Versionsverwaltung selbstgemacht: Gitlab auf dem eigenen Server

Gitlab hat sich als Open-Source-Alternative zu Diensten wie GitHub oder Bitbucket einen Namen gemacht. Die kostenlose Community Edition der Versionsverwaltungs-Software lässt sich problemlos auf eigener Hardware oder einem virtuellen Server installieren. Heute zeigen wir Ihnen, wie Sie Gitlab auf einem Geekserver installieren und mit einem SSL-Zertifikat von Let’s Encrypt ausstatten.

Gitlab: Versionsverwaltung selbstgemacht

Die Vorbereitungen

Wir installieren die Gitlab Community Edition (Gitlab CE) auf einem Server mit der momentan aktuellen LTS-Version 16.04 der beliebten Linux-Distrution Ubuntu. Gitlab verlangt für den vernünftigen Betrieb eine Maschine mit 4 GB Arbeitsspeicher. Ein Geekserver mit der benötigten Power steht in wenigen Minuten bereit.

Software

Alle benötigten Bestandteile, um Gitlab auf einem eigenen Server zu betreiben, sind als Open-Source-Software verfügbar. Gitlab bietet dazu für verschiedene Linux-Distributionen die sogenannten Omnibus-Pakete an, die praktisch alle benötigten Komponenten enthalten und die sich in wenigen Minuten installieren lassen.

Sicherheit

Eine frische Ubuntu-Installation sollte mit einigen Massnahmen gesichert werden, um ungewollten Zugriff von Dritten zu verhindern. Mit einem unprivilegierten Benutzer, der anstatt root verwendet wird, der einfach zu bedienenden Firewall ufw und dem Deaktivieren von SSH-Logins per Passwort sind die wichtigsten Teile auf Betriebssystem-Seite abgedeckt.

Falls nicht bereits geschehen, geben wir mit sudo ufw allow http und sudo ufw allow https die Ports für HTTP und HTTPS frei, da wir diese später für Gitlab und das Anfordern des SSL-Zertifikats benötigen.

Damit die Kommunikation zur Gitlab-Installation verschlüsselt ist, beziehen wir von der Zertifizierungsstelle Let’s Encrypt ein kostenloses SSL-Zertifikat und binden es in Gitlab ein.

Adresse

Gitlab wird unter einem öffentlich erreichbaren Hostnamen erreichbar sein. Dazu benötigen wir eine Domain bzw. Subdomain, die per DNS-Eintrag auf den Server zeigt. Diesen Schritt führen wir als allererstes durch.

Die Installation

Wir installieren Gitlab auf einem Server mit Ubuntu 16.04 unter der Subdomain gitlab.oliverorange.ch. Ersetzen Sie gitlab.oliverorange.ch in den folgenden Anweisungen jeweils durch die von Ihnen gewählte Domain.

DNS-Zone

Für die neue Subdomain benötigen wir einen DNS-Record, den wir mithilfe des DNS-Editors im my.cyon-Konto unter «Webhosting/Domain» > «DNS verwalten» erstellen können.

DNS-Editor: Neuen A-Record hinzufügen.

DNS-Editor: Neuen A-Record hinzufügen.

Wir geben im Feld «Zone» den kompletten Domainnamen ein und im Feld «Wert» die IP-Adresse unseres Geekservers.

Gitlab installieren

Wir verbinden uns per SSH zu unserem Geekserver und installieren als erstes Abhängigkeiten, die von Gitlab benötigt werden.

sudo apt-get install curl openssh-server ca-certificates postfix

Die Installation von Postfix wird mit einer kleinen Installationsroutine begleitet. Wir wählen dort die Option Internet Site.

Danach fügen wir das Gitlab-Paket der Paketverwaltung hinzu:

curl -sS https://packages.gitlab.com/install/repositories/gitlab/gitlab-ce/script.deb.sh | sudo bash

Und installieren das Paket:
sudo apt-get install gitlab-ce

Zum Schluss konfigurieren wir Gitlab mit folgendem Befehl:
sudo gitlab-ctl reconfigure

Danach ist Gitlab bereits einsatzbereit. Wir müssen lediglich das Administrator-Passwort setzen, was wir denn auch gleich im Browser tun. Wir rufen dazu die vorerst noch unverschlüsselte URL http://gitlab.oliverorange.ch auf und vergeben ein sicheres Passwort.

