Schütze deine Datenbank-Zugangsdaten

Als ich gestern zufällig auf der Seite eines regionalen Sportmarktes herumsurfte, durfte ich wieder mit erschrecken feststellen, wie leicht es für manche Angreifer ist, die Datenbank-Zugangsdaten des Betreibers zu ermitteln.

Die betroffene Seite basierte auf einer typischen Joomala-Installation, die natürlich nicht regelmäßig vom Administrator aktualisiert wurde und so standen dem Angreifer die Türen natürlich extrem weit offen. Ich kann jetzt natürlich nicht sagen, über welche Lücke das System genau gehackt wurde, aber die Tatsache verleitete mich mal wieder dazu, ein wenig über die Sicherheit von easyLink V3 nachzudenken.

Aktuell sind mir persönlich keine Sicherheitslücken in der Software bekannt, aber das bedeutet auf der einen Seite jetzt nicht, dass die Software zu 100% sicher ist und auf der anderen Seite bedeutet es auch nicht, dass es keinen Grund für euch gibt möglichen potenziellen Angreifern das Leben nicht schon im Vorfeld schwerer zu machen.

Eine sehr einfache und besonders effektive Möglichkeit, die Sicherheit der eigenen Installation zu erhöhen, ist das verschieben der Konfigurationsdatei, denn so erschwert Ihr dem Angreifer einen Remotezugriff auf eure Datenbank-Zugangsdaten.

Die Standard-Konfigurationsdatei von easyLink V3 ist wie folgt aufgebaut:

/**
 * DATABASE NAME
 *
 * Das ist der Name der Datenbank, in der Ihre Daten abgelegt werden. Diese Datenbank 
 * muss eventuell durch Ihren Provider erst angelegt werden
 */
define('DB_NAME', 'easylink');

/**
 * DATABASE SERVER NAME 
 * 
 * Dieses ist der Hostname oder die IP Adresse des Datenbankservers. Wenn Sie 
 * sich nicht sicher sind, dann benutzen Sie die Voreinstellung
 */
define('DB_HOST', 'localhost');

/**
 * DATABASE USERNAME & PASSWORD 
 * 
 * Hinterlegen Sie hier Ihren Benutzernamen und das Passwort für den MySQL Zugriff.
 * Diese Daten erhalten Sie bei Ihrem Webhoster
 */
define('DB_USER', 'root');
define('DB_PASSWORD', 'root');

/**
 * TABLE / COOKIE - PREFIX 
 * 
 * Der Tabellen / Cookie - Prefix, der in Ihrer Datenbank benutzt wird. Diesen Prefix, 
 * bitte nur ändern, wenn Sie wirklich wissen, was Sie tun
 */ 
define('TABLE_PREFIX', 'elink3_');
define('COOKIE_PREFIX', 'elink3_');

Kopiert nun einfach diesen Inhalt in eine neue Datei, die Ihr dann beispielsweise unter dem Namen my-config.php auf eurem Server speichert. Wichtig ist dabei nur, dass Ihr die Datei ausserhalb eurer eigentlichen easyLink-Installation ablegt und sofern dieses bei euren Hosting-Paket möglich ist, sogar unterhalb des Domain-Rootordners.

In der ursprünglichen config.php hinterlegt Ihr jetzt noch kurz einen Verweis zur neuen Datei mit dem Namen my-config.php und schon sollte eurer Verzeichnis nicht nur wieder wie gewohnt laufen, sondern der Zugriff auf die eigentliche Konfiguration ist für Angreifer nun nicht mehr ohne weiteres möglich.

include('/home/deinname/my-config.php');

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.