Zum Inhalt

Web Application Firewall (WAF)

Aktuell nicht verfügbar

Eine integrierte Web Application Firewall (WAF) ist derzeit nicht Bestandteil von enconf Webpanel. Eine frühere ModSecurity/OWASP-CRS-Integration wurde wieder entfernt, weil sie auf realen Servern nicht zuverlässig griff (Pakete nicht sicher installiert, nginx -t konnte brechen, Debians Default blockierte ohnehin nicht) — eine WAF, die nur scheinbar schützt, ist gefährlicher als keine.

Die WAF ist für eine spätere Version geplant (Phase 2). Sie wird erst wieder aktiviert, wenn Installation und Regel-Engine robust und tatsächlich blockierend sind.

Was schützt in der Zwischenzeit?

Der Schutz kommt aus mehreren aktiven Schichten — siehe Sicherheit:

Schicht Wirkung
Linux-User + Pool pro Website Jede Site läuft mit eigener Identität — kompromittiertes PHP kann keine fremden Sites lesen
open_basedir + disable_functions PHP ist auf den eigenen Docroot eingesperrt, gefährliche Funktionen deaktiviert
Nginx Upload-Path-Block .php in Upload-Verzeichnissen wird nicht ausgeführt (häufigstes WordPress-Hack-Pattern)
fail2ban Brute-Force-Schutz für SSH, FTP, Mail, Panel-Login
AppArmor-Profile pro Kunde Zusätzliche Einsperrung des PHP-FPM (Complain-Mode)
Malware-Scanner Erkennt Schadcode in Kunden-Verzeichnissen

Für anwendungsspezifische Regeln (z. B. Rate-Limiting einzelner Pfade) kann bis dahin die Firewall bzw. die Nginx-Konfiguration genutzt werden.