Gitlab: Issue-Board

Issues in der Board-Ansicht.

SSL-Zertifikat anfordern

Dank Let’s Encrypt können wir für unsere Gitlab-Installation ein kostenloses SSL-Zertifikat ausstellen lassen. Dazu installieren wir den Client namens Certbot auf dem Server (das passende Paket heisst in der Paketverwaltung von Ubuntu 16.04 noch letsencrypt):

sudo apt-get install letsencrypt

Um das gewünschte SSL-Zertifikat für gitlab.oliverorange.ch zu erhalten, müssen wir beweisen können, dass wir die zu sichernde Subdomain kontrollieren. Wir machen uns dabei den nginx-Webserver zu Nutze, den Gitlab für die Ausgabe der Webapplikation verwendet. Wir erstellen dazu als erstes ein Verzeichnis, in welchem der Certbot-Client eine Datei ablegen wird, die unsere Kontrolle von gitlab.oliverorange.ch beweist:
sudo mkdir -p /var/www/letsencrypt

Danach editieren wir die Gitlab-Konfigurationsdatei /etc/gitlab/gitlab.rb mit dem Befehl sudo vim /etc/gitlab/gitlab.rb und fügen im Abschnitt GitLab Nginx folgende Zeile hinzu:

nginx['custom_gitlab_server_config'] = "location ^~ /.well-known { root /var/www/letsencrypt; }"

Die Zeile bewirkt, dass das zuvor erstellte Webverzeichnis von nginx gegen aussen unter der Adresse /.well-know erreichbar gemacht wird. Mit :wq speichern und schliessen wir die Datei in vim. Nun können wir das Zertifikat bei Let’s Encrypt beantragen. Das erreichen wir mit folgendem Befehl:

sudo letsencrypt certonly -a webroot -w /var/www/letsencrypt -d gitlab.oliverorange.ch

-a webroot bewirkt, dass die Authentifizierung bei Let’s Encrypt per Webroot beantragt wird, -w /var/www/letsencrypt teilt dem Certbot-Client mit, auf welches Verzeichnis das Webroot zeigen soll und -d gitlab.oliverorange.ch gibt die zu sichernde Domain an.

Es erscheint ein grafischer Dialog, bei dem wir eine E-Mail-Adresse angeben, an die wir Informationen von der Zertifizierungsstelle erhalten, falls beispielsweise das Zertifikat ablaufen sollte. Ausserdem akzeptieren wir die AGB der Zertifizierungsstelle.

Die erstellten Schlüssel und Zertifikate befinden sich danach im Verzeichnis /etc/letsencrypt/live/gitlab.oliverorange.ch.

SSL-Zertifikat mit Gitlab konfigurieren

Damit das soeben angeforderte SSL-Zertifikat mit Gitlab auch funktioniert, passen wir die Gitlab-Konfiguration entsprechend an. Wir öffnen die Konfigurationsdatei mit sudo vim /etc/gitlab/gitlab.rb und ändern als erstes die Zeile

external_url 'http://gitlab.oliverorange.ch'

zu

external_url 'https://gitlab.oliverorange.ch'

fügen also dem Protokoll einfach ein s hinzu.

Als zweites hinterlegen wir den Pfad zu den Zertifikaten und aktivieren die Weiterleitung von HTTP zu HTTPS. Wir ändern dazu die folgenden drei Zeilen im Abschnitt GitLab Nginx von

# nginx['redirect_http_to_https'] = false
# nginx['ssl_certificate'] = "/etc/gitlab/ssl/#{node['fqdn']}.crt"
# nginx['ssl_certificate_key'] = "/etc/gitlab/ssl/#{node['fqdn']}.key"

zu

nginx['redirect_http_to_https'] = true
nginx['ssl_certificate'] = "/etc/letsencrypt/live/gitlab.oliverorange.ch/fullchain.pem"
nginx['ssl_certificate_key'] = "/etc/letsencrypt/live/gitlab.oliverorange.ch/privkey.pem"

und speichern die Konfiguration mit :wq. Zum Schluss laden wir in Gitlab die neue Konfiguration mit sudo gitlab-ctl reconfigure. Unsere Gitlab-Installation ist nun per HTTPS erreichbar.

