Webseite schützen ("Nur für mich")?

Moinsen,
ich habe folgende Frage.

Ich habe BlueSpice MediaWiki für mich als Dokumentation für alles rund um meine Server und für mich privat aufgesetzt.

Jetzt möchte ich das ganze quasi so sicher wie möglich für mich machen.

Logins (MediaWiki sowie BlueSpice) kann ja evtl. Sicherheitslücken aufweisen usw.

Mein Gedanke wäre dabei, da meine Domains alle über CF (Cloudflare) laufen, die BlueSpice Instanz nur für mich persönlich per WAF frei zu schalten.
Dazu dann extra per Apache .htaccess ne Auth Abfrage und dann erst den BlueSpice Login.

Also kurz gesagt:
Cloudflare WAF + -> CAPTCHA
Apache Auth
BlueSpice/MediaWiki Login.

Ist das ganze etwas übertrieben oder was haltet ihr davon?

Ich werde zwar keine Passwörter usw darin teilen aber halt alles an Befehlen und Seiten, wie mein(e) Server aufgebaut und konfiguriert sind.
Das soll natürlich keiner sehen können.

Danke für eure Rückmeldungen und Anmerkungen bzw. Verbesserungsvorschläge.

MfG :D

3 Antworten

SpezialAntwort

22.02.2025, 12:09

Man kann z.B. den Zugriffskreis in einem ersten Schritt auf eine bestimmte IP verengen und durch Serverdirektiven einen Login samt Passwort einrichten. Präziser wird das dann noch mit einer Kombination aus einem persönlichen Zertifikat. Verschiedene Maßnahmen lassen sich verbinden. Allerdings muss man auch entscheide, ob man zu viele paranoide Fantasien hegt und was tatsächlich notwendig erscheint.

Bei HTTP-Zugriffen kann man in den Log-Dateien schauen, ob da jemand gezielt rein will und probiert. Andere Ports könnte man auch noch überwachen oder deaktivieren.

mchawk777

18.02.2025, 23:00

In dem Fall müsstest Du den ganzen "Kladdradatsch" in Deinem (eigenen) lokalen Netzwerk aufbauen, auf das Du dann via VPN zugreifst.

Solange der Server im Internet erreichbar ist, kann was auch immer für die Sicherheit nicht garantieren.

xxxcyberxxx

Von gutefrage auf Grund seines Wissens auf einem Fachgebiet ausgezeichneter Nutzer

Programmieren & Softwareentwicklung

18.02.2025, 22:53

Jetzt möchte ich das ganze quasi so sicher wie möglich für mich machen.

Dann gib das ganze erst gar nicht öffentlich frei, sondern greif per VPN wie Wireguard darauf zu.

Alternativ kannst du dir mal mTLS anschauen - Zugriff ist dann nur per Zertifikat möglich

Woher ich das weiß:Hobby – Eigenes Homelab - Netzwerk, Firewall, Server, Domain usw.

Ähnliche Beiträge

SSH durch Cloudflare Proxy?

Hey,

ich habe meine Domain über Cloudflare "laufen lassen" und habe den Proxy angemacht. (schadet ja nicht)

Nur habe ich nicht daran gedacht, dass wenn ich den anmache, dass ich mich nicht mehr mit PuTTY per SSH auf meinem Server verbinden kann.

Also kurz gesagt: Wie kann ich mich mit PuTTY wie SSH auf meinen Server durch den Cloudflare Proxy verbinden?

...zum Beitrag

Wie verhindere ich, dass bei PHP-Dateien ein Download automatisch startet (Hoster all-inkl.com)?

Ich habe obiges Problem. Meine Website besteht aus HTML-Code, in der ich Kopf- und Footerzeilen per php einbinde. Ich schreibe den Code noch selber und benutze kein Wordpress.. Per Eintrag in der .htaccess-Datei parse ich diese html-Dateien zu PHP.

Beispieleintrag .htaccess:
AddType application/x-httpd-php .htm .html .php
AddHandler server-parsed .php
Options +Includes

ausprobiert habe ich auch schon:
AddHandler php-script .html . htm

und diverse andere Variationen mit php7...

