Zuverlässigkeit eingebaut

Geeklog-Links

Download
Dokumentation
FAQ
Hilfe!
Mailinglisten
Fehler melden
Source Code
Jetzt ausprobieren

Kategorien

Anmelden





Noch nicht registriert? Melde Dich jetzt als neuer User an
Passwort vergessen?

Was ist neu?

ARTIKEL

Keine neuen Artikel

KOMMENTARE letzte 2 Tage

Keine neuen Kommentare

TRACKBACKS letzte 2 Tage

Keine neuen Trackback-Kommentare

SEITEN letzte 2 Wochen

Keine neuen Seiten

DOWNLOADS letzte 14 Tage

Keine neuen Dateien
Keine neuen Kommentare

LINKS letzte 2 Wochen

Es gibt keine Links anzuzeigen.

Termine

Mittwoch 08. Sep.

Willkommen bei Geeklog
Donnerstag, 09. September 2010, 20:06 Uhr

Danke für die Beachtung der Sicherheitshinweise ...

Sonntag, 31. März 2002, 23:20 Uhr

Beitrag von: Dirk

Sicherheit

Im Vergleich zu manch anderem WebLog ist Geeklog recht sicher - Hacks oder Exploits sind keine bekannt. Jedoch gilt das nur, wenn man nach der Installation folgende drei Schritte durchführt:

  1. Admin-Passwort ändern
  2. Die Passwörter der anderen Admin-Accounts ändern oder diese Accounts löschen
  3. Das Installationsverzeichnis sichern oder löschen

Eine kürzlich durchgeführte Stichprobe hat ergeben, dass nicht alle Betreiber von Geeklog-Sites an diese Maßnahmen gedacht haben ...

Die drei Schritte im Einzelnen:

Admin-Passwort ändern
Das Default-Passwort für den Admin-Account ist schlicht und ergreifend "password". Nicht nur, dass dies einfach zu erraten ist, es steht auch noch groß und deutlich in dem einzigen Artikel, der nach der Neuinstallation einer Geeklog-Site angezeigt wird. Der erste Schritt sollte also sein, sich mit diesem Passwort einzuloggen - und es sofort zu ändern.

Die anderen Admin-Accounts
Gerne wird offenbar übersehen, dass es noch weitere Admin-Accounts für spezielle Aufgaben gibt. So kann der StoryAdmin zwar keine User anlegen oder löschen, aber er kann Artikel schreiben, ändern und löschen. Auch die anderen Admin-Accounts haben alle das Default-Passwort. Und da man auch mit diesen Accounts viel Unfug anstellen kann, sollte man entweder die Passwörter ändern (als Admin kann man die Passwörter der anderen Accounts direkt ändern, man braucht sich also nicht als StoryAdmin usw. einzuloggen) - oder man löscht diese Accounts gleich ganz. Das Löschen der Accounts ist wahrscheinlich die empfehlenswertere Methode, da man beliebigen Usern Teil-Adminrechte einräumen kann (und so z.B. einen User zum StoryAdmin befördern kann). Und schlimmstenfalls ist so ein zusätzlicher Admin-Account auch schnell wieder eingerichtet.

Das Installationsverzeichnis schützen oder löschen
Auch das wird gerne übersehen: Um auf das Installationsskript admin/install/install.php zuzugreifen, braucht man keine besonderen Rechte. Es kann daher von jedem beliebigen Besucher der Website aufgerufen werden. Damit ist die Möglichkeit gegeben, die Einstellungen der Site zu ändern und u.U. auch die Datenbank zu beschädigen. Man sollte daher nach erfolgreicher Installation entweder das install-Verzeichnis (oder zumindest das Installationsskript) löschen oder es vom Webserver schützen lassen (für Sites, die auf einem Apache-Webserver laufen, lauten die Stichworte .htaccess und htpasswd).

Wenn man diese drei Punkte beachtet, hat man, wie anfangs erwähnt, ein sehr sicheres System und Ärger mit Hackern sollte nicht zu den täglichen Prblemen eines Geeklog-Webmasters gehören.

Weiterführende Links

Optionen

Danke für die Beachtung der Sicherheitshinweise ...

Copyright © 2010 Geeklog
Impressum 		Powered by Geeklog 1.6.1rc1 
Seite erzeugt in 0,15 Sekunden