SSL-Zertifikat automatisch verlängern lassen

SSL-Zertifikate von Let’s Encrypt sind 90 Tage gültig und müssen daher regelmässig erneuert werden. Die Erneuerung erledigen wir deshalb mit einem Cronjob. Wir legen mit dem Befehl sudo vim /etc/cron.d/letsencrypt eine neue Datei im Verzeichnis /etc/cron.d/ an und fügen den Befehl zur Erneuerung ein:

0 */12 * * * root perl -e 'sleep int(rand(3600))' && letsencrypt renew | tee | grep -q "/etc/letsencrypt/live/gitlab.oliverorange.ch/fullchain.pem (success)" && /usr/bin/gitlab-ctl hup nginx >> /var/log/letsencrypt-renew.log

Da die Certbot-Version in Ubuntu 16.04 die Option --renew-hook noch nicht kennt prüfen wir jeweils die die Rückgabe-Werte von letsencrypt, ob diese den Teil

/etc/letsencrypt/live/gitlab.oliverorange.ch/fullchain.pem (success)

enthalten. Ist das der Fall, wird mit /usr/bin/gitlab-ctl hup nginx nginx neu geladen und mit >> /var/log/letsencrypt-renew.log eine Nachricht im Renew-Log hinterlegt.

Verlosung: 5 x «The Sketch Handbook» zu gewinnen

Das waren noch Zeiten, als das Grafikprogramm Fireworks Mass aller Dinge für die Gestaltung fürs Web war. Lange hat es gedauert, bis das Tool einen, wie wir finden, würdigen Nachfolger erhalten hat. Geliefert hat sie uns die Softwareschmiede Bohemian mit Sketch, das mittlerweile bereits in Version 42 erschienen ist. Wir verlosen 5 Exemplare des Buchs «The Sketch Handbook» aus der Smashing Magazine-Kollektion.

Wir verlosen 5 Exemplare von The Sketch Handbook

Sketch, das Tool für UI-, UX- und Webdesigner

Wer heute fürs Web designt kommt an Sketch nicht vorbei. Das Grafikprogramm hat sich dank vielen praktischen Funktionen zum Liebling von Frontend-Designern gemausert. Falls Sie uns bei Twitter folgen oder unsere Linktipps per E-Mail abonniert haben, werden Sie es möglicherweise bereits bemerkt haben: Wir mögen Sketch. Diese Affinität kommt nicht von ungefähr. Sketch hat in unseren Teams die Adobe-Palette von Grafiktools grösstenteils abgelöst. Sei das für das Design von Interfaces oder das Kreieren von Bildern für Blog und Social-Media.

«The Sketch Handbook»

Das Buch «The Sketch Handbook» aus dem Hause Smashing Magazine bietet sowohl für Sketch-Einsteiger als auch -Kenner wertvollen Lesestoff. Autor Christian Krammer ist ausgewiesener Sketch-Profi und betreibt die Website sketchtips.info auf der er Tipps, Gedanken und Insights zu seiner liebsten Design-App publiziert.

In 12 Kapiteln führt Sie Christian durch alle Aspekte von Sketch: Von Smart-Guides über Ebenenmanipulationen zu responsiven Baseline-Grids und verschachtelten Symbolen. Und das nicht anhand theoretischer Szenarien sondern mit Beispielen aus der realen Welt. Eine grosse Rolle spielen dabei effiziente Workflows. Christian zeigt, wie Sie mit Keyboard-Shortcuts und dem cleveren Nutzen von verfügbaren Funktionen am schnellsten zum gewünschten Resultat kommen.