Das funktioniert insoweit, dass die HTML-Dateien tatsächlich geparsed werden, aber sobald ich eine PHP-Applikation habe, die ich dann aufrufe, der Browser (Chrome, Firefox etc.) ein Download starten will.

Ist irgendwer ebenfalls beim Hoster all-ink.com und weiß, was ich in der .htaccess eintragen muss, so dass HTML-Dateien durch den Parser geschickt werden, aber php-Scripte ganz normal ausgeführt werden? Ich habe nur Webspace, keinen Zugriff auf den Server.

...zum Beitrag

Wie rufe ich localhost auf einem Server auf?

Wenn ich auf einem entfernten Server im Netzwerk dessen Anwendung localhost aufrufen soll, wie mache ich das per SSH?

Wie sieht also der Aufruf im Terminal aus, wenn der Server die IP 123.22.55.60 hat?

http://localhost:8080/auth

...zum Beitrag

ZAP-Hosting "verweigert" AUTH-Code für Domain.

Hallo, Also es hat alles angefangen, als ich mir einen TS³ Server bei ZAP-Hosting gemietet hab. Doch dann gab es soo dermaßen viele Abstürze und der Server war jeden Tag mindestens zwei Mal down. Deswegen wollte ich zu einem neuen Anbieter wechseln, nämlich Nitrado.

(Um zu Nitrado zu wechseln war für mich 99% das einfache Bezahlen und das wirklich gute Interface ausschlaggebend.)

Als ich bei ZAP-Hosting gekündigt hatte, wurde ich auch gleich gefragt ob ich meine Domain mitnehmen möchte, was ich natürlich sofort willkommen hieß. Hier fing die ganze Sch an. Ich fragte ca. 5 Tage danach (Kündigungsdatum: 22.04.), wo endlich mein AUTH-Code bleibt, und am 26. bekam ich Antwort, dass er in kürze per E-Mail geschickt wird. Dies geschah allerdings nie, denn sie verschoben immer alles in die Zukunft.

Bis jetzt hab ich immer noch keinen Code, was kann ich dagegen tun?

LG Nico

...zum Beitrag

Javascript Variablen ein/ersetzen - Matomo - Domain?

Moinsen,

ich bin dabei, mir ein Script für Multidomain Tracking zu bauen.
Also Cookies auf mehreren Domains setzen usw.
Das meiste funktioniert soweit wie erwartet.
Das Script soll dynamisch über Cloudflare Zaraz geladen werden.

Jetzt fehlt mir bis jetzt soweit nur noch das einsetzen der Session ID, die ich generiere und die Domain, die aktuell aufgerufen wurde.

In dem Code möchte ich gerne die Variable sessionID sowie die Variable Domain einsetzten lassen.
Wie kann ich das bewerkstelligen?

Ich bin leider nicht ganz so erfahren in Javascript.
Ich habe schon einiges getestet aber es will einfach nicht.

Die Sache ist die, dass es mit Vanilla JS laufen müsste. Also ohne extras usw.

Es soll halt nur JS per Cloudflare Zaraz eingebunden werden.

Der/Die beiden Code Bestandteile sind folgende:

Einmal der Matomo Tag Manager      

<!-- Matomo Tag Manager -->
<script>
  var _mtm = window._mtm = window._mtm || [];
  _mtm.push({'uid':+sessionID });
  _mtm.push({'mtm.startTime': (new Date().getTime()), 'event': 'mtm.Start'});
  (function() {
    var d=document, g=d.createElement('script'), s=d.getElementsByTagName('script')[0];
    g.async=true; g.src='https://xyz.de/js/container_12345.js'; s.parentNode.insertBefore(g,s);
  })();
</script>
<!-- End Matomo Tag Manager -->


