Sicherheit

Offene Wiki-Installationen können zur Zielscheibe von Spam-Attacken oder anderem Vandalismus werden. Vorbeugen ist besser als aufwändig Spam zu löschen.

Vor und nach der Installation sind folgende Schritte vorzunehmen, um einen Mindestmaß an Sicherheit für deine Installation herzustellen:
grundsätzlich:

• Personalisiere deine Installation ... angefangen von DB-Name, Tabellenpräfix, Wiki Name?, Startseite, .... ohne Bezeichnungen die Bezug zu wackowiki erkennen lassen
• verberge Bezug zu WackoWiki für nichtangemeldete Nutzer (die angemeldenten Benutzer sollten schon wissen, wegen Doku und Entwicklung Erweiterungen etc)

1. wakka.config.php

die Datei wakka.config.php mit chmod 644 schützen

1.1. Berechtigungsklassen

ACL's setzen: “default_write_acl” => "$" ... nur registrierte Benutzer können Seiten ändern

Wichtig: Das Ändern der voreingestellte Werte (Default-Werte) beeinflußt nur neu erstellte Seiten!
Seiten, die erstellt wurden, bevor die voreingestellte Werte geändert wurden, behalten ihre ursprünglichen ACL-Werte! --> siehe Zugriffssteuerung – 3. Voreingestellte Werte

1.2. Kommentare

“default_comment_acl” => "$" ... nur registrierte Benutzer können Kommentare abgeben

1.3. Hochladen von Dateien

“upload” = > “admins”,
– Berechtigung Dateien hochzuladen
“admins” bedeutet nur Administratoren können Dateien hochladen
“0” – bedeutet nicht möglich, “1” – bedeutet jeder registrierte Benutzer kann Dateien hochladen.
– siehe auch Dateien hochladen

“upload_images_only” = > “0”,
– nur Bilder können hochgeladen werden
“1” – ja; “0” – nein

“upload_max_size” = > “100”,
– die maximale Größe (in KB) einer Datei die hochgeladen werden darf

“upload_max_per_user” = > “100”,
– die maximal zulässige Anzahl aller Dateien die pro Nutzer hochgeladen werden darf, (if it is not established, then as much as desired)

“upload_path” = > “files”,
– der Pfad, unter welchem alle hochgeladenen Dateien, die für alle zugänglich sind, abgelegt werden

“upload_path_per_page” = > «files/perpage”,
– der Pfad, für Dateien, die zu einer bestimmten Seite hochgeladen werden und nur von dieser aufgerufen werden können

“upload_banned_exts” = > «php|cgi|js|php|php3|php4|php5|pl|ssi|jsp|phtm|phtml|shtm|shtml|xhtm|xht|asp|aspx|htw|ida|idq|cer|cdx|asa|htr|idc|stm|printer|asax|ascx|ashx|asmx|axd|vdisco|rem|soap|config|cs|csproj|vb|vbproj|webinfo|licx|resx |resources”,
– Dateien mit entsprechender Endung sind vom Hochladen ausgeschlossen

1.4. HTML erlauben

“allow_rawhtml” = > “0”,
– Erlaubt das Verwenden von HTML-Code.
– siehe auch safehtml

1.5. Registrierung von neuen Nutzern

“allow_registration” => “1”,
“1” – jeder kann sich registrieren. Wenn “0”, nur Administratoren können neue Benutzer registrieren / anlegen

vor Installation:

• URL-Rewriting aktivieren
• Bezüge zu wackowiki verbergen / Thema / WackoThemes anpassen -> etwa «Powered by Wacko Wiki R4.2» nur für angemeldete Nutzer anzeigen
  to do: Bsp Theme basteln, beidem für nicht-angemeldete Benutzer kein Bezug zu wackowiki erkennbar ist

2. .htaccess-Datei

3. robots.txt

Werkzeuge
-> Captcha
-> Bad Behavior

4. Aufgaben

Nutzergruppen $wakkaConfig["aliases"]
Verwendungszweck Wiki -> Klassifizierung Modus
{{include page="/Wacko Doc Deutsch / Zugriffssteuerung / Modus"}}
Modi einarbeiten
Modus -> jeweilige Einstellungen
Was umfasst alles den Aspekt der “Sicherheit”? (bitte ergänzen -> was gehört alles ins Blickfeld)

• Inhalt soll nicht
  • von Suchmaschinen erfasst werden
  • von unberechtigten Nutzern eingesehen werden
• Datensicherung
• ...