«The Sketch Handbook» darf in keiner Webdesigner-Sammlung fehlen. Mit ein bisschen Glück schicken wir Ihnen schon bald eines der 5 Exemplare zu. Für jede der folgenden Aufgaben erhalten sie eines oder mehrere Lose und nehmen so an der Verlosung teil:

Verlosung: 5 x 1 Exemplar des Buches «The Sketch Handbook»

Hinweis: Um teilzunehmen, müssen nicht alle Optionen gewählt werden.

Teilnahmebedingungen

  • Verlost wird 5 x 1 Exemplar des Buches «The Sketch Handbook» von Christian Krammer. Eine Barauszahlung des Preises ist ausgeschlossen.
  • Teilnahmeschluss ist der 24.02.2017, 17:00 Uhr.
  • Teilnahmeberechtigt sind alle Personen die das 18. Altersjahr vollendet haben. Mitarbeiter der cyon GmbH sind von der Teilnahme ausgeschlossen.
  • Die Gewinner werden nach Teilnahmeschluss mithilfe von Rafflecopter per Zufallsgenerator bestimmt und per E-Mail informiert.
  • Der Teilnehmer erklärt sich einverstanden, dass sein Name im Fall des Gewinns auf der Website und den Social-Media-Profilen der cyon GmbH veröffentlicht wird.
  • Wir behalten uns vor, die Verlosung jederzeit zu ändern, anzupassen oder zu beenden und Teilnehmer bei Missbrauch nachträglich von der Teilnahme auszuschliessen.
  • Über die Verlosung wird keine Korrespondenz geführt. Der Rechtsweg ist ausgeschlossen.

Browser machen ernst: Warnung vor unsicheren Logins

Der Stein, den die kostenlosen SSL-Zertifikate von Let’s Encrypt ins Rollen gebracht hat, lässt sich nicht mehr stoppen. Verschlüsselte Verbindungen zu Websites werden der neue Standard sein. Mit den neusten Versionen der Browser Firefox und Chrome werden Login- und Kreditkartenformulare als unsicher markiert, wenn diese nicht durch ein SSL-Zertifikat geschützt sind.

Schrittweise Angewöhnung

Konsequenterweise müssten alle Websites, die nicht per HTTPS aufgerufen werden, als unsicher markiert werden. Doch ein Überfluss an Warnungen kann abstumpfen und der gewünschte Effekt verpufft. Deshalb haben sich die Entwickler der beiden Browser für eine schrittweise Angewöhnung der Nutzer an den zukünftigen Normalzustand entschieden.

Unsichere Login-Formulare werden markiert

Zu den Informationen, mit denen Angreifer den grössten Schaden verursachen können, gehören Passwörter und Kreditkarten-Daten. Darum werden ab Chrome 56 und Firefox 51 Websites neu als unsicher eingestuft, wenn sie über unverschlüsseltes HTTP geladen werden und Formularfelder enthalten, in denen Login- oder Kreditkarten-Daten abgefragt werden. Und so sieht das aus:

Warnung vor unsicheren Login-Formularen in Firefox

Warnung vor unsicheren Login-Formularen in Firefox.

Warnung vor unsicheren Login-Formularen in Chrome

Warnung vor unsicheren Login-Formularen in Chrome.

Die Entwickler von Firefox planen zudem, Nutzern direkt in den Formularfeldern eine Warnung anzuzeigen, wenn diese unsicher sind:

Firefox: Geplante Warnung in unsicheren Formularfeldern.

Firefox: Geplante Warnung in unsicheren Formularfeldern.

HTTPS: Schutz vor Manipulation

Dass SSL-verschlüsselte Verbindungen Vertrauen schaffen, von Google bevorzugt werden und Voraussetzung für das schnellere Protokoll HTTP/2 sind, ist bekannt. Ein Aspekt von HTTPS ist bislang jedoch nicht allzu oft beleuchtet worden, verdient aber unbedingt mehr Beachtung: Schutz vor Manipulation.

Websites, die Sie über eine unverschlüsselte Verbindung aufrufen, können prinzipiell auf dem Weg zu Ihnen verändert worden sein. Oder Ihr Internet-Provider lässt zusätzliche Werbung anzeigen.

Schützen Sie Besucher Ihrer Website vor solchen Manipulationen. Dank Let’s Encrypt sind die benötigten SSL-Zertifikate nur noch einen Mausklick entfernt.

