WordPress: Sicherheitslücke in GDPR-Compliance-Plugin

Wie auch von Heise berichtet wird, geht gerade ein Angriff mit Hilfe einer Sicherheitslücke in dem wahrscheinlich von sehr vielen Webseiten-Betreibern genutzten Plugin „WP GDPR Compliance“ auf Webseiten, los die auf WordPress setzen. Auch diesen Blog hat es erwischt, was sich dadurch äußerte, dass plötzlich neue Benutzerkonten angelegt wurden, die zum Schreck auch noch über Admin-Rechte verfügten:

Read more

Firmenwebseite auf einem Server im Unternehmen hosten?

Vielleicht hat der ein oder andere schon mal einen Arbeitgeber oder einen Kunden gehabt, bei dem die Webseite innerhalb des Firmen-Netzwerks betrieben wurde oder betrieben werden sollte. Wenn man so etwas vor hat, gibt es allerdings einige Gründe die dagegen sprechen. Die vermutlich wichtigsten Gründe, die mir gerade noch eingefallen sind, habe ich im Folgenden einmal zusammengetragen.

 

Read more

PHP-Skripte vor unbefugtem Download absichern

In diesem kurzen Artikel möchte ich zeigen, wie ich persönlich meine in PHP gebauten Projekte etwas absichere. Damit nicht die Möglichkeit besteht, dass die PHP-Dateien als Textdokumente vom Browser heruntergeladen werden können anstatt dass diese auf dem Server ausgeführt werden, gehe ich wie in diesem Artikel beschrieben vor. Dies könnte ansonsten z. B. dann passieren wenn der Webserver nicht korrekt arbeitet bzw. das PHP-Modul abschmiert

Read more

Gefahren beim Shared Web Hosting

Es ist bereits einige Zeit her, als ich auf dem Webspace bei Strato ein selbstgeschriebenes PHP-Skript für eine Art Caching meiner dynamischen Seite aufgespielt habe. Dieses Skript sollte die geacachten Dateien in einem Ordner namens „tmp“ in dem Webseitenverzeichnis erstellen und von dort aus wieder auslesen, wenn die entsprechende URL aufgerufen wird.

Read more

Unterschiedliche Arten eine DMZ aufzubauen

Im Laufe der Zeit bin ich auf zwei unterschiedliche Möglichkeiten, was den Aufbau einer DMZ betrifft, gestoßen. Die zwei Varianten beschreibe ich im folgenden Artikel grob. Denn meistens lernt man nur die erste der beiden Varianten, wenn überhaupt, in der Ausbildung kennen.

Read more

Verschleierter Download mit PHP

Eine Anforderung für ein kleines Webprojekt war der Download von Dateien, mit der Besonderheit, dass diese nicht so einfach für jeden Nutzer downloadbar sein sollen, sondern lediglich nach einem Kauf über Digistore24. Hierfür müssen die Dateien grundsätzlich schon für jeden Seitenbenutzer verfügbar sein, ansonsten funktioniert dieses Vorgehen nicht mit Digistore24 und man müsste die Dateien dort kostenpflichtig in einen Download-Tresor ablegen. Anstatt die Dateien aber all zu einfach verfügbar zu machen, z. B. in dem man sie unter www.domain.de/download/Produkt1.zip ablegt, kann man den Download mit kryptischen Links verschleiern. Diese kann man dann auch von Zeit zu Zeit austauschen.

Es gibt verschiedene Funktionen mit denen man einen Datei-Download unter PHP realisieren kann, z. B. die folgenden:

Read more

Piwik/Matomo sicherer machen

In der Grundinstallation könnte theoretisch jeder versuchen das Backend von Piwik bzw. Matomo aufzurufen, wenn er die URL kennt. Diese ist ja nicht schwer zu finden, da sie im Quellcode der trackenden Webseiten steht.

Read more