Ich möchte mein Webhosting sicherer machen - Tipps & Tricks


Zugangsschutz durch sichere Passwörter

Der erste und wichtigste Schutz besteht in der Wahl sicherer Passwörter. Hier ist es empfehlenswert, Passwörter zu verwenden, die zum einen für jeden Dienst (etwa: DCP Login, FTP User, E-Mail) unterschiedlich sind und zum anderen möglichst komplex sein sollten. Um das zu erreichen, haben sich Passwortmanager bewährt, die sichere Passwörter erstellen und speichern können. Eine Übersicht mit Bewertung verschiedener Passwort-Manager finden Sie zum Beispiel bei der Stiftung Warentest oder in diversen Fachzeitschriften. Für den DCP-Login, die FTP-User und E-Mail Konten können Sie Passwörter zwischen 8 und 64 Zeichen verwenden. Um eine Kompatibilität mit möglichst allen Programmen (E-Mail, FTP, SFTP) zu gewährleisten, sollten Sie in den Passwörtern auf Umlaute und eventuell auch auf Sonderzeichen verzichten. Ein Passwort mit 64 zufälligen Buchstaben und Zahlen wird als ausreichend sicher angenommen.

SSL/TLS

Wir bieten Ihnen für Ihre Webseite sowohl kostenlose als auch kostenpflichtige SSL-Zertifikate an. Wenn Sie diese einrichten, wird der Datenverkehr zwischen dem Webserver – also Ihrer Webseite – und dem Kunden verschlüsselt, sodass Dritte hierauf keinen Zugriff haben. Eine Übersicht zur Einrichtung von SSL-Zertifikaten finden Sie auch hier im Support-Wiki.

Verzeichnisschutz

Wir bieten Ihnen auch die Möglichkeit, dass Sie zum Beispiel Entwicklungsumgebungen für Ihre Webseite schaffen können, auf die ein Zugriff nur mit einem speziellen Passwort möglich ist. Dazu haben wir den Artikel Verzeichnisschutz erstellt, der Ihnen die Einrichtung im DCP erklärt.

E-Mail – Versand, Empfang und SPF

Sowohl für den Versand als auch für den Abruf von E-Mails bieten wir Ihnen eine verschlüsselte Verbindung an. Wählen Sie hierzu folgende Einstellungen:

IMAP

Server: mail.artfiles.de
Port: 143
Verbindungssicherheit: STARTTLS
Authentifizierung: Passwort, normal

POP3

Server: mail.artfiles.de
Port: 110
Verbindungssicherheit: STARTTLS
Authentifizierung: Passwort, normal

SMTP

Server: smtp.artfiles.de
Port: 587
Verbindungssicherheit: STARTTLS
Authentifizierung: Passwort, normal

Der Benutzername ist immer Ihre vollständige E-Mailadresse. Eine weitere Sicherheitsmaßnahme ist die Erstellung eines SPF Eintrags für Ihre Domain. Mit diesem Eintrag wird sichergestellt, dass E-Mails Ihrer Domain immer nur von unserem Mailserver stammen dürfen. Andere Mailserver, die dies prüfen, können dann Mails mit Ihrem Absender, die nicht von unserem Server stammen, als Fälschung erkennen und ablehnen. Dies bietet keinen vollständigen Schutz, da die Verwendung von SPF freiwillig ist, kann aber ein Baustein einer Sicherheitsstrategie sein. Die Einrichtung erfolgt in der DNS Zone über das DCP und ist hier erklärt.

E-Mail-Filterung

Für Ihren E-Mail Empfang können Sie bei uns einen Spamfilter konfigurieren, der auf Spamassassin basiert und Ihnen eine grobe Spamfilterung ermöglicht. Dort können Sie eine Blacklist, Whiteliste sowie Scorepunkte für das Identifizieren von Spam festlegen. Eine ausführliche Erklärung finden Sie auch in diesem Wiki.

PGP

Verschlüsselung

SPAM-Assasin und Blacklist

DCP-User

Um Schadcode einzugrenzen, gruppieren Sie DCP-User. In Reselleraccounts ab 2018 wird die Gruppierung automatisch vorgenommen. Die Gruppierung verhindert durch spezifische Gruppenrechte einen Befall über DCP-Usergruppen hinweg.

Sicherheit

Halten Sie Ihre Systeme auf dem Laufenden. Nutzen Sie nach Möglichkeit PHP 7.2. Gerade vergessene Testinstallationen sind Sicherheitsrisiken für Ihren Webserver. Schützen Sie Testinstallationen mit dem Verzeichnisschutz.

SFTP

Aktivieren Sie im FTP-User-Account, der auf das Verzeichnis SSH-Root zugreift, SSH. Wählen Sie dann in Ihrem FTP-Programm das SFTP-Protokoll. Nun ist der Datenverkehr verschlüsselt.

Zusätzlich kann ein SSH Privater Schlüssel erzeugt werden. Der Öffentliche Schlüssel wird in Ihrem Webverzeichnis interlegt. Der private Schlüssel liegt auf Ihrem lokalen Rechner. Nur mit diesem Rechner können Sie sich dann erfolgreich verbinden und in Zukunft ohne Passwortabfrage.

IP-Tables

ufw man bestimmt, nur bestimmte IP´s auf die Webseite können zugreifen

sudo ufw status

sudo ufw reload

sudo ufw allow from 212.53.144.64 oder alle ip adressen eines providers erlauben

https://www.artfiles.de/support2/webhosting/dcp/tools/ip-tables/index.html

https://de.wikipedia.org/wiki/IP-Spoofing

Das Gateway zu einem Netzwerk sollte eine eingehende Filterung vornehmen: Von außen kommende Pakete, die Quelladressen von innenliegenden Rechnern haben, werden verworfen. Dies verhindert, dass ein externer Angreifer die Adresse einer internen Maschine fälschen kann. Idealerweise sollten auch ausgehende Pakete gefiltert werden, wobei dann Pakete verworfen werden, deren Quelladresse nicht innerhalb des Netzwerks liegt; dies verhindert, dass IP-Adressen von externen Maschinen gespooft werden können und ist eine bereits lange bestehende Forderung von Sicherheitsfachleuten gegenüber Internetdienstanbietern (ISP): Wenn jeder ISP konsequent ausgehende Pakete filtern würde, die laut ihrer Quelladresse nicht aus dem eigenen Netz stammen, wäre massenhaftes IP-Spoofing (häufig in Verbindung mit Denial-of-Service-Attacken) ein wesentlich geringeres Problem als es heute im Internet ist.

feste IP

Vor- und Nachteile

DGSVO

Email im System hinterlegt für Systemmeldungen oder systemnewsletter

verschiedene Rechtebereiche

  • es könnte Bereiche geben, in der nur der Admin reindarf von einer speiellen IP aus
  • und öffentlicher Teil.

Captcha und Formular