INFO: Version 18.xModultyp:

Systemeinstellung - Sicherheit

In den Systemeinstellungen können über das Register 'Sicherheit' globale Einstellungen zum Thema Sicherheit vorgenommen werden.

Derzeit ermöglicht dies eine Protokollierung und auch Benachrichtigung von Zugriffen auf das Projekt, welche von der Software als verdächtig eingestuft werden.

In der Regel handelt es sich dabei um Aufrufe zu bestehenden, aber auch nicht im Projekt existierenden Seiten, welchen diverse URL-Parameter mitgegeben werden. Häufig sind dies Pfade von OpenSource-Produkten, zu welchen Sicherheitslücken bekannt sind und potentielle Angreifer das Web nach solchen Installationen "abgrasen". Oft wird auch versucht, über URL-Parameter Schwachstellen in bestehenden (PHP-) Seiten aufzudecken und dann ggf. auszunutzen.
In allen Fällen sind in der Regel bei jedem Provider solche Aufrufe in den access-Logs zur Domain ersichtlich und können darüber analysiert werden.

Weblication® macht diese Aufrufe auch ohne Zugriff auf die access-Logs der Domain transparent und benachrichtigt je nach Einstellung direkt beim Aufruf von verdächtig eingestuften Zugriffen (E-Mail SecurityAlert). Dies soll Ihnen die Möglichkeit geben, bei Bedarf schnell bzw. schneller reagieren zu können.

Systemeinstellung - Sicherheit
Systemeinstellung - Sicherheit

Bedienung

'Anmeldung nur über HTTPS ermöglichen':

Ist dieser Parameter aktiviert, ist ein Anmelden nur möglich, wenn die Weblication® CMS Software Login-Maske über das https-Protokoll aufgerufen wurde. Wurde die Login-Maske über das http-Protokoll aufgerufen wie ein fehlerhaftes Login behandelt.
Tipp: Sorgen Sie über eine htaccess-Regel in der obersten Verzeichnisebene der Domain dafür, daß ein http-Aufruf auf https umgeleitet wird.

'Empfänger von E-Mail Warnungen':

In diesem Feld tragen Sie optional die E-Mail Adresse ein, an welche bei aktivierter Protokollierung verdächtiger Zugriffe (siehe unten) eine E-Mail gesendet werden soll.
Diese E-Mails sind im Betreff wie folgt definiert (Beispiel):
   E-Mail SecurityAlert: http://IhreDomain.tld
Sie können solche E-Mails daher über E-Mail Filter direkt in IMAP oder im E-Mail Client filtern und z.B. in einen Mailordner verschieben.
Der Inhalt solch einer E-Mail listet - sofern auslesbar - folgende Werte auf:

  • IP-Adresse
  • URL
  • Referrer
  • User
  • Usertype
  • User-Agent String

Die URL zeigt Ihnen den verdächtigen Zugriff, also welche URL mit welchen URL-Parametern aufgerufen wurde. Daraus lässt sich bezogen auf das jeweilige Projekt ablesen, ob es diesen Aufruf wirklich gibt bzw. ob hier ein Angriffsversuch vorliegt. Diese Einschätzung ist jeweils individuell vorzunehmen.
Weitere Hinweise und Tipps finden Sie in Entwickler-Artikel "Umgang mit E-Mail Warnungen".

'Pause zwischen E-Mails in Sekunden':

In diesem Feld tragen Sie optional die Anzahl an Sekunden ein, die bis zu einer weiteren E-Mail Warnung gewartet werden soll (z.B. 300 für 300 Sekunden).
Der Empfänger erhält so lange keine weiteren E-Mails, bis die angegebene Zeit abgelaufen ist oder er das Sicherheitscenter öffnet.

'Verdächtige Zugriffe protokollieren':

Ist dieser Parameter aktiviert, werden URL-Aufrufe, welche auf verdächtige Aktivitäten schliessen lassen, in täglichen Log-Dateien protokolliert.

'Offensichtlich bösartige Zugriffe blockieren':

Ist dieser Parameter aktiviert, werden Zugriffe, die als bösartige Zugriffe eingestuft wurden, nur mit einem Status 400 (Ungültige Anforderung) beantwortet und nicht weiter abgearbeitet. Eine Warnung per E-Mail findet nicht statt.
Dies reduziert die Anzahl an E-Mail Benachrichtigungen und sorgt dennoch für eine wirksame Aktion gegen solche Aufrufe.

'Nach einer Blockierung den Besucher für 1 bis 2 Minuten sperren':
Ist dieser Parameter aktiviert, wird nach einer Blockierung eines bösartigen Zugriffes die betreffende IP-Adresse für 1 bis 2 Minuten gesperrt.
Dadurch werden Angriffsversuche durch Bots erschwert, die eine große Anzahl an Zugriffen durchführen, um nach Schwachstellen zu suchen.

'Verdächtige Zugriffe anonym mit dem Sicherheitsserver teilen':

Ist dieser Parameter aktiviert, werden die URL-Aufrufe, welche auf verdächtige Aktivitäten schliessen lassen, zusätzlich auf einem Sicherheitsserver von uns mit anonymen Daten abgelegt, um entsprechend ausgewertet werden zu können.
Der Hinweis-Text unterhalb des Beschreibungstextes führt den Einsatzzweck dieser Option an:
"Diese Funktion hilft uns, neue Bedrohungen schneller zu erkennen und darauf zu reagieren."

'Verdächtige Zugriffe in Monitoring markieren':

Ist dieser Parameter aktiviert, werden URL-Aufrufe, welche auf verdächtige Aktivitäten schliessen lassen, im Server-Monitoring markiert.

'Server-Sicherheitscheck im Dashboard anzeigen':

Ist dieser Parameter aktiviert, wird der Sicherheitscheck im Dashboard angezeigt. Der Sicherheitscheck wird zudem bei jedem Öffnen des Backends (Persönlicher Bereich) durchgeführt.
Aus Performancegründen deaktivieren Sie diesen Parameter am besten, wenn sichergestellt ist, dass die Sicherheitsüberprüfungen positiv ausfallen.

'Server-Sicherheitscheck':

Durch Klick auf diese Schaltfläche öffnet sich der Weblication® Server-Sicherheitscheck.

Sofern Sie Aufrufe (z.B. von internen oder erwünschten IP-Adressen), welche als verdächtige Zugriffe angesehen und ggf. geblockt werden, erlauben wollen, können Sie über die pre.php eine entsprechende Abfrage setzen (z.B. if-Abfrage auf REMOTE_ADDR). Innerhalb der Abfrage setzen Sie die globale Variable "doNotCheckSuspectLevel" auf true:

  $GLOBALS['doNotCheckSuspectLevel'] = true;