Hallo, mir ist aufgefallen, dass viele Gambio-Shopbetreiber ihren Admin-Login mit keinem .htaccess schützen. Wie erstellt man diesen für den Gambio-Shop? Hat jemand schon so einen Schutz eingerichtet?
Das sollte man nicht tun, du wirst dann Probleme mit dem Shop bekommen. Gambio ist nicht OSCommerce. Ich rate dir ganz empfindlich davon ab.
Ich habe schon leider die Erfahrung machen müssen, dass massiv versucht wurde, meine Website zu hacken. Durch eine .htaccess-Schutz kommen diese erst gar nicht zum Admin-Login. Gibt es denn eine Alternative zum .htaccess-Schutz? Denn ich möchte diesen Login nicht gerne so ''offen'' lassen.
Wichtig ist Sicheres PW für Admin Login und FTP usw. Du könntest beim Admin noch das neue 2-Faktor Auth. aktivieren. Dann brauchst immer den Codegenerator vom Handy
Da mein Shop erst vor ein paar Tagen online ist, hatte ich zum Glück noch keinen Besuch von Hackern. Ich hatte allerdings in der Vergangenheit u.a. bei WordPress das Vergnügen mit Hackern, die in Dauerschleife versucht hatten, den Login zu knacken. Dies muss ich nicht noch einmal erleben und ich finde es schon bedenklich,dass man den Login frei zugänglich lässt. Egal welches Blog- oder Shopsystem: Es wird immer empfohlen, diesen Login per .htaccess zu schützen.
Mach keine htaccess Datei da vor, das ist nicht supported und hat hohes Potenzial Probleme auszulösen. Sicherheit funktioniert bei uns anders.
Hier kannst Gambio vertrauen das der Shop sicher ist wenn du gute und starke Passwörter nutzt. Zusätzlich kannst dir die 2-Wege Auth. aktivieren das über den z.B. Google Codegenerator am Handy einen Zugangscode brauchst. - Dann kommt da so schnell keiner in deinen Shop.
Mal angenommen deine Beführchtungen wären berechtigt, würde aber im Umkehrschluss bedeuten, dass es an dieser Stelle eine große Sicherheitslücke gibt. Eigentlich eher weniger. Wenn dein Passwort 123456 ist, dann würde ich nicht über einen .htaccess-Schutz nachdenken, sondern eher darüber, warum Du kein sicheres Kennwort verwendest!? Immer wenn es um Sicherheit und unerlaubten Zugriff geht, dann solltest Du schauen, sichere Kennwörter zu benutzen. Das betrifft aber alle Systeme, also nicht nur Gambio. Wer sagt das? Sagst Du deiner Bank auch, schütze mein Bankingzugang via .htaccess?
Mir geht es überhaupt nicht um sichere Passwörter, denn das sollte eine Selbstverständlichkeit sein. Ich wähle immer bis zu 45-stellige mit Sonderzeichen usw... Es geht mir um den höchstmöglichen Schutz, da man gegenüber den Kundendaten auch eine große Verantwortung hat. Oder lässt Du deine Haustür auch immer auf, damit die Einbrecher direkt zu Deinem Tresor können? Klar passiert in der Regel nichts, da sie den Schlüssel nicht haben. Aber es ist trotzdem ein sehr bescheidenes Gefühl, wenn man weiß, das da jemand vorsteht. So ist es auch mit einem fehlenden .htaccess-Schutz. Ich möchte Unbefugten gar nicht erst zum Admin-Login lassen. Ebenfalls gibt es nicht mal eine Begrenzung des Logins. Bei WordPress z.B. gibt es ein Plugin, womit die Login-Versuche eingeschränkt werden können (z.B. 3 Versuche). Für mich ist das ein ganz klarer Nachteil am Gambio-Shop, denn den .htaccess-Schutz konnte ich bisher bei allen anderen Shops und Blogs aktivieren.
Dann müssten nach deinem Gusto, alle sensiblen Systeme, wie Banken, nur noch mit einem .htaccess-Schutz ausgeliefert werden. Was Du von den genannten Systemen erwartest, musst Du von den andern erst recht erwarten, sonst wäre es nicht sicher. Das nur dein Denken. Das ist deine persönliche Meinung und sie sei akzeptiert. Einigen wir uns darauf.
