\jpe?g|editor.php|thumbs.php|images.php|editorFrame.php$">
	Order deny,allow
</FilesMatch>

Klenkes · 09. Oktober 2015 08:40

NaN schrieb:

Das hier sollte es für's lib-Verzeichnis eigentlich schon tun:
Hier klicken, um den Code zum Kopieren zu markieren
<FilesMatch ".*\.css|.*\.js|.*\.gif|.*\jpe?g|editor.php|thumbs.php|images.php|editorFrame.php$">
	Order deny,allow
</FilesMatch>

Funktioniert!

Andynium · 09. Oktober 2015 12:10

Danke für's Feedback - hab es übernommen.

Andynium · 31. Dezember 2015 22:19

cyberman schrieb:

Wählt für den Administrator-Zugang einen möglichst nicht zu erratenden Namen und Passwort. Hierzu eine kurze Tabu-Liste für Passwörter:
- einzelnen Wörter oder Zahlenfolgen (wie etwa admin, administrator oder abcde / 12345 o.ä.)
- persönlichen Informationen (Vor-/Nachnamen, Geburtsdaten oder Ort des Firmensitz des Webseiten-Besitzers o.ä.)
- ein einfaches Wort rückwärts schreiben
- dasselbe Passwort für mehrere Seiten nutzen
Stattdessen sollte das Passwort sollte MINDESTENS acht Zeichen lang sein (12-16 Zeichen sind ideal), aus Groß- und Kleinbuchstaben bestehen sowie Zahlen und Sonderzeichen enthalten (idealerweise mittendrin).

Wenn ihr euch nicht im Klaren darüber seid, ob die Qualität eures Passwortes ausreichend ist, nutzt doch einfach das Passwort Meter wink

http://www.passwordmeter.com/

Andynium · 11. Januar 2016 21:09

cyberman schrieb:

Wenn ihr euch nicht im Klaren darüber seid, ob die Qualität eures Passwortes ausreichend ist, nutzt doch einfach das Passwort Meter
http://www.passwordmeter.com/

Einen hochwertigen "amtlichen" Passwort-Prüfer findet ihr hier

https://review.datenschutz.ch/passwortcheck/check.php

Ist ein Service des Datenschutzbeauftragten des Kantons Zürich.

Andynium · 11. Januar 2016 21:26

Punkt 2.3.4 eingefügt, Punkt 3.5 erweitert.

Dancer62 · 05. Februar 2016 16:43

@cyberman : Ich habe Punkt 1.2 gemäß Deiner Erklärung versucht durchzuführen, was bei mir jedoch aufgrund mangelnder Rechte scheiterte. Nach Rücksprache mit meinem Provider konnte ich jedoch das Tabellenpräfix manuell via phpMyAdmin für alle Tabellen ändern. Auch die config.php wurde geändert und er gab mir keine Fehlermeldung aus.
Beim Aufruf der Webseite dann das böse Erwachen : die Menüleiste war weg und nach dem Einloggen ins Backend fehlten sämtliche Seiten... sad
Vor Schreck habe ich erstmal die Umbenennung wieder rückgängig gemacht - hurra, die Seiten sind wieder da und werden angezeigt.

Nun habe ich aber eine Frage : mache ich etwas falsch und wenn ja - was ? Warum sind nach dem (erfolgreichen) Umbenennen plötzlich die Seiten nicht mehr sichtbar ? Habe ich etwas vergessen, was im Skript vorgesehen und durchgeführt wird ?

Ich würde meine Installation gerne etwas robuster und sicherer machen, aber in diesem Punkt funktioniert das momentan leider noch nicht.

Bei Punkt 3.5 und 3.6 gibt er mir die Fehlermeldung "Internal Server Error" aus. Auf Nachfrage bei meinem Provider bekam ich die Antwort, "...Ungültige Einträge in der .htaccess-Datei liefern immer einen 'Internal Server Error'.
Sie haben einen ganzen Block eingefügt, der zu diesem Fehler führt, bitte identifizieren Sie die problematischen Zeilen. Zu einzelnen Einträgen werden wir natürlich Stellung beziehen...". Da ich davon ausgehe, dass Ihr die Einträge vorher natürlich geprüft habt, verstehe ich nicht, warum einzelne (???) Einträge ungültig sein sollen. Und falls doch - woran erkenne ich sie (außer durch Ausprobieren) ?

