Sicherheit mit Weblication®
30. Aug 2023
Das Thema Sicherheit hat in Weblication® einen sehr hohen Stellenwert.
Das Sicherheitskonzept in Weblication® ist sehr umfangreich. Nachfolgend finden Sie Maßnahmen und Funktionen, die die Sicherheit Ihres Web-Auftritts erhöhen.
- Regelmäßige Sicherheitsprüfungen (intern + extern)
- Aktuelle Weblication® Versionen werden auf aktuelle PHP-Versionen angepasst
- Hohe Passwortsicherheit durch viele Sec-Funktionen
- Zwei-Faktor-Authentifizierung pro Benutzer einstellbar
- Nach x fehlerhaften Anmeldungen 2-Faktor-Authentifizierung erforderlich
- Einstellung, dass Anmeldung nur über HTTPS möglich ist
- Multi-Faktor-Authentifizierung über mehrere E-Mail-Adressen
- Sicherheitscenter in Weblication®
- Sicherheitseinstellungen
- Integrierte Web Application Firewall wehrt Angriffe ab
- Server-Sicherheitscheck findet Server-Schwachstellen
- Security-Spider findet Schwachstellen in Websites
- Weblics®: Funktionen für mehr Sicherheit
- Passwort-Ändern Funktion mit Passwortrichtlinie
- Passwort-Vergessen Funktion mit Passwortrichtlinie
- Persönliche Daten ändern Formular mit Passwortrichtlinie
- Benutzerregistrierung mit Passwortrichtlinie
- Formulare mit Validierung systemweiter Passwortrichtlinien in Eingabefeldern
- Weblication® Funktionen für Entwickler
- Weblication®-Framework Funktionen
- Weblication® WSL-Tags
- Sicherheitsempfehlungen
- Sichern Sie auch andere Zugänge zu Ihrem Webserver ab
- Sicherheits-Empfehlungen für den Einsatz von PHP
- Schaden vermeiden: Passwort Policy in Weblication®
- Daten sicher übermitteln und austauschen
- Cloud- und Share-Funktionen für Ihren WebSpace statt in fremden Clouds
- Verschlüsselter Briefkasten für Ihre Website
- Weblication SEND: Daten verschlüsselt senden und empfangen
- Spam-Schutz
- Neues Captcha für besseren Spam-Schutz
- Spam-Schutz in Mail-Engine über vorgefertigte und eigene Filter
- Abgefangene Spam-Anfragen sind im Sicherheitscenter sichtbar
Regelmäßige Sicherheitsprüfungen (intern + extern)
Zur Wahrung der Sicherheit in Weblication® führen wir in aktuellen Weblication® Versionen regelmäßig interne und
externe Sicherheitsprüfungen durch.
Darüber hinaus werden solche Sicherheitschecks auch von unseren Kunden (z.B. von Banken und Konzernkunden, die auf Sicherheit sehr großen Wert legen) durchgeführt.
Aktuelle Weblication® Versionen werden auf aktuelle PHP-Versionen angepasst
Darüber hinaus passen wir die jeweils aktuelle Software-Version und das BASE-Projekt für neue PHP-Versionen an. Damit ist gewährleistet, dass die jeweils genutzte PHP-Version auf dem neuesten Stand gehalten werden kann und auch weiterhin Sicherheits-Patches erhält.
Hohe Passwortsicherheit durch viele Sec-Funktionen
Die Schäden bei unberechtigtem Fremdzugriff, die durch unsichere Passwörter entstehen, werden meist unterschätzt. Zahlreiche Funktionen in Weblication® erhöhen die Sicherheit für Ihre Passworte:
- Passworte: Selbstverständlich müssen Sie sich über Benutzername und Passwort authentifizieren.
- Verschlüsselung: Passwörter speichert Weblication® verschlüsselt, und auch wir als Hersteller können die Passwörter nicht auslesen.
- Zwei-Faktor-Authentifizierung pro Benutzer einstellbar und
- Nach Anzahl (default ist 3) eingestellter fehlerhafter Anmeldeversuche muss der Benutzer sich einmalig über die 2-Faktor-Authentifizierung anmelden. (Systemeinstellungen)
- Es lässt sich einstellen, dass die Anmeldung nur über HTTPS möglich ist.
- Salzung von Passwörtern: Darüber hinaus werden Passwörter standardmäßig "gesalzen", um sie noch sicherer zu machen.
- Passwortregeln: In der Weblication®-Passwortrichtlinie definieren Sie die Mindestzahl an Zeichen im Passwort, und ob Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen enthalten sein müssen.