WebP: Mehr Speed für Ihre Website dank kleineren Bilddateien

Auch wenn die verfügbaren Bandbreiten von Internetanschlüssen immer grösser werden: Dateigrössen zu optimieren lohnt sich. Je weniger Bits über das Netz verschickt werden müssen, umso besser. Gerade bei Bildern ist oft noch Optimierungspotenzial vorhanden. Das Bildformat WebP soll besser als JPEG und PNG sein. Doch stimmt das wirklich?

WebP: Mehr Speed für Ihre Website dank kleineren Bilddateien

Die Geschichte

WebP wurde 2010 erstmals der Öffentlichkeit vorgestellt und seither konstant weiterentwickelt. Hinter dem Projekt steht Google, das mit dem Videoformat VP8 den Grundstein für das neue Bildformat gelegt hatte.

WebP unterstützt sowohl eine verlustbehaftete (lossy) als auch eine verlustfreie (lossless) Komprimierung und kann für statische und animierte Bilder genutzt werden. Damit kann WebP die drei im Web genutzten Bildformate JPEG, PNG und GIF ersetzen.

Wieviel spart WebP ein?

Google hat im Vergleich zu JPEG im Schnitt 25%-34% kleinere Dateigrössen gemessen. Und das bei gleichem SSIM-Index. Das heisst, die WebP-Bilder verfügen trotz kleinerer Dateigrösse über die gleich wahrgenommene Qualität wie die JPEG-Versionen.

Gegenüber PNGOUT, das PNG-Dateien komprimiert, hatten die Google-Ingenieure Dateigrösseneinsparungen von durchschnittlich 26% gemessen. Vor allem für bildlastige Websites ein schlagendes Argument für WebP. Mit den Tools ImageAlpha und ImageOptim konnten wir in unseren Tests jedoch noch kleinere Dateien im PNG-Format erzeugen, als das mit WebP der Fall war.

Kritik von Experten

Längst nicht alle Experten sind von WebP überzeugt. Kritiker zweifeln den Nutzen des Dateiformats im Alltagsbetrieb an. So sind WebP-Dateien zwar kleiner als Dateien, die ihre älteren Konkurrenzformate produzieren, verbrauchen auf dem Gerät des Betrachters hingegen auch mehr Rechenzeit bei der Darstellung. Unter Umständen schmilzt damit der durch die geringere Dateigrösse erzielte Geschwindigkeitsvorteil dahin.

Ausserdem wird kritisiert, dass mit neueren Algorithmen auch mit JPEG und PNG vergleichbar kleine Dateigrössen möglich sind. Ein weiteres Format sei damit unnötig. Die noch geringe Verbreitung zeigt sich auch im Livebetrieb: Benutzer kennen JPEG und PNG und können die Formate mit all ihren Geräten anzeigen. WebP hingegen wird nur von den Browsern Chrome und Opera ohne Plugins verstanden. Schickt ein Benutzer z.B. ein WebP-Bild per E-Mail an einen Empfänger, kann dieser oft nichts mit der Datei anfangen.

WebP auf der eigenen Website nutzen

Mit wenig Aufwand können Sie den Besuchern, die mit einem WebP-kompatiblen Browser unterwegs sind, die passende Datei anzeigen. So funktioniert’s:

Mit WordPress

Für das beliebteste CMS unserer Kunden stehen zwei Plugins zur Verfügung, mit denen sich mit wenigen Klicks WebP-Support einbauen lässt. Kombinieren Sie das Bildoptimierungsplugin Optimus und das Caching-Plugin Cache Enabler um ganz einfach WebP-Bilder auszuliefern, wenn der Browser Ihres Besuchers das Dateiformat unterstützt.

Übrigens: Wir nutzen Optimus und Cache Enabler in unserem Blog. Wenn Sie diesen Beitrag mit Chrome oder Opera lesen, sind die Bilder im WebP-Format eingebunden.

Mit Joomla

Im Einsatz mit Joomla hilft das Plugin WebP for Joomla. Es konvertiert zum einen Bilder aus den Formaten JPEG und PNG und stellt zum anderen sicher, dass die Dateien nur an Browser ausgeliefert werden, die das Format unterstützen.

