Welches sind Ihre Sicherheitsempfehlungen?

Eine öffentlich erreichbare Internetpräsenz bietet eine Anzahl von möglichen Schwachstellen, welche zur Verbreitung von Malware oder Spam missbraucht werden können.

Um diese Risiken zu minimieren, befolgen Sie bitte unsere Sicherheitsempfehlungen:

Verwenden Sie komplexe Passwörter
Halten Sie Ihre Applikation auf dem neuesten Stand
Verhindern Sie Zugriffe auf sicherheitsrelevante Dateien
Verbinden Sie sich verschlüsselt auf den FTP Server
Weichen Sie von Standards ab
Verbinden Sie sich ausschliesslich verschlüsselt mit Mailserver

1. Passwörter

Verwenden Sie für Passwörter (Administatoren-Zugang, FTP, Datenbanken, Plesk etc.) den Plesk Passwort-Generator oder erstellen Sie Ihr Passwort nach den folgenden Richtlinien:

Das generierte Passwort ...

besteht aus mind. 8 (besser 10 oder mehr) Zeichen
enthält mind. 2 Buchstaben (Gross- und Kleinbuchstaben)
enthält mind. 2 Ziffern und Sonderzeichen
enthält keine erkennbare Systematik, d.h. erscheint wie eine zufällig erzeugte Zeichenfolge
ist nur dem Inhaber bekannt
wird regelmässig geändert
wird nicht auch für andere Anwendungen verwendet

2. Web-Applikation

Jede Web-Applikation verwendet als Standard-Administrator einen vordefinierten Benutzernamen. Ändern Sie diesen, spätestens jedoch bei der Umstellung auf den Produktivbetrieb.
Halten Sie Ihre Applikation immer auf dem neuesten Stand und führen Sie alle verfügbaren Updates durch.
Installieren Sie nur Module / Komponenten, die Sie auch wirklich benötigen. Jedes zusätzliche Modul erhöht die Angriffsfläche
Entfernen Sie alle nicht benötigten Applikationen, Plug-Ins, Add-Ons und Themen vom Server (nicht nur deaktivieren), da auch diese Sicherheitslücken enthalten können.

3. Web-Server

Verwenden Sie FastCGI oder FPM in den PHP-Einstellungen, um PHP unter dem FTP-Benutzernamen zu betreiben.
Konfigurieren Sie die Berechtigungen von Konfigurationsdateien ohne Ausnahme auf 600

Verhindern Sie Web-Zugriffe auf sicherheitsrelevante Scripts via .htaccess (Deny from all)
Verhindern Sie Zugriffe auf nicht öffentliche Bereiche Ihrer Seite durch einem Passwortschutz.

4. FTP-Server

Verbinden Sie sich ausschliesslich verschlüsselt mit dem FTP-Server - Explizites FTP über TLS (FTPES).
→ FAQ: Wie kopiere ich meine Daten mittels FTP / FTPES auf meinen Server?
Verwende Sie ein starkes Passwort für den FTP-Zugriff. Siehe Abschnitt Passwörter

5. Datenbank-Server

Vermeiden Sie Standard Datenbanknamen wie wordpress, typo3, gallery etc.
Ändern Sie bei der Installation die vordefinierten Datenbank-Tabellenpräfixe und Verzeichnispfade. Automatisierte Angriffe (Exploit Scans) laufen so ins Leere.

6. Mail-Server

Verbinden Sie sich ausschliesslich verschlüsselt mit dem Postein- sowie ausgangsserver.

SMTP over SSL = Port 465 bzw. Port 587 (Submission)
POP3 over SSL = Port 995
IMAP over SSL = Port 993

In welchem Bereich können wir Ihnen helfen?