Sowie der JS Tracker Code

var _paq = window._paq = window._paq || [];
  /* tracker methods like "setCustomDimension" should be called before "trackPageView" */
  _paq.push(["setDocumentTitle", document.domain + "/" + document.title]);
  _paq.push(["setCookieDomain" +DomainX]);
  _paq.push(["setDomains", ["*xyz.de"]]);
  _paq.push(["enableCrossDomainLinking"]);
  _paq.push(['setUserId', sessionID]);
  _paq.push(['enableHeartBeatTimer', 20]);
  _paq.push(['trackPageView']);
  _paq.push(['enableLinkTracking']);
  _paq.push(['trackVisibleContentImpressions', true, 750]);
  (function() {
    var u="https://xyz.de/";
    _paq.push(['setTrackerUrl', u+'matomo.php']);
    _paq.push(['setSiteId', 'X']);
    var d=document, g=d.createElement('script'), s=d.getElementsByTagName('script')[0];
    g.async=true; g.src=u+'matomo.js'; s.parentNode.insertBefore(g,s);
  })();
</script>
<noscript><p><img referrerpolicy="no-referrer-when-downgrade" src="https://xyz.de/matomo.php?idsite=3&amp;rec=1" style="border:0;" alt="" /></p></noscript>
<!-- End Matomo Code -->

...zum Beitrag

MediaWiki aus Datenbank wieder herstellen?

Ich habe leider ausversehen mein komplettes MediaWiki gelöst. Also ich habe den Quellordner gelöscht. Jetzt habe ich gesehen, das die Datenbank, die ich vorher genutzt habe noch existiert. Ist es möglich MediaWiki neu zu installieren und vielleicht einige Daten aus der Datenbank wieder herzustellen?

Die gelöschte Datei lässt sich nicht wieder herstellen, da sie mit dem 'rm' Befehl direkt im Termin gelöscht wurde. Ein Programm, dass nach gelöschten Dateien auf dem Computer sucht habe ich bereits ausprobiert.

Über euer Hilfe wäre ich sehr dankbar!

...zum Beitrag

Verzeichnis Rechte unter Ubuntu?

Guten Tag.... Ich habe mal eine Frage an Profis bezüglich Verzeichnis Rechte in var/www/ ... Ich habe ein kleines Problem mit den Rechten und verstehe nicht, warum es unter Plesk keine Probleme gibt aber wenn der Server per Hand eingerichtet wird die Rechte nachträglich geändert werden müssen.

So jetzt zur Beschreibung :

) Ich habe PHP Scripte die unter einer Plesk Installation und Konfiguration wunderbar laufen und sich ohne jegliche Nachfrage bedienen lassen.

Die PHP Version wird ausgewählt ob Apache PHP7.2-fpm usw Die Scripte laufen dann Perfekt.

2.) Wenn der Server ohne Plesk d.h per Hand installiert und Konfiguriert wird, dann muss ich alle Verzeichnisse per chmod auf 0777 setzen. Die Scripte melden Fehler und der Hinweis kommt, dass die Verzeichnisse auf 0777 angepasst werden müssen.

Ich habe einen Freelancer beauftragt, den Server ohne Plesk zu konfigurieren aber die Fehler kamen auch bei dem Profi. Er hat dann auch mit Plesk installiert und die Fehler sind weg. Was macht Plesk anders ?. Plesk muss eine Konfiguration nutzen die es ermöglicht, die Attribute der Verzeichnisse zu übernehmen nur was ist das für eine Konfiguration. Es liegt nicht am Attribut von var/www sondern alleine nur an der Übernahme der zu installierenden Verzeichnissen. Ich habe mal vor Jahren einen Beitrag über dieses Problem gelesen aber den finde ich nicht mehr.

...zum Beitrag

Domain kann nicht aufgelöst werden?

Guten Abend, ich habe meine Seiten nach langer Zeit auch mal komplett über Cloudflare geschützt, dafür muss man allerdings das Proxy aktiviert haben auch damit die Firewall ETC überhaupt funktioniert, jetzt wird bei Plesk aber leider angezeigt das die Domain nicht aufgelöst werden kann, nun wollte ich einmal nachfragen wie man das komplett beheben kann, ich finde dazu leider nichts.

...zum Beitrag

Warum Weiterleitungsregeln für eine Domain?

Servus!

Warum sollte man zb bei Cloudflare eine Weiterleitungsregel für eine Domain erstellen, beispielsweise test.com auf youtube.com weiterleiten, wenn man doch ganz einfach einen normalen CNAME DNS Eintrag erstellen kann, der test.com auf zb youtube.com weiterleitet?

Was ist denn der Sinn von einer Weiterleitungsregel?