Wenn es Dir nur um den "höchstmöglichen Schutz" ginge, dann würdest Du deine Daten auf einem verschlüsselten USB-Stick in einem Bankschließfach verwahren. Es geht Dir tatsächlich darum nicht zur Verantwortung gezogen werden zu können, sollten persönliche Daten aus Deiner Obhut in fremde Hände gelangen und Dir dadurch irgendwelche Schäden enstehen. Ein hataccess-Schutz ist ebenso umgehbar wie jede andere Schutzmaßnahme auch. Sicherheit ist abhängig vom Aufwand den der zu treiben bereit ist, der an die Daten ran will. Noch dazu ist jede Schutzmaßnahme ein potentieller Risikofaktor, der für Fehlfunktionen und mangelnde Usability verantwortlich sein kann. Wenn Gambio sagt dass in diesem Fall ein ht.access Schutz nicht notwendig ist um größtmögliche Sicherheit zu bieten, dann glaube ich das. Und ich bin dankbar dafür dass sie hier nicht detailliert darlegen wie sie das genau machen.
Es geht gar nicht darum, ob man zur Verantwortung gezogen werden kann oder nicht. Ich möchte damit klar machen, dass man als Shopbetreiber sehr sensibel mit fremden Daten umgehen sollte und jeden zusätzlichen Schutz in Anspruch nehmen sollte (wenn machbar). Das hier verwendete Xenforo (die Gambio-Forumsoftware) bietet z.B. auch den .htaccess-Schutz an und kann ganz einfach eingerichtet werden... Schließen wir das Thema ab, da die Meinungen zu diesem Schutz einfach zu unterschiedlich sind
Die größte Schwachstelle eines Shops liegt im PC des Shopbetreibers. in den meisten Fällen wird dort z.B. durch eine Schadsoftware, oder weil die FTP-Passwörter in FileZilla gespeichert werden, die Zugangsdaten abgegriffen. Wordpress wird Weltweit Millionenfach verwendet und ist damit ein sehr beliebtes Ziel für Hacker. Entsprechend viele Einträge hat Google dazu (ca. 222.000.000 Einträge) auch eine .htaccess ist nichts weiter als ein zusätzlicher Passwort-Schutz. Knacke ich ein Passwort, mache ich das auch mit einem 2. Das dauert vielleicht ein bisschen länger, aber wirklich verhindern tut das nichts. Gambio arbeitet zum Teil mit Hackern um das System sicherer zu machen (siehe letztes Sicherheits-Update), die haben da andere Mechanismen im Hintergrund laufen um es hackern schwer zu machen.
Das ist das Problem an dieser Stelle, weil das Verständnis und die Ansichten bezüglich dem Backend unterschiedlich sind. Aber, wenn man mal darüber nachdenkt, was Du sagst, dann müsste man überall da, wo sensible Daten vorhanden sind bzw. diese abgreifbar sind, einen .htaccess-Schutz verpassen. Das ist nicht die Praxis. Ich finde, man sollte ruhig Themen ansprechen, um Meinungen anderer zu hören. Es geht ja nicht um Kritik. Eher darum, um vielleicht auch tatsächliche Probleme zu besprechen, die da sind/wären.
Das falsches Beispiel. Du willst neben dem Schloss noch ne 2. Tür einbauen. Der Adminbereich ist ja gesichert. Zugriffsrechte usw werden auf jeder Seite abgefragt. Wer das PW knackt kommt überall rein. und auch htaccess kann man knacken. Sicherheit funktioniert nicht immer durch Schlösser vor einer Tür. Es gibt mehrere Wege. Und die größte Gefahr ist - Der PC des Admins - Der FTP Zugang - Externe Module die unsicher sind - Unsichere Passwörter beim Admin Kaum ein Eindringling kommt über den Adminbereich / Admin Dateien in den Shop oder in die Systeme. Das sind fast immer Lücken an anderen Stellen wie oben genannt. Der Shop Admin ist bei gutem Passwort schon sehr sicher. Da braucht es keinen extra Schutz. Die anderen Schwachstellen sind da eher betroffen. Und ja wir alle haben Kundendaten und schützen diese. Viele sichern die Datenbank aber nicht mal täglich. Um zur Haustür zurück zu kommen - Hast du daheim dann alle Sicherheitsmasnahmen getroffen die es gibt daheim?? Sicherheitsschloss - Vorhänge Kette an den Türen? Bewegungsmelder - Alarmanlage usw? Falls jemand einbricht bei dir und den PC klaut und die Daten?