Unser byteblog: Allgemeine Themen zur Netzkultur, die wir gerne teilen möchten.
Kategorien
- bytepark
- Flash & Co.
- Gadgets
- Gemischtwaren
- In Zukunft
- IT & Webentwicklung
- Netzkultur
- Termine, Termine
flattr
Archiv
- 2012: Jan Feb Mrz Apr Mai Jun Jul Aug Sep Okt Nov Dez
- 2011: Jan Feb Mrz Apr Mai Jun Jul Aug Sep Okt Nov Dez
- 2010: Jan Feb Mrz Apr Mai Jun Jul Aug Sep Okt Nov Dez
- 2009: Jan Feb Mrz Apr Mai Jun Jul Aug Sep Okt Nov Dez
- 2008: Jan Feb Mrz Apr Mai Jun Jul Aug Sep Okt Nov Dez
- 2007: Jan Feb Mrz Apr Mai Jun Jul Aug Sep Okt Nov Dez
- 2006: Jan Feb Mrz Apr Mai Jun Jul Aug Sep Okt Nov Dez
- 2005: Jan Feb Mrz Apr Mai Jun Jul Aug Sep Okt Nov Dez
Links
Blogroll
bytepark
RSS
Redaxo Backend absichern und schützen
Wer Redaxo als Content-Management-System einsetzt, sollte sich durchaus auch Gedanken machen über einen vernünftigen Satz an Sicherheitsmaßnahmen, um Redaxo gegen Angriffe abzuwehren. Neben einer ständigen Aktualisierung auf die aktuellste Version von Redaxo schlagen wir hierzu unter anderem folgende Maßnahmen vor (die für eine Redaxo 4.x Installation gültig sind):
1. Kennwortverschlüsselung
Neben der Aktivierung von verschlüsselten Kennworten der Benutzer ist es durchaus ratsam, den Zugang zum Backend durch einen zusätzlichen Schutz per .htaccess abzusichern. Es ist somit ein doppelter Login notwendig, was sicherlich lästig erscheint – allerdings wird so wirksam ein direkter Aufruf von include Dateien der Redaxo-Installation verhindert.
2. Standard-Pfad ändern
Zusätzlich empfehlen wir, den Standard-Pfad des Backends von /redaxo in etwas anderes, nicht leicht zu erratendes, zu ändern, bspw. /cmsadmin oder ähnlich. Hierzu ist zum einen in der Installation der Ordner redaxo umzubenennen sowie in der index.php im Hauptverzeichnis gibt es eine Zeile mit
include './redaxo/include/master.inc.php';
die dann entsprechend angepasst werden sollte zu
include './cmsadmin/include/master.inc.php';
Auch die Zeile 54 ist anzupassen
Alt:
header('Location: redaxo/index.php');
Neu:
header('Location: cmsadmin/index.php');
Im Redaxo-Verzeichnis ist in der include/master.inc.php noch ein INCLUDE_PATH zu ändern
alt:
$REX['INCLUDE_PATH'] = realpath($REX['HTDOCS_PATH']."redaxo/include");
neu:
$REX['INCLUDE_PATH'] = realpath($REX['HTDOCS_PATH']."cmsadmin/include");
3. SSL-Verschlüsselung
Als letzte Sicherheits-Stufe sollte man darauf achten, dass man den Zugang zum Backend per SSL verschlüsselt. Hierzu ist es am einfachsten, wenn man in die .htaccess im redaxo Verzeichnis (oder halt cmsadmin) folgenden Eintrag vornimmt (der dafür sorgt, dass Zugriffe aufs Backend nur per SSL erfolgen). Der Server sollte natürlich SSL unterstützten dafür und URL-Rewriting möglich sein.
RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule (.*) https://%{SERVER_NAME}%{REQUEST_URI} [R=301,L]
Kommentare
Es liegen keine Kommentare vor.