- Passwortregeln für öffentliche Benutzer: Die Passwortregeln lassen sich separat auch für öffentliche Benutzer festlegen.
- Sicherheitsstufen: Beim Anlegen der Passwörter erhalten Benutzer genaues Feedback über die Sicherheitsstufe des erstellten Passworts.
- Passwort-Gültigkeit und Änderungsintervalle: Passwörter können mit Gültigkeitsdatum und Änderungsintervall versehen werden, so dass Benutzer diese regelmäßig ändern müssen.
- Benutzer-Sperrung: Sie können aktivieren, dass Logins gesperrt werden können.
- Maximale Anzahl Fehlversuche: Sie können festlegen, wie viele fehlerhafte Login-Versuche erlaubt sind, bevor der Account gesperrt wird.
- Zeitdauer der Sperrung: Sie können die Zeitdauer einer Sperrung festlegen.
- Session-TANs: Sie können Session-TANs nutzen.
- Erweiterter XSS-/CSRF-Schutz
- Login pro Benutzer auf definierte IP-Adressen einschränkbar
Zwei-Faktor-Authentifizierung pro Benutzer einstellbar
Seit Weblication® Version 13 lässt sich pro Benutzer festlegen, dass die Anmeldung
über eine Zwei-Faktor-Authentifizierung erfolgt.
Durch
die Zwei-Faktor-Authentifizierung erhöhen Sie die Zugriffssicherheit
auf Ihr System, da die Anmeldung selbst dann nicht möglich ist, wenn
jemand anderes Ihr Passwort besitzt.
Nach der Passworteingabe erhalten Sie per E-Mail eine TAN zugeschickt, welche Sie in das dann erscheinende Feld eingeben müssen, um die Anmeldung abzuschließen.
- Zwei-Faktor-Authentifizierung pro Benutzer einstellbar und
- Zwei-Faktor-Authentifizierung für spezielle IP-Adressen ausschließen
- Spezielle E-Mail für die TAN-Benachrichtigung, z.B. für Aktivierung eine SMS
Nach x fehlerhaften Anmeldungen 2-Faktor-Authentifizierung erforderlich
Einstellung, dass Anmeldung nur über HTTPS möglich ist
Es lässt sich einstellen, dass die Anmeldung nur über HTTPS möglich ist.
Multi-Faktor-Authentifizierung über mehrere E-Mail-Adressen
Neu bei der Multi-Faktor-Authentifizierung seit Weblication® Version 14 ist, dass für einen Benutzer mehrere E-Mail-Adressen hinterlegt werden können. Damit können Sie beispielsweise einen Administrator-Benutzer registrieren und mehrere Mitarbeiter berechtigen. Nicht berechtigte Mitarbeiter können dann auch bei bekanntem Passwort nicht zugreifen.
Das Login-Formular unterstützt in Verbindung mit Weblication® Version 14 die Multi-Faktor-Authentifizierung über mehrere E-Mail Adressen.
Sicherheitscenter in Weblication®
Sicherheitseinstellungen
In den Systemeinstellungen können Sie festlegen:
- Verdächtige Zugriffe protokollieren
- Offensichtlich bösartige Zugriffe blockieren
- Nach einer Blockierung den Besucher für 1 bis 2 Minuten sperren
- Verdächtige Zugriffe anonym mit dem Sicherheitsserver teilen, damit das System lernt
- Verdächtige Zugriffe im Monitoring markieren
- Server-Sicherheitscheck im Dashboard anzeigen
Integrierte Web Application Firewall wehrt Angriffe ab
Weblication® verfügt über eine integrierte Firewall, die zwischen unverdächtigen, verdächtigen und offensichtlich bösartigen Anfragen unterscheidet. Je nach Einstellung können Anfragen so zugelassen, gemeldet oder gleich blockiert werden.
Ein Nutzer kann außerdem für eine gewisse Zeit gesperrt werden, wenn dieser versucht, das System anzugreifen.
Durch die Möglichkeit, verdächtige Zugriffe mit unserem zentralen Sicherheitsserver anonym zu teilen, sind wir in der Lage, auf neue Bedrohungen mit Updates schnell zu reagieren.
