Wer heute eine Website per CMS aufbauen, einen e-Shop betreiben, ein Blog oder ein Forum aufsetzen will, braucht dazu Webspace mit Datenbank, PHP-Unterstützung und Administratorzugang, um ggf. eigene Software installieren oder aktualisieren zu können. Das gibt es in zahlreichen Paketvarianten bei Webhostern.
Aber wie verlässlich sind Webhosterangebote hinsichtlich ihrer Sicherheit? Dies fragte sich auch die Fachzeitschrift ct’, die darüber in ihrer aktuellen Ausgabe 15/2008 berichtet.
Relevant für diese Frage sind u.a. die Aktualität der eingesetzten Linux-Distruibtionen und Programmpakete (i.d.R. Open-Source-Produkte wie Drupal, WordPress oder osCommerce) sowie der zugrunde liegenden Komponenten wie PHP und mySQL. Laut ct’ sollten Linux-Kernel und PHP-Installation nicht älter als drei Monate sein, um sicherzustellen dass aktuelle Distributionen auf ebenso aktuellem Patchlevel eingesetzt werden.
Die Kommunikation mit dem Webhoster sollte stets stark verschlüsselt stattfinden. Egal ob es dabei um E-Mails (PO3, IMAP, SMTP), den Zugriff auf die Admin-Oberfläche (http) oder Dateitransfer (FTP) geht. Zu jedem dieser Protokolle gibt es Versionen für verschlüsselte Kommunikation. Die entsprechenden Server des Anbieters sollten mit ordentlichen SSL-Zertifikaten eines vertrauenswürdigen Herausgebers ausgestattet sein.
Die verwendeten oder einstellbaren Sicherheitswerkzeuge sollten gut dokumentiert sein, um auch Einsteigern das Einrichten ihrer gemieteten Umgebung zu ermöglichen. Gerade bei PHP kann sicherheitstechnisch durch richtige Konfiguration sehr viel getan werden, um Content-Management-Systeme oder Blogs vor Hackerangriffen zu schützen. Schon allein das Setzen der Option register_globals=off in der Datei php.ini des PHP-Systems lässt viele PHP-Angriffe von vorneherein scheitern.
(eine Anleitung zur Grundsicherung von PHP-Systemen findet man auf http://www.heise.de/security/Grundsicherung-fuer-PHP-Software–/artikel/96564 )
Die ct’ testete daher zehn der bekanntesten Webspace-Anbieter und kam zu dem Ergebnis, dass sowohl Sicherheit als auch Aktualität der Systeme und die Dokumentation eine eher untergeordnete Rolle zu spielen scheinen. So fanden sich u.a. immer wieder unsicher vorkonfigurierte PHP-Umgebungen und veraltete Kernel-Versionen mit unzureichendem Patchlevel. Lediglich ein Anbieter – Host Europe – konnte bei allen sicherheitsrelevanten Themen punkten und ging als klarer Testsieger hervor.
Bei der Arbeit an der Sicherheit des eigenen Webangebots beginnt die Arbeit also bereits bei der Auswahl des Providers.
21. Dezember 2008 um 20:02 |
Viele Hoster machen sich leider keine Gedanken wenn es um das Thema Sicherheit gibt. Insbesondere dann, wenn es um PHP geht.
30. Dezember 2008 um 10:07 |
Wir selber haben viele Kunden die von den Großen kommen und sich dermaßen über den Support aufregen das es da immer knallt. das ist es eben auch warum wir in München so bekannt sind.