Ich möchte mein Webhosting sicherer machen - Tipps & Tricks
Zugangsschutz durch sichere Passwörter
Der erste und wichtigste Schutz besteht in der Wahl sicherer Passwörter. Hier ist es empfehlenswert, Passwörter zu verwenden, die zum einen für jeden Dienst (etwa: DCP Login, FTP User, E-Mail) unterschiedlich sind und zum anderen möglichst komplex sein sollten. Um das zu erreichen, haben sich Passwortmanager bewährt, die sichere Passwörter erstellen und speichern können. Eine Übersicht mit Bewertung verschiedener Passwort-Manager finden Sie zum Beispiel bei der Stiftung Warentest oder in diversen Fachzeitschriften. Für den DCP-Login, die FTP-User und E-Mail Konten können Sie Passwörter zwischen 8 und 64 Zeichen verwenden. Um eine Kompatibilität mit möglichst allen Programmen (E-Mail, FTP, SFTP) zu gewährleisten, sollten Sie in den Passwörtern auf Umlaute und eventuell auch auf Sonderzeichen verzichten. Ein Passwort mit 64 zufälligen Buchstaben und Zahlen wird als ausreichend sicher angenommen.
SSL/TLS
Wir bieten Ihnen für Ihre Webseite sowohl kostenlose als auch kostenpflichtige SSL-Zertifikate an. Wenn Sie diese einrichten, wird der Datenverkehr zwischen dem Webserver – also Ihrer Webseite – und dem Kunden verschlüsselt, sodass Dritte hierauf keinen Zugriff haben. Eine Übersicht zur Einrichtung von SSL-Zertifikaten finden Sie auch hier im Support-Wiki.
Verzeichnisschutz
Wir bieten Ihnen auch die Möglichkeit, dass Sie zum Beispiel Entwicklungsumgebungen für Ihre Webseite schaffen können, auf die ein Zugriff nur mit einem speziellen Passwort möglich ist. Dazu haben wir den Artikel Verzeichnisschutz erstellt, der Ihnen die Einrichtung im DCP erklärt.
E-Mail-Versand
Sowohl für den Versand als auch für den Abruf von E-Mails bieten wir Ihnen eine verschlüsselte Verbindung an. Wählen Sie hierzu folgende Einstellungen:
IMAP
Server: mail.artfiles.de Port: 143 Verbindungssicherheit: STARTTLS Authentifizierung: Passwort, normal
POP3
Server: mail.artfiles.de Port: 110 Verbindungssicherheit: STARTTLS Authentifizierung: Passwort, normal
SMTP
Server: smtp.artfiles.de Port: 25 Verbindungssicherheit: STARTTLS Authentifizierung: Passwort, normal
Der Benutzername ist immer Ihre vollständige E-Mailadresse.
E-Mail-Empfang
Sie können den Spamassasin unter E-mail einrichten. Dort können Sie eine Blacklist, Whiteliste sowie Scorepunkte für das Identifizieren von Spam festlegen. Niedriger Wert bedeutet, dass mehr E-mailverkehr als Spam identifiziert wird. Unter Email/Konten/E-Mailkonto können Sie dann den Spamassasin und den Virenschutz aktivieren,
PGP
Verschlüsselung
SPAM-Assasin und Blacklist
DCP-User
Um Schadcode einzugrenzen, gruppieren Sie DCP-User. In Reselleraccounts ab 2018 wird die Gruppierung automatisch vorgenommen. Die Gruppierung verhindert durch spezifische Gruppenrechte einen Befall über DCP-Usergruppen hinweg.
Sicherheit
Halten Sie Ihre Systeme auf dem Laufenden. Nutzen Sie nach Möglichkeit PHP 7.2. Gerade vergessene Testinstallationen sind Sicherheitsrisiken für Ihren Webserver. Schützen Sie Testinstallationen mit dem Verzeichnisschutz.
SFTP
Aktivieren Sie im FTP-User-Account, der auf das Verzeichnis SSH-Root zugreift, SSH. Wählen Sie dann in Ihrem FTP-Programm das SFTP-Protokoll. Nun ist der Datenverkehr verschlüsselt.
Zusätzlich kann ein SSH Privater Schlüssel erzeugt werden. Der Öffentliche Schlüssel wird in Ihrem Webverzeichnis interlegt. Der private Schlüssel liegt auf Ihrem lokalen Rechner. Nur mit diesem Rechner können Sie sich dann erfolgreich verbinden und in Zukunft ohne Passwortabfrage.
IP-Tables
ufw man bestimmt, nur bestimmte IP´s auf die Webseite können zugreifen
sudo ufw status
sudo ufw reload
sudo ufw allow from 212.53.144.64 oder alle ip adressen eines providers erlauben
https://www.artfiles.de/support2/webhosting/dcp/tools/ip-tables/index.html
https://de.wikipedia.org/wiki/IP-Spoofing
Das Gateway zu einem Netzwerk sollte eine eingehende Filterung vornehmen: Von außen kommende Pakete, die Quelladressen von innenliegenden Rechnern haben, werden verworfen. Dies verhindert, dass ein externer Angreifer die Adresse einer internen Maschine fälschen kann. Idealerweise sollten auch ausgehende Pakete gefiltert werden, wobei dann Pakete verworfen werden, deren Quelladresse nicht innerhalb des Netzwerks liegt; dies verhindert, dass IP-Adressen von externen Maschinen gespooft werden können und ist eine bereits lange bestehende Forderung von Sicherheitsfachleuten gegenüber Internetdienstanbietern (ISP): Wenn jeder ISP konsequent ausgehende Pakete filtern würde, die laut ihrer Quelladresse nicht aus dem eigenen Netz stammen, wäre massenhaftes IP-Spoofing (häufig in Verbindung mit Denial-of-Service-Attacken) ein wesentlich geringeres Problem als es heute im Internet ist.
feste IP
Vor- und Nachteile
DGSVO
Email im System hinterlegt für Systemmeldungen oder systemnewsletter
verschiedene Rechtebereiche
- es könnte Bereiche geben, in der nur der Admin reindarf von einer speiellen IP aus
- und öffentlicher Teil.