Sichere Diener
Security-Checkliste Server & Hosting
Wer einen über das Internet erreichbaren Server betreibt, muss damit rechnen, dass diesen nicht nur freundlich gesinnte Internet-Nutzer kontaktieren. Sichern Sie Ihren Heim- oder Mietserver oder das Webhosting-Paket also besser ab.
☑ Zweiten Faktor nutzen
Wenn Ihr Hoster einen zweiten Faktor für die Administrationsoberfläche anbietet, nutzen Sie diese Funktion. Ein einziges Kennwort als Schutz für die gesamten Web-Angebote eines Unternehmens ist heute nicht mehr zeitgemäß! Wer sich Zugang zur Verwaltungsoberfläche verschafft hat, kann eine Menge Schaden anrichten und Sie sogar für längere Zeit aussperren – hat er Ihre Kontaktdaten geändert, müssen Sie im ungünstigen Fall erst beweisen, dass Sie der rechtmäßige Eigentümer sind. Unterstützt der Anbieter keinen zweiten Faktor, fragen Sie beim Kundenservice nach, ob die Funktion in Planung ist.
☑ Datenlecks schließen
Angreifer suchen gezielt nach veralteten Versionen von Servern und Skript-Interpretern, wenn diese bekannte Lücken enthalten. Extrem einfach macht man es ihnen, wenn der Server die Versionsnummern per HTTP-Header bei jedem Aufruf bereitwillig petzt. Die Gesprächigkeit der Webserver Nginx und Apache schränken Sie in der jeweiligen Konfigurationsdatei ein (Dokumentation siehe ct.de/y7xg). Der am häufigsten eingesetzten Skriptsprache PHP gewöhnen Sie das Rausposaunen mit expose_php = Off in der Datei php.ini ab. Um zu sehen, ob die Maßnahmen erfolgreich waren, öffnen Sie die Entwicklerwerkzeuge des Browsers (meist mit F12 oder Strg+Umschalt+I) und werfen einen Blick auf die Netzwerkanfragen und die Antworten des Servers.