...zum Beitrag

Apache Server Zugriff auf Verzeichnis verweigert?

ich habe einen apache server über xampp auf meinem pc und alles konfiguriert und wenn ich im browser localhosteingebe lande ich da wo ich hin will. jetzt habe ich meine gemietete domain auf meinen pc bzw auf den server umgeleitet bekomme im browser aber immer ein den fehler: Zugriff verweigert!

Der Zugriff auf das angeforderte Verzeichnis ist nicht möglich. Entweder ist kein Index-Dokument vorhanden oder das Verzeichnis ist zugriffsgeschützt.

Sofern Sie dies für eine Fehlfunktion des Servers halten, informieren Sie bitte den Webmaster hierüber.

Error 403

xtremecraft.de Apache/2.4.10 (Win32) OpenSSL/1.0.1i PHP/5.5.15

die einstellungen hab ich schon durchsucht dda war aber nichts zu finden. hoffe iuhr könnt mir sagen wie ich das einstellen kann das man von überall per domain drauuf zugreifen kann

...zum Beitrag

Woocommerce Login & Einkaufswagen funktionieren nicht mehr?

Hi, auf meiner Webseite (mr-mystery.net) funktionieren seitdem ich alles auf einen neuen Server übertragen habe der Login über Woocommerce sowie der Einkaufswagen nicht mehr. Der Login über wp-login.php funktioniert weiterhin einwandfrei. Über den Mein Konto Login (Woocommerce) passiert nach einem Klick auf anmelden nichts. Wenn ich auf ein Produkt in den Einkaufswagen lege passiert ebenfalls nichts.

Ich habe so gut wie alles ausprobiert. Plugins und Theme deaktivieren, Woocommerce zurücksetzen, htaccess Datei neu erstellen lassen sowie viele weitere Tipps. Der Hoster kann mir auch nicht weiterhelfen.

Vor dem Serverwechsel funktionierte alles perfekt, der Hoster hat mir aber versichert, dass auf beiden Servern die exakt gleiche Plesk Version läuft.

PHP Versionen identisch, Plugins alle untereinander kompatibel und auf dem neusten Stand. Habe keine Idee mehr was ich noch tun soll.

...zum Beitrag

Website Datenschutz Cloudflare?

Ich habe eine eigene Website also Domain und Hosting, auf der Webseite sind nur drei Knöpfe die zu meinen Sozialen-Medien Accounts führen. Ich benutze kostenloses Hosting von GitHub Pages. Meine Domain ist von Namecheap, da ich dort kein kostenloses SSL (httpS) bekomme habe ich meine Website mit Cloudflare verbunden, dort hab ich dann kostenlos SSL zu meiner Website hinzugefügt.

Aber jetzt muss ich doch auch in der Datenschutzerklärung meiner Website hinzufügen dass Cloudflare Daten sammelt (z.b IP-Adresse) oder? Und muss ich zuerst die Einstimmung der Websitebesucher bekommen? Und wenn mir jetzt ein Websitebesucher schreibt dass ich alle Daten die die Website von ihm gesammelt hat löschen soll was mache ich dann, weil nur Cloudflare hat ja dann persönliche Informationen gesammelt, aber wie soll ich das von Cloudflare löschen?

...zum Beitrag

Eine Website nur für bestimmte Länder freigeben?

Hallo, ich habe einen bitly link und würde den Zugriff auf die Website nur für bestimmte Länder erlauben. Wie kann ich das umsetzen?

...zum Beitrag

http zu https redirect-Fehler auf Wordpress-Seite?

Ich habe eine Wordpress-Website, nennen wir sie example.com, die von IONOS gehostet wird. Es handelt sich um eine HTTPS-Website mit einem funktionierenden SSL-Zertifikat, sodass alle HTTP-Anfragen auf die angeforderte Seite umgeleitet werden sollten, aber dabei das HTTP durch HTTPS ersetzt wird.

Beispiel: http://example.com sollte auf https://example.com umgeleitet werden (das funktioniert). http://example.com/subpage sollte auf https://example.com/subpage umgeleitet werden (das funktioniert jedoch nicht!). Stattdessen passiert Folgendes: http://example.com/subpage leitet auf https://example.com/ um.

