Sichere Website
Grundsätzlich sind auf einem Webserver gespeicherte Daten immer einem gewissen Risiko ausgesetzt, da diese - wie der Name besagt - im Internet erreichbar sind. Unter Einhaltung weniger, aber sehr wichtiger Regeln können Sie aber sicherstellen, dass die von Ihnen gespeicherten Daten oder publizierten Anwendungen möglichst genau in dem Rahmen verwendet werden können, wie Sie dies auch möchten.
Werden jedoch diese Regeln verletzt, ist die Gefahr für Sie und schlimmstenfalls für weitere Kunden auf demselben System sehr gross, dass Daten und Services missbräuchlich oder gar kriminell genutzt werden können oder dass Ihre Daten gelesen, verändert oder gelöscht werden können! Die Zahl solcher Vorfälle (Datenverlust, Spam, Phishing usw.) ist leider zunehmend, so dass wir Ihnen empfehlen, Ihre Accounts regelmässig auf Sicherheit zu prüfen!
Ein starkes Passwort ist die Mutter der Sicherheit
Mit dem Bezug eines Hosting-Services erhalten Sie eine Vielzahl von Zugangsdaten für Dienste, welche online erreichbar sind. So sind etwa Ihr Kundencenter, Ihr FTP-Account, Ihre Mailboxen, Datenbanken usw. usf. durch Benutzernamen und Passwort geschützt. Diese Zugangsdaten können selbständig gesetzt und geändert werden. Bitte verwenden Sie für alle Logins ausnahmslos starke Passwörter! Also ein Passwort welches mind. 6 - 8 Zeichen lang ist und gemischt aus Gross-/Kleinbuchstaben, Zahlen und Sonderzeichen zusammengesetzt ist. Also z.B. 'g-5M1dC.A' und nicht etwa 'hans01' (s. hierzu auch Passwörter vergeben).
Datensicherung ist die Grossmutter der Sicherheit...
Beachten Sie hierzu unsere diesbezüglichen Anleitungen unter Backups erstellen / Daten aus Backups wiederherstellen.
Nur aktivieren, was auch gebraucht wird!
Aktivieren Sie auf my.hostfactory.ch » 'Webhostings' » (allf. Webhosting wählen) » (Domain wählen) » 'Mehr' » 'Einstellungen' » 'Server-Technologien / PHP-Version' nur genau jene Dienste, welche Sie auch wirklich benötigen! Jeder aktivierte Service stellt ein zusätzliches Risiko dar.
Restriktive Datei- und Verzeichnisberechtigungen (niemals 777!)
Ihre im vHost gespeicherten Daten ('/httpdocs etc.) sind nur sicher, wenn die Berechtigungen für diese Daten restriktiv gehalten werden!
Für hostfactory.ch Linux Standard Hosting Accounts heisst dies de Facto: Verzeichnisberechtigungen nie grösser als '755', Dateiberechtigungen immer auf '644'! Auf Linux ändern Sie Dateiberechtigungen per jeden ordentlichen FTP-Client (chmod).
Auf Windows werden die Berechtigungen alternativ geregelt, in den meisten Fällen automatisch. Ändern Sie hier Berechtigungen ebenfalls nur dann, wenn Sie genau wissen, was Sie tun!
Auf Windows können Dateiberechtigungen nur via PLESK verwaltet werden. Eine detaillierte Anleitung finden Sie unter Berechtigungen setzen auf Windows.
Uploads: Ein gefährliches Tor zum Server!
Werden die bis anhin besprochenen 'Dont's und Do's' nur teilweise oder nicht eingehalten, stellen Web-Uploads ein besonders grosses Risiko dar: Via solche Uploadmöglichkeiten können Scripts problemlos auf dem Server abgelegt werden. Sind dann zusätzlich die Berechtigugnen unsicher gesetzt, lassen sich diese oft problemlos ausführen. So bietet der Angreifer zb. kriminelle Phishing-Websites in Ihrem Account an, versendet Spam oder aber verändert und löscht Ihre vorhandenen Daten...
Bieten Sie unbedingt nur Uploads an, welche genau prüfen, welche Art von Files hochgeladen werden: Insbesondere der Upload von Scriptdateien (cgi, perl, php etc.) sollte auf sichere Art und Weise unterbunden werden!
Nicht aktuelle Applikationen wie Joomla, Wordpress, Typo3, etc.
Open-Source Applikationen wie Joomla, Typo3 usw. sind interessant, aber müssen stets aktuell gehalten werden! Immer wieder entdecken die Entwickler der jeweiligen Anwendung Sicherheitslücken, welche Sie in späteren Versionen korrigieren.
99% aller Übergriffe durch Dritte auf einen Hosting Account bei hostfactory.ch passieren via eine nicht aktuelle Webapplikation wie z.B. Joomla, Wordpress etc.! Entsprechend unerlässlich ist das regelmässige Aktualisieren ihrer Applikationen; neue Versionspakete inkl. Updateanleitungen bieten die jeweiligen Anbieter direkt auf Ihrer Homepage zum Download an.