Das Plugin setzt für die Umwandlung auf die GD Library, die bei allen von uns angebotenen PHP-Versionen integriert ist und den nötigen WebP-Support mitbringt.

Unterstützung selbst erkennen

Ob Ihre Besucher mit einem Browser unterwegs sind, der WebP unterstützt, können Sie mit einer Rewrite-Regel in der .htaccess-Datei erkennen:

<IfModule mod_rewrite.c>
  RewriteEngine On
  RewriteCond %{HTTP_ACCEPT} image/webp
  RewriteCond %{DOCUMENT_ROOT}/$1.webp -f
  RewriteRule (.+)\.(jpe?g|png)$ $1.webp [T=image/webp,E=accept:1]
</IfModule>

<IfModule mod_headers.c>
  Header append Vary Accept env=REDIRECT_accept
</IfModule>

AddType image/webp .webp

Quelle: Ilya Grigorik

Kann der Browser WebP darstellen, erhält er mit dieser Regel automatisch das Bild mit der passenden Dateiendung. Das bedingt, dass Sie Ihre Bilder zusätzlich im WebP-Format auf dem Server ablegen. Am einfachsten erreichen Sie das mit einem Dienst wie Optimus, der sich über eine API ansprechen lässt und bestehende JPEG- und PNG-Bilder nach WebP konvertiert. Oder Sie konvertieren die Bilder bereits, bevor Sie sie auf den Server laden. Eine ganze Menge von Bildbearbeitungsprogrammen unterstützt WebP übrigens von Haus aus. Darunter Apps wie Sketch, Pixelmator und GIMP. Bringt Ihre favorisierte Software keine native Unterstützung mit, lässt sie sich oft mit einem passenden Plugin erweitern.

Fazit

Die Formate PNG und JPEG mag WebP zwar nicht komplett ersetzen, dazu fehlt die nötige Unterstützung in Browsern wie Firefox, Safari oder IE. Nutzen Sie ein Content-Management-System wie WordPress oder Joomla, genügt aber bereits die Installation eines Plugins um Ihre Website mit WebP auszustatten und je nach Besucher die passende Datei auszuliefern.

Steht für Ihr CMS kein Plugin zur Verfügung oder bauen Sie Ihre Website manuell? Dann ist der Aufwand ein wenig grösser, um WebP in Ihren Workflow einzubauen. Dieser Zusatzaufwand lässt sich jedoch gut automatisieren.

Brute-Force-Attacken: 5 Tipps um dagegen gewappnet zu sein

Mit Brute-Force-Attacken versuchen Angreifer Websites zu kapern. Wir zeigen, was Brute-Force-Attacken genau sind und geben Tipps, wie Sie Ihre Website gegen solche Angriffe schützen.

Brute-Force-Attacken

5 Tipps, um gegen Brute-Force-Attacken gewappnet zu sein.

Was sind Brute-Force-Attacken?

Die Brute-Force-Methode (aus dem Englischen «brute force» = rohe Gewalt) im Kontext von Websites lässt sich einfach definieren: Angreifer versuchen Benutzername-Passwort-Kombinationen zu erraten, um sich Zugriff zur Administrationsoberfläche von Content-Management-Systemen wie WordPress, Joomla oder Drupal zu verschaffen.

Brute-Force-Attacken nehmen meistens Passwortlisten als Grundlage, die immer wieder einmal durchs Netz geistern. Sogenannte Wörterbuchangriffe sind deshalb so verbreitet, weil viele Nutzer schlechte Passwörter hinterlegt haben oder das identische Passwort mit mehreren Diensten nutzen. Werden bei einem dieser Dienste Passwörter entwendet, haben Angreifer leichtes Spiel und können sich auch bei anderen Diensten mit den ergatterten Benutzerdaten einloggen.

Doch keine Sorge: Mit wenig Aufwand schützen Sie sich effektiv davor, dass solche Angriffe auf Ihrer Website Erfolg haben.