Das Hauptproblem dabei ist, dass die Google Search Console fälschlicherweise einen Umleitungsfehler für jede Unterseite erkennt, die sie zu indexieren versucht, obwohl die Indexanfrage speziell für die HTTPS-Seite (https://example.com/subpage) gesendet wurde.

Ich verwende die neueste Version von Wordpress. Die derzeit installierten Plugins sind:

Advanced Import
Duplicate Page
Elementor Pro
IONOS Assistant (deaktiviert)
IONOS Help (deaktiviert)
IONOS Journey (deaktiviert)
IONOS Login
IONOS Loop (deaktiviert)
IONOS Navigation
IONOS Performance
IONOS Security
Music Player for Elementor
Title Remover
WPvivid Backup Plugin
Yoast SEO Premium

Diese Teile meiner .htaccess-Datei könnten für das Problem verantwortlich sein:

<IfModule mod_rewrite.c>
    RewriteEngine On
    RewriteBase /
    RewriteCond %{SERVER_PORT} 80
    RewriteRule ^(/(.*))?$ https://%{HTTP_HOST}/$1 [R=301,L]
</IfModule>

und/oder:

<IfModule mod_rewrite.c>
    # ENGINE ON
    RewriteEngine on

    # set hostname directory
    RewriteCond %{HTTPS} on
    RewriteRule .* - [E=IONOS_PERFORMANCE_HOST:https-%{HTTP_HOST}]

    RewriteCond %{HTTPS} off
    RewriteRule .* - [E=IONOS_PERFORMANCE_HOST:%{HTTP_HOST}]

    # set subdirectory
    RewriteCond %{REQUEST_FILENAME} !-f
    RewriteCond %{REQUEST_METHOD} GET
    RewriteCond %{REQUEST_URI} !(.*)/$
    RewriteCond %{REQUEST_FILENAME} !.(gif|jpg|png|jpeg|css|xml|txt|js|php|scss|webp|mp3|avi|wav|mp4|mov)$ [NC]
    RewriteRule .* - [E=IONOS_PERFORMANCE_DIR:%{REQUEST_URI}/]

    RewriteCond %{REQUEST_URI} /$
    RewriteRule .* - [E=IONOS_PERFORMANCE_DIR:%{REQUEST_URI}]

    RewriteCond %{REQUEST_URI} ^$
    RewriteRule .* - [E=IONOS_PERFORMANCE_DIR:/]

    # gzip
    RewriteRule .* - [E=IONOS_PERFORMANCE_SUFFIX:]
    <IfModule mod_mime.c>
        RewriteCond %{HTTP:Accept-Encoding} gzip
        RewriteRule .* - [E=IONOS_PERFORMANCE_SUFFIX:.gz]
        AddType text/html .gz
        AddEncoding gzip .gz
    </IfModule>

    # Main Rules
    RewriteCond %{HTTP_ACCEPT} .*text/html.*
    RewriteCond %{ENV:INITIAL_REQUEST_METHOD} ^$
    RewriteCond %{ENV:REDIRECT_INITIAL_REQUEST_METHOD} ^$
    RewriteCond %{QUERY_STRING} ^$
    RewriteCond %{REQUEST_URI} !^/(wp-admin|wp-content/cache)/.*
    RewriteCond %{HTTP_COOKIE} !(wp-postpass|wordpress_logged_in|comment_author)_
    RewriteCond /homepages/9/d4297862886/htdocs/./wordpress/wp-content/cache/ionos-performance/%{ENV:IONOS_PERFORMANCE_HOST}%{ENV:IONOS_PERFORMANCE_DIR}index.html%{ENV:IONOS_PERFORMANCE_SUFFIX} -f
    RewriteRule ^(.*) /wp-content/cache/ionos-performance/%{ENV:IONOS_PERFORMANCE_HOST}%{ENV:IONOS_PERFORMANCE_DIR}index.html%{ENV:IONOS_PERFORMANCE_SUFFIX} [L]
</IfModule>

und/oder:

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}]
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>

Meine Permalink-Einstellung in Wordpress ist wie folgt:

https://example.com/%category/%postname%/

...zum Beitrag

Was möchtest Du wissen?

Deine Frage stellen