Server-Sicherheitscheck findet Server-Schwachstellen
Nicht selten aber werden von Hackern Sicherheitslücken auf Servern genutzt, die gar nicht mit der darauf laufenden Website und dem genutzten CMS in Zusammenhang stehen. Aus diesem Grund liefern wir für Administratoren den Server-Sicherheitscheck, in dem wir auf häufig gemachte problematische Einstellungen auf Servern aufmerksam machen:
Der Server-Sicherheitscheck zeigt Ihnen wesentliche und sicherheitstechnisch kritische Einstellungen Ihres Systems.
Security-Spider findet Schwachstellen in Websites
Bei der Website-Entwicklung können fatale Fehler gemacht werden, die die Sicherheit der Website gefährden können. Daher gibt es den Security-Spider, der die Website auf Schwachstellen prüft:
Mit dem Security-Spider können Projekte gescannt und z.B. auf XSS-Schwachstellen überprüft werden. Dieses Tool ist besonders zum schnellen Testen eigener Anwendungen im Kundenprojekt interessant, da es eingesetzte Parameter automatisch erkennt und nach Schwachstellen sucht.
Weblics®: Funktionen für mehr Sicherheit
Passwort-Ändern Funktion mit Passwortrichtlinie
Bei Verwendung der
Passwort-Ändern Funktion mit Passwortrichtlinie wird den Benutzern in
Rot angezeigt, welche Regeln der Passwortrichtlinie noch nicht erfüllt
sind.
Über diese Funktion kann ein angemeldeter Benutzer sein Passwort ändern. Das Formular wird nicht angezeigt, wenn eine Benutzer nicht angemeldet ist. Um das Passwort ändern zu können, muss der Benutzer sein bisheriges Passwort korrekt eingeben. Das neue Passwort muss zweimal angegeben werden, damit es wirksam geändert werden kann.
Passwort-Vergessen Funktion mit Passwortrichtlinie
Auch in Formularen können systemweite Passwortrichtlinien bei Eingabe in Eingabefeldern validiert werden.
Über diese Funktion kann ein Benutzer ein neues Passwort anfordern. Das
gewünschte Passwort muss eingetragen und anschließend über eine E-Mail,
die der im Benutzer hinterlegten Adresse zugesandt wird, bestätigt
werden. Das Formular enthält standardmäßig einen Spam-Schutz. Da das
Weblic® über Standard-Logikelemente aufgebaut ist, lässt es sich über den
Struktureditor flexibel anpassen.
Persönliche Daten ändern Formular mit Passwortrichtlinie
Auch in Formularen können systemweite Passwortrichtlinien bei Eingabe in Eingabefeldern validiert werden.
Über dieses Formular kann ein angemeldeter Benutzer seine persönlichen
Daten ändern. Über den Formulareditor und das zugehörige Skript kann ein
Administrator definieren, welche Daten vom Benutzer geändert werden
dürfen. Besonders bei vielen Benutzern kann man mit diesem Weblic viel
Zeit durch die dezentrale Pflege sparen.
Benutzerregistrierung mit Passwortrichtlinie
Auch in der Benutzerregistrierung können systemweite Passwortrichtlinien bei Eingabe in Eingabefeldern validiert werden.
Über dieses Formular können sich Benutzer neu registrieren. Registrieren lassen sich ausschließlich öffentliche Benutzer. Die Registrierung muss auf jeden Fall über eine E-Mail bestätigt werden und enthält einen Spam-Schutz. Standardmäßig ist ein neuer Benutzer von einem eingetragenen Redakteur freizugeben. Eine automatische Freigabe lässt sich einstellen. Zusätzlich lässt sich konfigurieren, ob bei der Registrierung auf ein bestehender Benutzer geprüft werden soll.
Formulare mit Validierung systemweiter Passwortrichtlinien in Eingabefeldern
Auch in Formularen können systemweite Passwortrichtlinien bei Eingabe in Eingabefeldern validiert werden.
Mit diesem Strukturelement kann der Redakteur ein Formular in eine Seite einfügen. Das Formular kann er anschließend vollständig nach individuellen Wünschen oder Vorgaben anpassen. Einfache Kontaktformulare können völlig ohne Programmierung erstellt werden. Alle üblichen Formularelemente werden über den Struktureditor zur Auswahl angeboten. Die erlaubten Eingabemöglichkeiten, wie z.B. Pflichtfelder oder E-Mails, lassen sich ebenso einstellen, wie Initialwerte. Feldbezeichnungen und Meldungen bei Fehleingaben sind frei definierbar. Neben den Feldtypen und Größen können auch weitere Formatierungen pro Feld definiert werden. Die zu versendende E-Mail wird automatisch aus den im Formular verwendeten Felder generiert. Eigene Mail-Formatierungen sind möglich. Neben einer E-Mail können beim Absenden beliebige Aktionen ausgeführt werden, so dass sich Formulare auch zum Aufbau komplexerer Webanwendungen eignen.
