Sicherheit erhöhen: Webserver Verzeichnisauflistung deaktivieren

29. Januar 2019

weblication cms sicherheit security verzeichnisauflistung directory listing apache webserver

Auf einem Webserver sollte sichergestellt sein, daß eine ungewollte Verzeichnisauflistung nicht möglich ist

In den meisten Fällen sind Apache Webserver von Internet Service Providern (ISP) so eingestellt, daß diese bei Verzeichnisaufruf den Verzeichnisinhalt bei fehlender index-Datei nicht anzeigen.

Weblication® CMS prüft diesen Punkt über den Server-Sicherheitscheck und gibt im negativen Fall eine rote Hinweismeldung aus:

  Verzeichnisauflistung ist aktiv 

Der Server Sicherheitscheck ist z.B. auch im Dashboard mit aufgelistet bzw. direkt über die Serverinformationen erreichbar (am CMS 14.x auch im Sicherheitscenter).

Sofern auf einem Webserver die Verzeichnisauslistung aktiv ist, wenden Sie sich am besten direkt an Ihren Provider, um dies deaktivieren zu lassen.
Andernfalls gibt es auch die Möglichkeit, dies über eine .htaccess Definition deaktiv zu setzen (sofern der Webserver dies erlaubt).

.htaccess Datei mit Deaktivierung der Verzeichnisauflistung über den Apache Webserver

Options -Indexes

Wir empfehlen diese Einstellung zentral für die Domain vorzunehmen bzw. zumindest auf Projektebene!

apache.org: core - Apache HTTP Server Version 2.4
FAQs
Warum sollte die Verzeichnisauflistung auf einem Webserver deaktiviert werden?
Damit eine ungewollte Verzeichnisauflistung nicht möglich ist und potenziell sensible Verzeichnisinhalte bei einem Aufruf ohne passende index-Datei nicht angezeigt werden.
Wie ist die Verzeichnisauflistung in der Regel bei Apache-Servern eines Providers eingestellt?
In vielen Fällen sind Apache Webserver von Internet Service Providern (ISPs) so konfiguriert, dass bei einem Verzeichnisaufruf der Verzeichnisinhalt nicht angezeigt wird, wenn keine index-Datei vorhanden ist.
Wie erkennt Weblication® CMS, ob die Verzeichnisauflistung aktiv ist?
Weblication® CMS prüft diesen Punkt über einen Server-Sicherheitscheck. Wenn die Prüfung negativ ist, erscheint eine rote Hinweismeldung.
Welche Meldung zeigt Weblication® CMS bei aktiver Verzeichnisauflistung an?
Es wird die Meldung angezeigt: "Verzeichnisauflistung ist aktiv".
Wo finde ich den Server-Sicherheitscheck bzw. die Prüfung in der Weblication® Oberfläche?
Der Server-Sicherheitscheck ist z.B. im Dashboard aufgelistet oder direkt über die Serverinformationen erreichbar (im CMS 14.x auch im Sicherheitscenter).
Was soll ich tun, wenn die Verzeichnisauflistung auf dem Webserver aktiv ist?
Wenden Sie sich am besten direkt an Ihren Provider, um die Deaktivierung der Verzeichnisauflistung durchführen zu lassen.
Kann ich die Verzeichnisauflistung auch selbst deaktivieren, wenn der Server dies erlaubt?
Ja. Es gibt die Möglichkeit, die Verzeichnisauflistung über eine .htaccess Definition zu deaktivieren, sofern der Webserver dies erlaubt.
Welche .htaccess Einstellung deaktiviert die Verzeichnisauflistung bei Apache?
Mit der Zeile <code class="codeInline">Options -Indexes</code> wird die Verzeichnisauflistung über den Apache Webserver deaktiviert.
Sollte die .htaccess Einstellung für die Verzeichnisauflistung zentral oder nur lokal gesetzt werden?
Es wird empfohlen, diese Einstellung zentral für die Domain vorzunehmen oder zumindest auf Projektebene.