Webhoster: Sicherheit und Schutz

**Umar** · 28.03.2013, 22:50

Hallo allerseits,

ich suche nach einem guten Webhoster, welcher vor allem auf Sicherheit achtet. Für mich ist es in erster Linie wichtig, dass meine Seite später vor jeglicher Hacker Attacken geschützt ist.

Für mich kommen folgende Webhoster in Frage: 1&1, Strato oder All-Inkl.
Was könnt ihr mir da empfehlen?

Auf was muss ich achten?
- PHP-Einstellung: Muss die Einstellung immer so sein oder nur wenn ich die Seite aktualisiere
- Wie kommuniziert der Server?
- Auf was muss man noch bei der Einstellung achten?

Ich bin mir bewusst, dass es so etwas wie absolute Sicherheit nicht gibt. Meine Daten sind jetzt auch nicht so wichtig. Trotzdem lege ich großen Wert auf Sicherheit und Schutz. Ich hoffe, dass ihr genau sagen könnt, 1. welcher Webhoster gut ist und 2. wie die Einstellung genau aussehen soll. Es darf ruhig aufwendig sein.

**Russe** · 28.03.2013, 23:26

Ganz kurz.

Strato und Contao kann ich nicht empfehlen, dort ist die Anbindung an die DB einfach zu langsam und es gibt je nach Tarif einige Hürden zu überwinden.

All-Inkl kenn ich nicht aus eigener Erfahrung, hier im Forum hört man aber immer wieder dass es gut dort sein soll.

1&1 ist auch gut, je nach Tarif halt.

Aber schau dir doch mal Uberspace an, das finde ich einen echt guten Hoster, und das Team hinten dran versteht wirklich was von der Materie und Sicherheit. Contao flutscht dort auf jeden Fall.
https://uberspace.de/

**joe** · 29.03.2013, 01:22

Ich kann dir weder 1&1, Strato oder All-Inkl. empfehlen.

Gute Erfahrungen habe ich mit Mittwald und Domainfactory gemacht.

Ansonsten kann ich dir auch Timme Hosting empfehlen.

**magicsepp** · 29.03.2013, 07:24

Zitat von Russe

Ganz kurz.

Strato ... Anbindung an die DB einfach zu langsam und es gibt je nach Tarif einige Hürden zu überwinden.

1&1 ist auch gut, je nach Tarif halt.

Das mit der DB bei Strato wurde vor über einem Jahr geändert und geht inzwischen ganz gut, Hürden gibt es bis auf 1-2 Zeilen die in der htaccess eingetragen werden auch keine.
1&1 geht für mich eher nicht da hier der domainhandel (Sedoparking) generell aktiviert ist (muss in der konfig abgeschalten werden) und ein Directory /defaultsite bei kleinen Hosting Paketen generell auf die neue Internetpräsenz hinweisst und damit quasi vorbelegt ist.
DomainFactury hab ich kürzlich auch eingerichtet - da gab es garkeine Probleme und die DB Anbindung und Performence ist dort spürbar hoch.

**Thomas** · 29.03.2013, 09:58

1&1 & Strato - nein
Nur Ärger, mit beiden.

All Inkl. - war mal gut, kann ich nichts mehr zu sagen

NetCup ist für mich noch eine Anlaufstelle.

**andreasisaak** · 29.03.2013, 11:04

DomainFactory!!! Aber in den teuren Paketen

**Kater** · 29.03.2013, 11:38

Was ist an all-inkl nicht mehr gut? Bin nun seit einigen Jahren bei denen (nachdem ich vorher zwei Mal mit kleineren Hostern ordentlich auf die Nase gefallen bin) und kann mich nicht beklagen: Die (seltenen) Downzeiten wegen Wartungsarbeiten werden per Mail angekündigt und dauerten bislang immer erheblich kürzer als angesagt. Mails an die Supportadresse wurden teilweise noch am Sonntagabend beantwortet, in der Regel zu meiner Zufriedenheit (allerdings gibt es Dinge, die sie nicht anbieten, und da ist dann eben nichts zu machen).

Als ich vor ein paar Jahren mal mit einem anderen CMS herumprobiert hatte und das Backend doch ein wenig zäh lief, wurde mir sofort angeboten, die Domain innerhalb einer Nacht auf einen schnelleren Server umzuziehen und alles war daraufhin deutlich fixer.

Und Contao 3 war problemlos zum Laufen zu bringen, ohne Safe Mode Hack. Erweiterungs-Repository und Live Update funktionieren bislang auch ohne Auffälligkeiten. Ich habe daher keinen Grund zu klagen (doch das hatte ich bei den beiden genannten kleinen Hostern auch anfangs nicht, bevor die Probleme dann jeweils richtig heftig wurden...)

**CeeKay** · 29.03.2013, 12:34

uberspace.de ist sehr gut, aber nur wenn du bereit bist dich ein wenig mit der Thematik zu beschäftigen. Ohne Freude am Terminal und entsprechende Grundkenntnisse wirst du dort vermutlich nicht glücklich.
webhostone.de bietet sehr viele Konfigurationsmöglichkeiten, so dass du nicht in irgendwelche Restriktionen rennst. Der Support ist sehr angenehm und dir werden ausreichend aktuelle PHP-Versionen geboten. Wenn du einen "klassischen" Hoster suchst, machst du dort nicht viel falsch (außer du brauchst enorm viel Speicherplatz, dann wird es dort recht teuer).

