Vor kurzem hatte ich einen Beitrag erstellt, der erklärt, wie man HTTPS inklusive Forward Security beim Nginx konfiguriert. Als nun Nachrichten von einer „neuen“ Lücke durch die Medien gingen, die nach Weltuntergang klangen, wie z.B. hier und hier, machte ich mir schon etwas sorgen. Zum Glück waren es nur reißerische Texte, die Klicks generieren sollten.…
Google hat bereits im letzten Jahr verkündet, dass es in Zukunft eine Verschlüsselung per HTTPS als positiven Ranking Faktor berücksichtigen wird. Dies wird damit begründet, dass Sicherheit oberste Priorität habe und man dem User, das beste, also sichere Ergebnis präsentieren möchte. Das bedeutet, dass bei zwei Inhaltlich gleichwertigen Webseiten, diejenige mit HTTPS vor der anderen…
Anscheinend wurden zwei Projekte eingestellt. Zumindest zu dem Zeitpunkt, an dem dieser Artikel geschrieben wurde, gab www.my-webinterface.de einen 403 und www.webinterface-kostenlos.com einen 404 Fehler zurück. Die Inhalte der Domains sind damit faktisch nicht mehr erreichbar. Über die Gründe will ich hier nicht mutmaßen. Was aber klar sein dürfte, ist, dass des einen Leid, des anderen…
Im letzten Schritt sichern wir über den Nginx die Installation weiter ab. Header Sicherheit Mit zusätzlichen Headern, die vom Nginx gesendet werden, kann man manche Angriffsvektoren schließen
| 1 2 3 4 5 6 7 8 9 10 11 12 | # Falls SSL verwendet wird, sollte man diesen Header setzen, damit der Browser beim erneuten Eintippen automatisch auf die geischerte Variante springt. #add_header Strict-Transport-Security "max-age=31536000;"; # https://developer.mozilla.org/en-US/docs/HTTP/X-Frame-Options # Verhindert Click Jacking Angriffe add_header X-Frame-Options SAMEORIGIN; # Verbietet Content Sniffing add_header X-Content-Type-Options nosniff; # Falls ein User aus Versehen, den Schutz bei sich deaktiviert hat, kann man ihn hiermit wieder erzwingen add_header X-XSS-Protection "1; mode=block"; |
Unstimmige Requests blocken
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 | # Andere Request Methods machen bei Wordpress keinen Sinn if ( $request_method !~ ^(GET|HEAD|POST)$ ) { return 404; } # Zugriff auf bestimmte Dateien sperren location ~ /(\.|wp-config.php|liesmich.html|readme.html) { return 404; } # Was nicht PHP ist, verwerfen if ($request_filename ~* \.(aspx|jsp|cgi)$) { return 404; } |
Limit Request Um einen Denial of Service (DOS) zu verhindern, führen wir ein Rate Limiting ein, wie in dem Beitrag Nginx: Denial Of…
Performance Tests ohne Cache Im Folgenden wird ein WordPress Blog ohne jegliche Plugins und Caching getestet. Dies aus dem Grund, weil ich die Performance Unterschiede zwischen PHP-FPM und HHVM darlegen möchte. Dabei ist zu beachten, dass HHVM bereits compilierte Inhalte cacht. Das bedeutet, dass der zweite Testdurchlauf immer deutlich schneller, als der erste sein wird.…
Je nach Typ und Ausrichtung seines Blogs, sollte man nun noch wenige, gut ausgewählte Plugins installieren. Dabei muss man sich bewusst machen, dass jedes Plugin die Ladezeit des Blogs nach oben treiben wird. Manche nur marginal, andere erheblich. Bei der Auswahl sollte man unbedingt darauf achten, wie lange das Plugin schon existiert, wie oft es…
Elasticsearch installieren Für Debian werden fertige Pakete mittels APT angeboten. Die Installation bedarf vierer Schritte
| 1 2 3 4 5 6 | wget -O - http://packages.elasticsearch.org/GPG-KEY-elasticsearch | apt-key add - echo "deb http://packages.elasticsearch.org/elasticsearch/1.2/debian stable main" > /etc/apt/sources.list.d/elasticsearch.list apt-get update apt-get install openjdk-7-jdk elasticsearch update-rc.d elasticsearch defaults 95 10 /etc/init.d/elasticsearch start |
Nach der Installation lauscht Elasticsearch noch auf allen Interfaces. Es reicht eine Erreichbarkeit über den Lokalhost. Deswegen in der Datei /etc/elasticsearch/elasticsearch.yml folgende Einträge vornehmen: network.bind_host: 127.0.0.1 network.publish_host: 127.0.0.1 network.host: 127.0.0.1 http.port: 9200 Fantastic Elasticsearch Damit WordPress mit dem Elasticsearch…
Auch wenn man ein aufgeräumtes Design benutzt, so wird man doch spätestens durch den Einsatz von Addons zusätzliche Stylesheets und Javascripte in seinen WordPress Blog einschleppen. Wenn man schon alles getan hat, um zusätzliche Scripten zu vermeiden, kann man sich daran machen, diese zusammenzufassen und zu komprimieren. Zu diesem Zweck gibt es verschiedene Plugins. Vernünftig…
Alle bisherigen Maßnahmen hatten das Ziel PHP, Datenbank usw. schneller zu machen. Jeden Request PHP, MariaDB/MySQL und Elasticsearch gehen zu lassen ist eine Verschwendung von Ressourcen. Deswegen werden wir nun den Key Value Store Memcached und das Plugin Cachify installieren. Im Anschluss wird Nginx umkonfiguriert, damit er gecachte Inhalte direkt aus dem Memcached Server beziehen…
Nach der Installation des LEMP Stacks wechseln wir auf die SQL Konsole, auf der wir die notwendige Datenbank und Benutzer anlegen. Die Konsole wird aufgerufen mit
| 1 | mysql -u root -p |
Dann die Datenbank und Benutzer anlegen, so wie die Rechte einmal Flushen
| 1 2 3 4 5 6 7 | CREATE DATABASE wordpress; CREATE USER wordpress; GRANT ALL ON wordpress.* TO 'wordpress'@'localhost' IDENTIFIED BY 'db_passwort'; FLUSH PRIVILEGES; |
WordPress installieren Da die Installation von WordPress einfach und ausreichend dokumentiert ist, werde ich nicht…