Sicherheit

Offene Wiki-Installationen können zur Zielscheibe von Spam-Attacken oder anderem Vandalismus werden. Vorbeugen ist besser als aufwändig Spam zu löschen.



Vor und nach der Installation sind folgende Schritte vorzunehmen, um einen Mindestmaß an Sicherheit für deine Installation herzustellen:


grundsätzlich:

  • Personalisiere deine Installation ... angefangen von DB-Name, Tabellenpräfix, Wiki Name, Startseite, .... ohne Bezeichnungen die Bezug zu WackoWiki erkennen lassen
  • verberge den Bezug zu WackoWiki für nichtangemeldete Nutzer (die angemeldenten Benutzer sollten schon wissen, wegen Doku und Entwicklung Erweiterungen etc)

1. config.php


die Datei config.php mit chmod 644 schützen
RobertVaeth /27.01.2005 17:27/ Vorsicht! Ein chmod 644 erlaubt, dass jeder darauf Leserechte besitzt (wenn der Server PHP Dateien falsch ausführen würde)! Da in der Datei das Kennwort des DB-Nutzers steht, wäre das fatal. Ich empfehle gar ein chmod 400 nach der Installation, da die Datei nur ausgelesen werden muss und keine Änderungen dort gemacht werden. Beim Update auf eine neue Version kann man die Datei ja kurz “offener” machen, falls dies notwendig ist.


[setting -> value [default | recommended]]

1.1. Registrierung


  1. Einstellungen
  2. Benutzernamen
  3. Passwort-Einstellungen

1.2. Formulare


  1. Form-Token

1.3. Berechtigungsklassen


ACL's setzen: “default_write_acl” => "$" ... nur registrierte Benutzer können Seiten ändern


Wichtig: Das Ändern der voreingestellte Werte (Default-Werte) beeinflußt nur neu erstellte Seiten!
Seiten, die erstellt wurden, bevor die voreingestellte Werte geändert wurden, behalten ihre ursprünglichen ACL-Werte! --> siehe Zugriffssteuerung – 3. Voreingestellte Werte

1.4. Kommentare


'default_comment_acl' => '$', ... nur registrierte Benutzer können Kommentare abgeben

1.5. E-Mail

1.6. Hochladen von Dateien


'upload' = > 'admins',
– Berechtigung Dateien hochzuladen
“admins” bedeutet nur Administratoren können Dateien hochladen
“0” – bedeutet nicht möglich,
“1” – bedeutet jeder registrierte Benutzer kann Dateien hochladen.
– siehe auch Dateien hochladen


'upload_images_only' = > 0,
– nur Bilder können hochgeladen werden
1 – ja;
0 – nein


'upload_max_size' = > 1024,
– die maximale Größe (in Byte) einer Datei die hochgeladen werden darf


define('UPLOAD_GLOBAL_DIR', 'files/global');
– der Pfad, unter welchem alle hochgeladenen Dateien, die für alle zugänglich sind, abgelegt werden


define('UPLOAD_PER_PAGE_DIR', 'files/perpage');
– der Pfad, für Dateien, die zu einer bestimmten Seite hochgeladen werden und nur von dieser aufgerufen werden können


'upload_banned_exts' = > 'php|cgi|js|php|php3|php4|php5|pl|ssi|jsp|phtm|phtml|shtm|shtml|xhtm|xht|asp|aspx|htw|ida|idq|cer|cdx|asa|htr|idc|stm|printer|asax|ascx|ashx|asmx|axd|vdisco|rem|soap|config|cs|csproj|vb|vbproj|webinfo|licx|resx |resources',
– Dateien mit entsprechender Endung sind vom Hochladen ausgeschlossen

1.7. HTML erlauben


'allow_rawhtml' = > 0,
– Erlaubt das Verwenden von HTML-Code.
– siehe auch safehtml

1.8. Registrierung von neuen Nutzern


'allow_registration' => 1,
1 – jeder kann sich registrieren. Wenn 0, nur Administratoren können neue Benutzer registrieren / anlegen

1.9. TLS

2. vor Installation


  • URL-Rewriting aktivieren
  • Bezüge zu wackowiki verbergen / Thema / WackoThemes anpassen
  • Bsp Theme basteln, bei dem für nicht-angemeldete Benutzer kein Bezug zu wackowiki erkennbar ist

2.1. .htaccess-Datei

2.2. robots.txt


3. SPAM / Hack-Versuche


Werkzeuge

  1. Wortfilter
  2. Captcha
  3. Bad Behavior?

4. CSP

5. Dateiberechtigungen


Chmod

  1. Verzeichnisse
  2. Dateien

6. Maßnahmen


  1. nur moderierte Registrierung
  2. Nur Lese-Modus Sperre
  3. Wartungs-Modus

7. Aufgaben

  1. Prüfliste als Admin-Panel-Modul -> zeigt welche sicherheitsrelevanten Einstellungen gesetzt sind
  2. Nutzergruppen $wacko_config['aliases']
  3. Verwendungszweck Wiki -> Klassifizierung Modus
    • {{include page="/Doc/Deutsch/Zugriffssteuerung/Modus"}}
    • Modi einarbeiten
    • Modus -> jeweilige Einstellungen
  4. Was umfasst alles den Aspekt der “Sicherheit”? (bitte ergänzen -> was gehört alles ins Blickfeld)

  • Inhalt soll nicht
    • von Suchmaschinen erfasst werden
    • von unberechtigten Nutzern eingesehen werden
  • Datensicherung
  • ...

There are no referring pages