NaN · 05. Februar 2016 16:52

Nun habe ich aber eine Frage : mache ich etwas falsch und wenn ja - was ? Warum sind nach dem (erfolgreichen) Umbenennen plötzlich die Seiten nicht mehr sichtbar ? Habe ich etwas vergessen,

Zwischenspeicher gelöscht?

Da ich davon ausgehe, dass Ihr die Einträge vorher natürlich geprüft habt, verstehe ich nicht, warum einzelne (???) Einträge ungültig sein sollen.

Weil jeder Server anders ist.

woran erkenne ich sie (außer durch Ausprobieren) ?

Da wirst Du wohl leider keine andere Wahl haben.

Dancer62 · 06. Februar 2016 12:30

NaN schrieb:

Nun habe ich aber eine Frage : mache ich etwas falsch und wenn ja - was ? Warum sind nach dem (erfolgreichen) Umbenennen plötzlich die Seiten nicht mehr sichtbar ? Habe ich etwas vergessen,
Zwischenspeicher gelöscht?

Ja, aber keine Wirkung, das Ergebnis ist wie vorher. Habe das Ganze auch im Wartungsmodus ausgeführt, die Seitenhierarchie und die Routen aktualisiert - aber leider alles ohne Erfolg.

Andynium · 06. Februar 2016 18:02

Jetzt haben sich aber meine grauen Zellen eine Pause verdient - ich wusste, dass wir dazu vor längerem mal einen Beitrag hatten, nur hatte ich keine Ahnung mehr, wonach ich suchen sollte.

Lange Rede, kurzer Sinn - es gibt da wohl möglicherweise Probleme mit bestimmten Indizes, was hier beschrieben wurde (inklusive Lösung)

http://www.cmsmadesimple.de/forum/viewt … 076#p30076

Hab gleich den Titel dieses Themas geändert, fixiert und den Hinweis oben im Text ergänzt

Dancer62 · 09. Februar 2016 23:10

Danke cyberman, Dein Tipp hat mir den Abend gerettet. Habe das Skript nach dem Umbenennen der Tabellen erfolgreich angewandt. smile

Gruß,

Dancer62

Andynium · 09. Februar 2016 12:37

Optimal wäre natürlich, wenn man die beiden Scripte (Prefix-Changer + -Corrector) verknüpfen würde ...

owr_web · 17. Februar 2016 11:48

Hätte da noch eine Anregung:

Vielleicht könnte bei der Absicherung des admin-Verzeichnisses (2.2.2) noch das Problem mit mod_rewrite hinzufügen:

Wenn mod_rewrite eingeschaltet ist, sollte bei Problemen in der .htaccess des zu schützenden Verzeichnisses am Anfang folgendes eingefügt werden:

Hier klicken, um den Code zum Kopieren zu markieren

ErrorDocument 401 "Unauthorized Access"
RewriteEngine off

Dancer62 · 17. Februar 2016 22:45

NaN schrieb:

woran erkenne ich sie (außer durch Ausprobieren) ?
Da wirst Du wohl leider keine andere Wahl haben.

Ich habe jetzt die fragliche Anweisung identifiziert. Es handelt sich um

Hier klicken, um den Code zum Kopieren zu markieren

Options +FollowSymLinks

Was bewirkt diese Anweisung und hat es evtl. Nachteile, wenn ich die Anweisung in der .htaccess weglasse ?

NaN · 18. Februar 2016 08:25

Einfach mal danach suchen wink
Damit wird erklärt was das "Options +FollowSymlinks" macht.

Und hier ist eine nette Erklärung, was "FollowSymlinks" tatsächlich bedeutet.

Kurz:
In Deinem Falle darfst Du die Servervorgaben offensichtlich nicht überschreiben.
Soll aber auch egal sein. Du wirst höchstwahrscheinlich eh keine Symlinks nutzen.