**besko** · 29.03.2013, 21:23

So wie ich die eigentliche Frage verstanden habe geht es hier um das Thema Sicherheit (dazu wurde leider bisher wenig gesagt) und umar wollte wissen, welche Möglichkeiten es alles gibt, um die Sicherheit der Seite zu erhöhen hinsichtlich Hacker-Angriffen (von meist tausendfach einprasselnden automatisierten Angriffsprogrammen) und wie aufwendig solche Möglichkeiten sind und welche gute Alternativen es bei zu hohem Aufwand gibt.

Ich überlege selber, Contao zu benutzen und mich interessiert dies auch besonders, dewegen möchte ich hier aufsetzen und keine neue Frage stellen. Meine Seite soll im Shared-Webhosting-Bereich erstellt werden, wo u.U. keine nennenswert gesicherte PHP-Umgebungen anzutreffen ist.

Hier ein Link, wo jemand einen Leitfaden gibt, wie eine WordPress Seite vor Hackern "geschützt" wird: http://www.drweb.de/magazin/eine-wor...ekt-absichern/
Gibt es so einen Leitfaden (vielleicht etwas umfangreicher) auch für Conato?

DIE FRAGE IST ALSO, welche Vorkehrungen im Detail mit welchem Aufwand alles getroffen werden können. Und dann können erst die Webhoster verglichen werden, bei wem welche Vorkehrungen zu welchem Preis machbar sind.

Könntet ihr bitte detaillierter und tiefgreifender aus Contao-Sicht darauf eingehen?

Worauf kann man alles aus Sicherheitssicht achten bei der Installation?
Wie wird die Webseite am sichersten aktualisiert? Mit FTP ja nicht.
Wie kann man z.B. mit Hilfe der Konfiguration der PHP-Umgebung (php.ini Zugriff leider nicht bei allen Webhostern möglich) für mehr Sicherheit sorgen? Z.B. wird glaube ich oft folgendes allgemein Empfohlen:
-allow_url_fopen auf OFF setzen
-allow_url_include auf OFF setzen
-disable_functions. Empfohlene Einstellung: escapeshellcmd, exec, ini_restore, passthru, popen, proc_nice, proc_open, shell_exec, system.
-display_errors auf OFF setzen
-open_basedir. Empfohlene Einstellung: Root Verzeichnis der Internetpräsenz
-register_globals auf OFF setzen
-safe_mode Einstellung? Da es glaube ich eh nicht empfohlen wird, hiermit die Sicherheit zu erhöhen und Contao besser ohne dem läuft, sollte es auf OFF gesetzt werden, oder?

Dann stellt sich mir die Frage, ob es aus Sicherheitssicht besser wäre mod_php oder php als cgi (CGI oder FASTCGI) zu verwenden. Und CGI-PHP erlaubt doch den Einsatz der Apache-Erweiterung suexec, wo CGI-Programme in einer geschützten Umgebung ausgeführt werden, oder?

Ein Tip aus dem Web war auch: eine leere index.XXX in jeden einzelnen Ordner abzulegen - vielicht noch mit redirekt auf die Startseite, somit kann man schon nicht mehr einen Ordner gezielt über die Adresszeile ansteuern man landet automatisch auf der leeren Seite, die nix anzeigt.

Ein weiterer Tip: Bei PHP/MySQL sollte man vorzugsweise mit PDO und prepared statements arbeiten. Damit kann man auf einfache und elegante Weise SQL-Injections verhindern.

Ein weiterer Hinweis: Die meisten Webanwendungen mit MySQL-Anbindung legen ihre Datenbankpasswörter im Klartext im Webverzeichnis ab. Im Idealfall sollten diese Dateien nur für den Besitzer lesbar sein, was sich mit den meisten FTP-Programmen über die Dateieigenschaften festlegen lässt.

Ein weiterer Tip war, bei php.ini-Dateien und den Verzeichnissen, in denen sie liegen, die Schreibrechte zu entfernen und mit Hilfe von disabled_functions dafür sorgen, dass PHP-Skripte nicht mit chmod() an den Zugriffsrechten drehen können. Ein gekapertes PHP-Programm könnte die Dateien dann nicht mehr mit eigenen Werten füttern oder löschen und so die Sicherheitsvorkehrungen aushebeln. Allerdings müssen die Schreibrechte etwa zum Einspielen von Updates vorübergehend wieder zurückgedreht werden.

Dann wird z.B. noch erwähnt, dass sich allow_url_fopen = off unter Umständen mit Hilfe sogenannter Streams ("php://input" und "data://") umgehen lässt und lediglich die Suhosin-Erweiterung das unterbinden kann.

Und was ist zu folgenden Leistungen, die von Webhostern angeboten werden, zu sagen? Wichtig oder nicht so wichtig, um Sicherheit zu erhöhen? SSH SFTP, FTPS, POP3s, IMAPs, TLS, SSL

SORRY FÜR DIE LANGE AUSFÜHRUNG, ich hoffe ihr könnt trotzdem detailliert darauf eingehen, DANKE!

**Umar** · 09.04.2013, 05:36

Meine Frage hast du richtig verstanden, besko. Doch leider hat sich meine Frage noch nicht beantwortet. Trotzdem vielen Dank für eure Antworten! Vielleicht kommt noch eine Antwort, die mich weiterbringt.