View source for Sicherheit

Offene Wiki-Installationen können zur Zielscheibe von Spam-Attacken oder anderem Vandalismus werden. Vorbeugen ist besser als aufwändig Spam zu löschen.

{{toc numerate=1}}

Vor und nach der Installation sind folgende Schritte vorzunehmen, um einen Mindestmaß an Sicherheit für deine Installation herzustellen:

grundsätzlich:
  * Personalisiere deine Installation ... angefangen von DB-Name, Tabellenpräfix, Wiki Name, Startseite, .... ohne Bezeichnungen die Bezug zu WackoWiki erkennen lassen
  * verberge den Bezug zu WackoWiki für nichtangemeldete Nutzer (die angemeldenten Benutzer sollten schon wissen, wegen Doku und Entwicklung Erweiterungen etc)

===config.php===

die Datei config.php mit chmod 644 schützen
((user:RobertVaeth RobertVaeth)) /27.01.2005 17:27/ Vorsicht! Ein chmod 644 erlaubt, dass jeder darauf Leserechte besitzt (wenn der Server PHP Dateien falsch ausführen würde)! Da in der Datei das Kennwort des DB-Nutzers steht, wäre das fatal. Ich empfehle gar ein chmod 400 nach der Installation, da die Datei nur ausgelesen werden muss und keine Änderungen dort gemacht werden. Beim Update auf eine neue Version kann man die Datei ja kurz “offener” machen, falls dies notwendig ist.


[setting -> value [default | recommended]]
====Registrierung====

  1. Einstellungen
  2. Benutzernamen
  3. Passwort-Einstellungen
  4. 


====Formulare====

  1. Form-Token


====Berechtigungsklassen====

ACL's setzen: “default_write_acl” => "$" ... nur registrierte Benutzer können Seiten ändern

Wichtig: Das Ändern der voreingestellte Werte (Default-Werte) beeinflußt nur neu erstellte Seiten!
Seiten, die erstellt wurden, bevor die voreingestellte Werte geändert wurden, behalten ihre ursprünglichen ACL-Werte! --> siehe Zugriffssteuerung – 3. Voreingestellte Werte

====Kommentare====

##'default_comment_acl' => '$',## ... nur registrierte Benutzer können Kommentare abgeben

====E-Mail====

====Hochladen von Dateien====

##'upload' = > 'admins',##
– Berechtigung Dateien hochzuladen
“admins” bedeutet nur Administratoren können Dateien hochladen
“0” – bedeutet nicht möglich, 
“1” – bedeutet jeder registrierte Benutzer kann Dateien hochladen.
– siehe auch Dateien hochladen

##'upload_images_only' = > 0,##
– nur Bilder können hochgeladen werden
1 – ja; 
0 – nein

##'upload_max_size' = > 1024,##
– die maximale Größe (in Byte) einer Datei die hochgeladen werden darf

##define('UPLOAD_GLOBAL_DIR',				'files/global');##
– der Pfad, unter welchem alle hochgeladenen Dateien, die für alle zugänglich sind, abgelegt werden

##define('UPLOAD_PER_PAGE_DIR',			'files/perpage');##
– der Pfad, für Dateien, die zu einer bestimmten Seite hochgeladen werden und nur von dieser aufgerufen werden können

##'upload_banned_exts' = > 'php|cgi|js|php|php3|php4|php5|pl|ssi|jsp|phtm|phtml|shtm|shtml|xhtm|xht|asp|aspx|htw|ida|idq|cer|cdx|asa|htr|idc|stm|printer|asax|ascx|ashx|asmx|axd|vdisco|rem|soap|config|cs|csproj|vb|vbproj|webinfo|licx|resx |resources',##
– Dateien mit entsprechender Endung sind vom Hochladen ausgeschlossen

====HTML erlauben====

##'allow_rawhtml' = > 0,##
– Erlaubt das Verwenden von HTML-Code.
– siehe auch safehtml

====Registrierung von neuen Nutzern====

##'allow_registration' => 1,##
1 – jeder kann sich registrieren. Wenn 0, nur Administratoren können neue Benutzer registrieren / anlegen

====TLS====

===vor Installation===

  * URL-Rewriting aktivieren
  * Bezüge zu wackowiki verbergen / Thema / WackoThemes anpassen
  * Bsp Theme basteln, bei dem für nicht-angemeldete Benutzer kein Bezug zu wackowiki erkennbar ist


====.htaccess-Datei====

====robots.txt====


===SPAM / Hack-Versuche===

Werkzeuge
  1. Wortfilter
  2. ((Captcha))
  3.  ((BadBehavior Bad Behavior))

===CSP===

===Dateiberechtigungen===

Chmod
  1. Verzeichnisse
  2. Dateien

===Maßnahmen===

  1. nur moderierte Registrierung
  2. Nur Lese-Modus Sperre
  3. Wartungs-Modus

===Aufgaben===
  1. Prüfliste als Admin-Panel-Modul -> zeigt welche sicherheitsrelevanten Einstellungen gesetzt sind
  1. Nutzergruppen $wacko_config['aliases']
  1. Verwendungszweck Wiki -> ((/Doc/Deutsch/Zugriffssteuerung/Modus Klassifizierung Modus))
    * ~{{include page="/Doc/Deutsch/Zugriffssteuerung/Modus"}}
    * Modi einarbeiten
    * Modus -> jeweilige Einstellungen
  1. Was umfasst alles den Aspekt der “Sicherheit”? (bitte ergänzen -> was gehört alles ins Blickfeld)

  * Inhalt soll nicht
    * von Suchmaschinen erfasst werden
    * von unberechtigten Nutzern eingesehen werden 
  * Datensicherung
  * ...

{{backlinks}}