Weblication® sorgt für Sicherheit

12.07.2018

Die Schäden bei unberechtigtem Fremdzugriff, die durch unsichere Passwörter entstehen, werden meist unterschätzt. Wer glaubt, unberechtigte Zugriffe passieren nur anderen, der irrt.

Das Sicherheitskonzept in Weblication® ist sehr umfangreich. Nachfolgend finden Sie einige Funktionen, die die Sicherheit Ihres Web-Auftritts erhöhen:

  • Passworte: Selbstverständlich müssen Sie sich über Benutzername und Passwort authentifizieren.
  • Verschlüsselung: Passwörter speichert Weblication® verschlüsselt, und auch wir als Hersteller können die Passwörter nicht auslesen.
  • Salzung von Passwörtern: Darüber hinaus werden Passwörter standardmäßig "gesalzen", um sie noch sicherer zu machen.
  • Passwortregeln: In der Weblication®-Passwortrichtlinie definieren Sie die Mindestzahl an Zeichen im Passwort, und ob Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen enthalten sein müssen.
  • Passwortregeln für öffentliche Benutzer: Die Passwortregeln lassen sich separat auch für öffentliche Benutzer festlegen.
  • Sicherheitsstufen: Beim Anlegen der Passwörter erhalten Benutzer genaues Feedback über die Sicherheitsstufe des erstellten Passwortes.
  • Passwort-Gültigkeit und Änderungsintervalle: Passwörter können mit Gültigkeitsdatum und Änderungsintervall versehen werden, so dass Benutzer diese regelmäßig ändern müssen.
  • Benutzer-Sperrung: Sie können aktivieren, dass Logins gesperrt werden können.
  • Maximale Anzahl Fehlversuche: Sie können festlegen, wie viele fehlerhafte Login-Versuche erlaubt sind, bevor der Account gesperrt wird.
  • Zeitdauer der Sperrung: Sie können die Zeitdauer einer Sperrung festlegen.
  • Session-TANs: Sie können Session-TANs nutzen.
  • Eigenen Passwortalgorithmus: Sie können bei Bedarf Ihren eigenen Passwortalgorithmus verwenden.
  • Erweiterter XSS-/CSRF-Schutz
  • Zwei-Faktor-Authentifizierung pro Benutzer einstellbar und
  • Login pro Benutzer auf definierte IP-Adressen einschränkbar
Passwortrichtlinie definieren
Passwortrichtlinie definieren

Zwei-Faktor-Authentifizierung pro Benutzer einstellbar

Ab Weblication® Version 13 lässt sich pro Benutzer festlegen, dass die Anmeldung über eine Zwei-Faktor-Authentifizierung erfolgt.

Durch die Zwei-Faktor-Authentifizierung erhöhen Sie die Zugriffssicherheit auf Ihr System, da die Anmeldung selbst dann nicht möglich ist, wenn jemand anderes Ihr Passwort besitzt.

Nach der Passworteingabe erhalten Sie per E-Mail eine TAN zugeschickt, welche Sie in das dann erscheinende Feld eingeben müssen, um die Anmeldung abzuschließen.

  • Zwei-Faktor-Authentifizierung pro Benutzer einstellbar und
  • Zwei-Faktor-Authentifizierung für spezielle IP-Adressen ausschließen
  • Spezielle E-Mail für die TAN-Benachrichtigung z.B. für Aktivierung eine SMS
Zwei-Faktor-Authentifizierung
Zwei-Faktor-Authentifizierung

Sicherheitseinstellungen

In den Systemeinstellungen können Sie zusätzlich festlegen:

  • Verdächtige Zugriffe protokollieren
  • Offensichtlich bösartige Zugriffe blockieren
  • Verdächtige Zugriffe anonym mit dem Sicherheitsserver teilen, damit das System lernt
  • Verdächtige Zugriffe im Monitoring markieren
  • Einen Server-Sicherheitscheck durchführen und auf Wunsch auch im Dashboard anzeigen
Sicherheitseinstellungen
Sicherheitseinstellungen

Server-Sicherheitscheck

Der Server-Sicherheitscheck zeigt Ihnen wesentliche und sicherheitstechnisch kritische Einstellungen Ihres Systems.

