Phpmyadmin: absichern?

[Ogad]

Hallo allerseits!

Mir stellt sich die Frage, ob es sinnvoll wäre, das PHPmyAdmin Verzeichnis mit htaccess abzusichern, da ja immermal wieder ein paar Bots die Folders /phpadmin /phpmyadmin /phpmyadmin203 ,... ausprobieren...
Natürlich ist der phpMyAdmin Login mit einem 20stelligem Passwort geschützt.

Wäre es also sinnvoll, bevor man zum Phpmyadminlogin kommt, eine Passwortabfrage mittels htaccess einzurichten, oder ist das sinnfrei?

Gruß,
Ogad

 

[traced]

Wenn Du das nur für Dich nutzt ist das sicher sinnvoll, und sollte Bots und Bruteforce abhalten, da ja erstmal das PW vom .htaccess geknackt werden muss. Sobald aber Kunden etc darauf Zugriff haben müssen, sehe ich es als zu umständlich, da hier ja verschiedene Zugangsdaten angegeben werden müssen.

lg Basti

 

[Mordor]

Mit Sicherheit bringt dir das noch ein zusetzliches Plus an Sicherheit. Jedoch sollte es eigentlich kein Problem geben, wenn du immer alle Sicherheitspatches einspielst, und ein sicheres Passwort verwendest.

 

[Ogad]

Kunden gibts keine, der vServer ist nur für mich bzw. ich hoste ein paar Seiten von Freunden, bei diesen Seiten übernehme ich aber die ganze Administration.

 

[Lord Gurke]

Dann spricht nix gegen .htaccess.
Zusätzlich kannst du noch das phpmyadmin-Verzeichnis umbenennen, dann scheitern die Bots schon da.

 

[traced]

Fassen wir zusammen:

• Verzeichnis umbenennen
• .htaccess Datei
• aktuelle Sicherheitspatches

Und Du solltest wirklich auf der sicheren Seite sein

lg Basti

 

[Saint2000]

Desweiteren, so habe ich es gemacht, per Apache Conf den Zugang nur über IP Adresse des Servers nicht aber über die Domain sicherstellen und wie schon gesagt, nen ungewöhnlichen Pfad nehmen, wie bei mir /pmA

 

[mainlink]

phpmyadmin nicht per .htaccess zu schützen, ist sehr leichtsinnig; Google gibt da schöne Beispiele her.

Ich schütze phpmyadmin mit .htaccess und benenne das Verzeichnis um. Das sollte genügen.

 

[Lord Gurke]

Ich setze bei mir noch einen drauf und erzwinge durch die .htaccess eine SSL-Gesicherte Verbindung (1024 Bit). Noja, das Zertifikat ist ein selbstsigniertes, aber genausogut wie ein schweineteueres von der Zertifizierungsstelle, schützt meine Zugangsdaten und hält auch Bots ab. Einige sollen wohl keine Möglichkeit haben, gesicherte Verbindungen aufzubauen.