WordPress: Sicherheitslücke in GDPR-Compliance-Plugin

veröffentlicht am 13. November 2018 von | Keine Kommentare

Wie auch von Heise berichtet wird, geht gerade ein Angriff mit Hilfe einer Sicherheitslücke in dem wahrscheinlich von sehr vielen Webseiten-Betreibern genutzten Plugin „WP GDPR Compliance“ auf Webseiten, los die auf WordPress setzen. Auch diesen Blog hat es erwischt, was sich dadurch äußerte, dass plötzlich neue Benutzerkonten angelegt wurden, die zum Schreck auch noch über Admin-Rechte verfügten:

Read more

Firmenwebseite auf einem Server im Unternehmen hosten?

veröffentlicht am 1. Juli 2018 von | Keine Kommentare

Vielleicht hat der ein oder andere schon mal einen Arbeitgeber oder einen Kunden gehabt, bei dem die Webseite innerhalb des Firmen-Netzwerks betrieben wurde oder betrieben werden sollte. Wenn man so etwas vor hat, gibt es allerdings einige Gründe die dagegen sprechen. Die vermutlich wichtigsten Gründe, die mir gerade noch eingefallen sind, habe ich im Folgenden einmal zusammengetragen.

 

Read more

PHP-Skripte vor unbefugtem Download absichern

veröffentlicht am 27. April 2018 von | Keine Kommentare

In diesem kurzen Artikel möchte ich zeigen, wie ich persönlich meine in PHP gebauten Projekte etwas absichere. Damit nicht die Möglichkeit besteht, dass die PHP-Dateien als Textdokumente vom Browser heruntergeladen werden können anstatt dass diese auf dem Server ausgeführt werden, gehe ich wie in diesem Artikel beschrieben vor. Dies könnte ansonsten z. B. dann passieren wenn der Webserver nicht korrekt arbeitet bzw. das PHP-Modul abschmiert

Read more

Gefahren beim Shared Web Hosting

veröffentlicht am 27. März 2018 von | Keine Kommentare

Es ist bereits einige Zeit her, als ich auf dem Webspace bei Strato ein selbstgeschriebenes PHP-Skript für eine Art Caching meiner dynamischen Seite aufgespielt habe. Dieses Skript sollte die geacachten Dateien in einem Ordner namens „tmp“ in dem Webseitenverzeichnis erstellen und von dort aus wieder auslesen, wenn die entsprechende URL aufgerufen wird.

Read more

Unterschiedliche Arten eine DMZ aufzubauen

veröffentlicht am 22. März 2018 von | Keine Kommentare

Im Laufe der Zeit bin ich auf zwei unterschiedliche Möglichkeiten, was den Aufbau einer DMZ betrifft, gestoßen. Die zwei Varianten beschreibe ich im folgenden Artikel grob. Denn meistens lernt man nur die erste der beiden Varianten, wenn überhaupt, in der Ausbildung kennen.

Read more

Verschleierter Download mit PHP

veröffentlicht am 10. März 2018 von | 2 Kommentare

Eine Anforderung für ein kleines Webprojekt war der Download von Dateien, mit der Besonderheit, dass diese nicht so einfach für jeden Nutzer downloadbar sein sollen, sondern lediglich nach einem Kauf über Digistore24. Hierfür müssen die Dateien grundsätzlich schon für jeden Seitenbenutzer verfügbar sein, ansonsten funktioniert dieses Vorgehen nicht mit Digistore24 und man müsste die Dateien dort kostenpflichtig in einen Download-Tresor ablegen. Anstatt die Dateien aber all zu einfach verfügbar zu machen, z. B. in dem man sie unter www.domain.de/download/Produkt1.zip ablegt, kann man den Download mit kryptischen Links verschleiern. Diese kann man dann auch von Zeit zu Zeit austauschen.

Es gibt verschiedene Funktionen mit denen man einen Datei-Download unter PHP realisieren kann, z. B. die folgenden:

Read more

Piwik/Matomo sicherer machen

veröffentlicht am 25. Februar 2018 von | Keine Kommentare

In der Grundinstallation könnte theoretisch jeder versuchen das Backend von Piwik bzw. Matomo aufzurufen, wenn er die URL kennt. Diese ist ja nicht schwer zu finden, da sie im Quellcode der trackenden Webseiten steht.

Read more