Sicherheitshinweise
Zielgruppe: Technik, Admin
Bitte beachten Sie einige wichtige Hinweise, um sich vor unbefugtem Zugriff auf Ihre Website zu schützen.
Grundsätzlich gilt:
- Arbeiten Sie immer mit der jeweils aktuellen Version der serverseitigen Softwarekomponenten (Apache, PHP, MySQL)
- Der Webserver oder die Datenbank sollte niemals mit Administratoren-Rechten laufen
- Es sollte vielmehr ein Nutzer mit stark eingeschränkten Rechten angelegt werden, bestenfalls ohne Shell-Zugriff
- Sperren Sie unnötige Ports
- Lassen Sie die Datenbank lokal laufen, oder verhindern Sie den externen Zugriff
- Wählen Sie sichere Passwörter mit Zahlen- und Buchstabenkombinationen
- Halten Sie Ihre LiveEngine Installation auf dem neuesten Stand, um von Sicherheitsupdates zu profitieren
Für den Betrieb der LiveEngine Software gilt außerdem:
Sichere Usernamen und Passwörter
Benutzen Sie einen individuellen, fiktiven Username anstelle eines allgemeinen Namens (z.B. 'xy-user' statt 'admin'). Wählen Sie ein Passwort, was nicht im Wörterbuch enthalten ist, um automatisierte Loginversuche zu unterbinden. Auch hier gilt: je länger und kryptischer das Passwort, desto sicherer. Ändern Sie in regelmäßigen Abständen das Passwort.
Richten Sie einen serverseiten Passwortschutz ein
Für den Administrationsbereich macht es Sinn, einen zusätzlichen Passwortschutz per .htaccess Datei einzurichten. Dabei wird der Ordner:
/liveengine/_admin/
gesichert. Beim Zugriff auf die LiveEngine Administration muss sich der Redakteur oder Administrator zuerst dort anmelden: 
Nutzen Sie eine gesicherte Verbindung
Greifen Sie auf den Administrationsbereich per
https://ihre-website/livenengine
zu anstatt mit
http://ihre-website/livenengine
Bei der gesicherten Verbindung (https) werden alle Nutzereingaben verschlüsselt zum Server übertragen. Einfache http-Verbindungen können mit sog. Network-Listener oder TCP-Listener Programmen abgehört werden, so dass potentielle Angreifer leicht den Username und das Passwort herausfinden können.
Das gleiche gilt für die Übertragung von Dateien zu dem Server. Nutzen Sie SSH/SCP/SFTP anstelle von ungesichertem FTP, um das Abhören der Login-Daten zu vermeiden.