Server-Sicherheitscheck
Server-Sicherheitscheck

Server- und Security-Monitoring zeigt Hacker-Angriffe

Im Server- und Security-Monitoring werden Ihnen auch Hacker-Angriffe gezeigt.

Anzeige von Hacker-Angriffen im Security-Monitoring
Anzeige von Hacker-Angriffen im Security-Monitoring

Schaden vermeiden: Passwort Policy in Weblication®

Um ein entsprechendes Sicherheitsniveau der Weblication® CMS Anmeldedaten (Benutzername und Passwort) zu gewährleisten, sollten Regeln für die Vergabe und Gültigkeit von Passwörtern festgelegt werden.

Weblics®: Funktionen für mehr Sicherheit

Passwort-Ändern Funktion mit Passwortrichtlinie

Bei Verwendung der Passwort-Ändern Funktion mit Passwortrichtlinie wird den Benutzern in Rot angezeigt, welche Regeln der Passwortrichtlinie noch nicht erfüllt sind.

Über diese Funktion kann ein angemeldeter Benutzer sein Passwort ändern. Das Formular wird nicht angezeigt, wenn eine Benutzer nicht angemeldet ist. Um das Passwort ändern zu können, muss der Benutzer sein bisheriges Passwort korrekt eingeben. Das neue Passwort muss zweimal angegeben werden, damit es wirksam geändert werden kann.

Passwort-Ändern-Funktion mit Passwortrichtlinie

Passwort-Vergessen Funktion mit Passwortrichtlinie

Auch in Formularen können systemweite Passwortrichtlinien bei Eingabe in Eingabefeldern validiert werden.

Über diese Funktion kann ein Benutzer ein neues Passwort anfordern. Das gewünschte Passwort muss eingetragen und anschließend über eine E-Mail, die der im Benutzer hinterlegten Adresse zugesandt wird, bestätigt werden. Das Formular enthält standardmäßig einen Spam-Schutz. Da das Weblic® über Standard-Logikelemente aufgebaut ist, lässt es sich über den Struktureditor flexibel anpassen.

Persönliche Daten ändern Formular mit Passwortrichtlinie

Auch in Formularen können systemweite Passwortrichtlinien bei Eingabe in Eingabefeldern validiert werden.

Über dieses Formular kann ein angemeldeter Benutzer seine persönlichen Daten ändern. Über den Formulareditor und das zugehörige Skript kann ein Administrator definieren, welche Daten vom Benutzer geändert werden dürfen. Besonders bei vielen Benutzern kann man mit diesem Weblic viel Zeit durch die dezentrale Pflege sparen.

Benutzerregistrierung mit Passwortrichtlinie

Auch in der Benutzerregistrierung können systemweite Passwortrichtlinien bei Eingabe in Eingabefeldern validiert werden. 

Über dieses Formular können sich Benutzer neu registrieren. Registrieren lassen sich ausschließlich öffentliche Benutzer. Die Registrierung muss auf jeden Fall über eine E-Mail bestätigt werden und enthält einen Spam-Schutz. Standardmäßig ist ein neuer Benutzer von einem eingetragenen Redakteur freizugeben. Eine automatische Freigabe lässt sich einstellen. Zusätzlich lässt sich konfigurieren, ob bei der Registrierung auf ein bestehender Benutzer geprüft werden soll.

Formulare mit Validierung systemweiter Passwortrichtlinien in Eingabefeldern

Auch in Formularen können systemweite Passwortrichtlinien bei Eingabe in Eingabefeldern validiert werden.