Weblication® Funktionen für Entwickler
Weblication®-Framework Funktionen
- wUserData::checkPassword prüft das Passwort eines Benutzers
- wUserData::setPassword setzt das Passwort eines Benutzers
- wUserData::encryptPasswort verschlüsselt ein Passwort (SaltLevel werden berücksichtigt)
- wUserCur::hasPasswordExpired prüft, ob das Benutzerpasswort abgelaufen ist
- wUsers::checkPasswordPolicy prüft, ob das Passwort den globalen Passwortrichtlinien entspricht
Aufruf einer Seite, wenn das Passwort abgelaufen ist:
Über $preVars['urlChangePasswordIfExpired'] lässt sich in der pre.php definieren, welche eigene Seite aufgerufen wird, falls das Passwort eines Benutzers abgelaufen ist.
Weblication® WSL-Tags
-
buttonChangePassword erstellt eine Schaltfläche, um Maske zum Ändern des Passworts aufzurufen
Tag:
<wsl:buttonChangePassword />
Sicherheitsempfehlungen
Sichern Sie auch andere Zugänge zu Ihrem Webserver ab
Sichern Sie selbst auch andere Zugänge zu Ihren Webservern ab:
- Nutzen Sie sichere FTP-Passworte
- Verwenden Sie statt FTP immer sFTP
- Nutzen Sie ausschließlich FTP-Programme, die die Zugangsdaten verschlüsselt verwalten - wie z.B. FlashFXP oder WinSCP.
Sicherheits-Empfehlungen für den Einsatz von PHP
Lesen Sie unsere allgemeinen Empfehlungen zum Thema Sicherheit bei der Konfiguration eines Webservers mit PHP. Besonders erwähnt ist hier die Konfiguration von PHP als CGI-Modul.
Schaden vermeiden: Passwort Policy in Weblication®
Um ein entsprechendes Sicherheitsniveau der Weblication® CMS Anmeldedaten (Benutzername und Passwort) zu gewährleisten, sollten Regeln für die Vergabe und Gültigkeit von Passwörtern festgelegt werden.
Daten sicher übermitteln und austauschen
Cloud- und Share-Funktionen für Ihren WebSpace statt in fremden Clouds
In Weblication® CMS sind Cloud- und Share-Funktion für Ihren Webspace im Funktionsumfang enthalten - und das in jeder CMS Lizenz.
- Sie speichern Ihre Daten sicher in Ihrem eigenen Webspace statt in fremden Cloud-Speichern
- Sie teilen Dokumente und Verzeichnisse
- Sie verwalten Ihre Daten über Smartphones, Tablets und PCs
Verschlüsselter Briefkasten für Ihre Website
Die Eingaben sowie Dateianhänge in bestimmten Web-Formularen werden verschlüsselt auf den
Webserver übertragen und dort verschlüsselt im "Verschlüsselten
Briefkasten" abgelegt.
Der Empfänger erhält eine E-Mail ohne Daten und kann die Inhalte nach Authentifizierung in seinem "Verschlüsselten Briefkasten" abholen.
Zeigen Sie Ihren Website-Besuchern, dass Ihnen der Schutz ihrer Daten wichtig ist und bieten Sie ihnen diesen Service an.
Weblication SEND: Daten verschlüsselt senden und empfangen
Mit Weblication® SEND senden und erhalten Sie vertrauliche Daten automatisch verschlüsselt und sicher, und das ohne Installation
einer Zusatzsoftware bei Sender oder Empfänger - die
Software-Installation erfolgt zentral auf Ihrem Hosting-Paket bzw. Ihrem
Webserver.
Und Sie übertragen damit auch sehr große Dateien, erhalten eine Abrufbestätigung und ein Protokoll.
Spam-Schutz
Neues Captcha für besseren Spam-Schutz
In Weblication® Version 18 gibt es ein neues Captcha für besseren Spam-Schutz. Dabei muss zum Einblenden der Sicherheitsabfrage zunächst auf einen Button geklickt werden.
Spam-Schutz in Mail-Engine über vorgefertigte und eigene Filter
Spam-Schutz in Mail-Engine über vorgefertigte und eigene Filter verfügbar.
Abgefangene Spam-Anfragen sind im Sicherheitscenter sichtbar
Abgefangene Spam-Anfragen werden im Sicherheitscenter gelistet.