Web Application Firewall (WAF)¶
Aktuell nicht verfügbar
Eine integrierte Web Application Firewall (WAF) ist derzeit nicht Bestandteil von enconf Webpanel. Eine frühere ModSecurity/OWASP-CRS-Integration wurde wieder entfernt, weil sie auf realen Servern nicht zuverlässig griff (Pakete nicht sicher installiert, nginx -t konnte brechen, Debians Default blockierte ohnehin nicht) — eine WAF, die nur scheinbar schützt, ist gefährlicher als keine.
Die WAF ist für eine spätere Version geplant (Phase 2). Sie wird erst wieder aktiviert, wenn Installation und Regel-Engine robust und tatsächlich blockierend sind.
Was schützt in der Zwischenzeit?¶
Der Schutz kommt aus mehreren aktiven Schichten — siehe Sicherheit:
| Schicht | Wirkung |
|---|---|
| Linux-User + Pool pro Website | Jede Site läuft mit eigener Identität — kompromittiertes PHP kann keine fremden Sites lesen |
open_basedir + disable_functions |
PHP ist auf den eigenen Docroot eingesperrt, gefährliche Funktionen deaktiviert |
| Nginx Upload-Path-Block | .php in Upload-Verzeichnissen wird nicht ausgeführt (häufigstes WordPress-Hack-Pattern) |
| fail2ban | Brute-Force-Schutz für SSH, FTP, Mail, Panel-Login |
| AppArmor-Profile pro Kunde | Zusätzliche Einsperrung des PHP-FPM (Complain-Mode) |
| Malware-Scanner | Erkennt Schadcode in Kunden-Verzeichnissen |
Für anwendungsspezifische Regeln (z. B. Rate-Limiting einzelner Pfade) kann bis dahin die Firewall bzw. die Nginx-Konfiguration genutzt werden.