5 Ratschläge für den Kampf gegen Brute-Force-Angriffe

Sie ahnen bestimmt schon, was unser erster Tipp ist. Genau:

1. Sichere Passwörter

Das beste Mittel gegen Eindringlinge, die Ihr Passwort erraten wollen, ist ein starkes Passwort. Ein sicheres Passwort

  1. besteht aus mindestens 8 Zeichen,
  2. enthält keine Wörter, die in einem Wörterbuch vorkommen,
  3. enthält keine Zeichenfolgen, die in einem näheren Zusammenhang mit Ihnen stehen (Geburtsdaten, Haustiernamen, etc.),
  4. enthält mindestens eine Zahl, ein Sonderzeichen und besteht aus Gross- und Kleinbuchstaben.
  5. und ganz wichtig: Wird nur mit einem Dienst verwendet.

Am einfachsten verwenden Sie dafür einen Passwortmanager, denn wer kann sich schon viele verschiedene Passwörter merken. Das kann ein lokales Programm wie KeePassX und Password Gorilla oder auch ein Dienst wie 1Password und LastPass sein, wenn Sie die Passwörter auf mehreren Geräten griffbereit haben möchten.

2. Login-Seite zusätzlich absichern

Die Login-Seiten für Content-Management-Systeme sind jeweils unter typischen Adressen erreichbar (das Beispiel WordPress unter /wp-admin). Dieses typische Merkmal machen sich Angreifer zur Nutze und setzen Login-Versuche automatisiert und gezielt auf diese Adressen ab. Versehen Sie die Login-Seite für die Administrationsoberfläche Ihrer Website mit einem zusätzlichen Passwort, benennen Sie die typische Adresse um (in WordPress zum Beispiel mit einem Plugin) oder erlauben Sie den Zugriff zur Login-Seite nur ausgewählten IP-Adressen.

3. Standardbenutzernamen ändern

Oft geben Content-Management-Systeme bei der Einrichtung einen Standardbenutzernamen vor. Im Beispiel WordPress lautet dieser admin. Wählen Sie gleich bei der Einrichtung einen anderen Benutzernamen oder ändern Sie den Namen nachträglich. Mit dieser kleinen Massnahme ist Ihre Website bereits für eine Mehrzahl der Brute-Force-Attacken ausserhalb der Schusslinie.

4. Zwei-Faktor-Authentifizierung einbauen

Bereits Punkt 2 folgt diesem Credo: Mit einem zweiten Schritt, der vor den eigentlichen Anmeldevorgang geschoben wird, sind Brute-Force-Attacken praktisch kein Thema mehr. Erweitern Sie die Login-Seite mit einem Captcha oder, noch besser, mit einer Zwei-Faktor-Authentifizierung (2FA). Damit ist für den erfolgreichen Login ein zusätzliches Element nötig, das in einer entsprechenden Smartphone-App oder per SMS geliefert wird.

5. Zusatzdienste verwenden

Mit den oben genannten Tipps sind Sie bereits ganz gut gegen erfolgreiche Brute-Force-Attacken abgesichert. Brute-Force-Attacken können je nach Grösse Auswirkungen auf die Performance Ihrer Website haben und zu einem regelrechten DDoS-Angriff mutieren. Anfragen der Angreifer fressen dabei die Serverressourcen, die für Anfragen von legitimen Besuchern Ihrer Website fehlen. Hier können Anbieter wie CloudFlare, Sucuri oder Incapsula helfen, die Angriffe bereits abzuwehren, bevor diese überhaupt erst Ihre Website erreichen.

Es kann jeden treffen

Die genannten Tipps helfen Ihnen, sich gegen Brute-Force-Angriffe zu wappnen. Seien Sie sich bewusst: Jede Website kann Ziel eines solchen Angriffs werden. Völlig unabhängig davon, ob die Website viel- oder wenigbesucht ist. Brute-Force-Angriffe verlaufen meistens völlig automatisiert und Angreifer interessiert es nicht, wie beliebt eine Website ist.

Haben Sie zusätzliche Massnahmen im Einsatz, um sich gegen Angriffe zu schützen? Hinterlassen Sie uns Ihre Tipps als Kommentar.

Seite 1 von 10112345...102030...Letzte »