Mit diesem Strukturelement kann der Redakteur ein Formular in eine Seite einfügen. Das Formular kann er anschließend vollständig nach individuellen Wünschen oder Vorgaben anpassen. Einfache Kontaktformular können völlig ohne Programmierung erstellt werden. Alle üblichen Formularelemente werden über den Struktureditor zur Auswahl angeboten. Die erlaubten Eingabemöglichkeiten, wie z.B. Pflichtfelder oder E-Mails, lassen sich ebenso einstellen, wie Initialwerte. Feldbezeichnungen und Meldungen bei Fehleingaben sind frei definierbar. Neben den Feldtypen und Größen können auch weitere Formatierungen pro Feld definiert werden. Die zu versendende E-Mail wird automatisch aus den im Formular verwendeten Felder generiert. Eigene Mail-Formatierungen sind möglich. Neben einer E-Mail können beim Absenden beliebige Aktionen ausgeführt werden, so dass sich Formulare auch zum Aufbau komplexerer Webanwendungen eignen.

Weblication®-Framework Funktionen

Aufruf einer Seite, wenn das Passwort abgelaufen ist:

Über $preVars['urlChangePasswordIfExpired'] lässt sich in der pre.php definieren, welche eigene Seite aufgerufen wird, falls das Passwort eines Benutzers abgelaufen ist.

Weblication® WSL-Tags

  • buttonChangePassword erstellt eine Schaltfläche, um Maske zum Ändern des Passwortes aufzurufen

    Tag:
    <wsl:buttonChangePassword />

Sichern Sie auch andere Zugänge zu Ihrem Webserver ab

Sichern Sie selbst auch andere Zugänge zu Ihren Webservern ab:

  • Nutzen Sie sichere FTP-Passworte
  • Verwenden Sie statt FTP immer sFTP
  • Nutzen Sie ausschließlich FTP-Programme, die die Zugangsdaten verschlüsselt verwalten - wie z.B. FlashFXP oder WinSCP.

Sicherheits-Empfehlungen für den Einsatz von PHP

Lesen Sie unsere allgemeinen Empfehlungen zum Thema Sicherheit bei der Konfiguration eines Webservers mit PHP. Besonders erwähnt ist hier die Konfiguration von PHP als CGI-Modul.

Cloud- und Share-Funktionen für Ihren WebSpace statt in fremden Cloud-Speichern

In Weblication® CMS sind Cloud- und Share-Funktion für Ihren Webspace im Funktionsumfang enthalten - und das in jeder CMS Lizenz.

  • Sie speichern Ihre Daten sicher in Ihrem eigenen Webspace statt in fremden Cloud-Speichern
  • Sie teilen Dokumente und Verzeichnisse
  • Sie verwalten Ihre Daten über Smartphones, Tablets und PCs

Infos CLOUD-Funktionen in Ihrem Webspace

Cloud- und Share-Funktionen für Ihren WebSpace statt in fremden Cloud-Speichern
Cloud- und Share-Funktionen für Ihren WebSpace statt in fremden Cloud-Speichern

Verschlüsselter Briefkasten für Ihre Website

Die Eingaben sowie Dateianhänge in bestimmten Web-Formularen werden verschlüsselt auf den Webserver übertragen und dort verschlüsselt im "Verschlüsselten Briefkasten" abgelegt.

Der Empfänger erhält eine E-Mail ohne Daten und kann die Inhalte nach Authentifizierung in seinem "Verschlüsselten Briefkasten" abholen.

Zeigen Sie Ihren Website-Besuchern, dass Ihnen der Schutz ihrer Daten wichtig ist und bieten Sie ihnen diesen Service an.

Infos "Verschlüsselter Briefkasten"

Cloud- und Share-Funktionen für Ihren WebSpace statt in fremden Cloud-Speichern
Cloud- und Share-Funktionen für Ihren WebSpace statt in fremden Cloud-Speichern

Weblication SEND: Daten automatisch verschlüsselt senden und empfangen

Mit Weblication® SEND senden und erhalten Sie vertrauliche Daten automatisch verschlüsselt und sicher, und das ohne Installation einer Zusatzsoftware bei Sender oder Empfänger - die Software-Installation erfolgt zentral auf Ihrem Hosting-Paket bzw. Ihrem Webserver.

Und Sie übertragen damit auch sehr große Dateien, erhalten eine Abrufbestätigung und ein Protokoll.

Infos Weblication SEND

Weblication SEND: Daten automatisch verschlüsselt senden und empfangen
Weblication SEND: Daten automatisch verschlüsselt senden und empfangen