Andynium · 19. Februar 2016 08:12

owr_web schrieb:

Hätte da noch eine Anregung:
Vielleicht könnte bei der Absicherung des admin-Verzeichnisses (2.2.2) noch das Problem mit mod_rewrite hinzufügen:
Wenn mod_rewrite eingeschaltet ist, sollte bei Problemen in der .htaccess des zu schützenden Verzeichnisses am Anfang folgendes eingefügt werden:
Hier klicken, um den Code zum Kopieren zu markieren
ErrorDocument 401 "Unauthorized Access"
RewriteEngine off

Ich steh garantiert gerade auf der Leitung - warum sollte ich mod_rewrite ausschalten, wenn es doch gar nicht aktiviert ist? Oder meinst du damit die Vererbung aus der htaccess aus dem root?

owr_web · 19. Februar 2016 08:47

cyberman schrieb:

Ich steh garantiert gerade auf der Leitung

Musst du mir alles nachmachen? devil

Eigentlich ganz einfach erklärt:
Wenn das Verzeichnis passwortgeschützt ist, lädt sich der Server zur Sicherheit mal bereits beim ersten Zugriff, also VOR dem Login das Error-Dokument. Wenn das nicht existiert (also kein eigenes erstellt wurde, was ja nicht zwingend notwendig ist) will mod_rewrite auf die eigene Seite mit dem entsprechenden Alias zugreifen. Das gibt es aber nicht, daher wird die Fehlerseite ausgespuckt. Dadurch komme ich also nie mehr in den Admin-Ordner.

Ich hatte es zuerst nur mit der zweiten Zeile (off) versucht - hatte aber keine Wirkung. erst der Hinweis aufs 401 brachte den Erfolg.

Ach ja - wenn ein eigenes 401er Dokument erstellt (und vom Server "an"erkannt) wird dann brauchts die zwei Zeilen nicht. Denn dann findet er ja das Dokument.

Weibei ich mir wieder mal die Frage stelle warum gibts die Möglichkeit für eine 403er und 404er, aber nicht für ein 401er Seite in der Auswahl der Fehlerseiten - ok die Frage war rhetorisch

Beitrag geändert von owr_web (19. Februar 2016 08:47)

Andynium · 21. Februar 2016 16:21

Ok, danke für die Erläuterung. Werd es oben mit einpflegen.

owr_web schrieb:

warum gibts die Möglichkeit für eine 403er und 404er, aber nicht für ein 401er Seite in der Auswahl der Fehlerseiten

Ähmm, gut gedacht, schlecht (=inkonsequent) gemacht tongue ?

Andynium · 11. Oktober 2016 11:01

Aus gegebenem Anlass - Punkt 4.4 4 eingefügt.

Forum für CMS/made simple

#26 16. September 2015 18:50

Re: HowTo: CMS/made simple absichern

#27 17. September 2015 11:10

Re: HowTo: CMS/made simple absichern

#28 17. September 2015 12:04

Re: HowTo: CMS/made simple absichern

#29 07. Oktober 2015 15:23

Re: HowTo: CMS/made simple absichern

#30 08. Oktober 2015 11:20

Re: HowTo: CMS/made simple absichern

#31 08. Oktober 2015 12:40

Re: HowTo: CMS/made simple absichern

#32 08. Oktober 2015 13:56

Re: HowTo: CMS/made simple absichern

#33 09. Oktober 2015 08:40

Re: HowTo: CMS/made simple absichern

#34 09. Oktober 2015 12:10

Re: HowTo: CMS/made simple absichern

#35 31. Dezember 2015 22:19

Re: HowTo: CMS/made simple absichern

#36 11. Januar 2016 21:09

Re: HowTo: CMS/made simple absichern

#37 11. Januar 2016 21:26

Re: HowTo: CMS/made simple absichern

#38 05. Februar 2016 16:43

Re: HowTo: CMS/made simple absichern

#39 05. Februar 2016 16:52

Re: HowTo: CMS/made simple absichern

#40 06. Februar 2016 12:30

Re: HowTo: CMS/made simple absichern

#41 06. Februar 2016 18:02

Re: HowTo: CMS/made simple absichern

#42 09. Februar 2016 23:10

Re: HowTo: CMS/made simple absichern

#43 09. Februar 2016 12:37

Re: HowTo: CMS/made simple absichern

#44 17. Februar 2016 11:48

Re: HowTo: CMS/made simple absichern

#45 17. Februar 2016 22:45

Re: HowTo: CMS/made simple absichern

#46 18. Februar 2016 08:25

Re: HowTo: CMS/made simple absichern

#47 19. Februar 2016 08:12

Re: HowTo: CMS/made simple absichern

#48 19. Februar 2016 08:47

Re: HowTo: CMS/made simple absichern

#49 21. Februar 2016 16:21

Re: HowTo: CMS/made simple absichern

#50 11. Oktober 2016 11:01

Re: HowTo: CMS/made simple absichern

Fußzeile des Forums