phpmyadmin von Plesk sicher genug?

[stefkey]

Hallo,

ist eigentlich der phpmyadmin Zugang über Plesk ausreichend abgesichert?

Ich lese viel über "den phpmyadmin zugang über .htaccess absichern, sicheres passwort verwenden, alle sicherheitspatches einspielen..."

Wo finde ich eigentlich das Plesk eigene phpmyadmin?


Grüße und danke,
stefkey

 

[Mr. Modding]

phpMyAdmin ist ein ganz normales PHP script, dass genau so sicher bzw unsicher ist wie andere PHP Scripte, nur dass phpMyAdmin gleich noch passwörter beinhaltet, die zum zum Übernehmen des Servers nützlich sein können.

Man sollte auf JEDEN FALL drauf achten, dass alle sicherheitspatches und Updates eingespielt werden und wurden.

Eine Absicherung über HTACCESS ist auch eine gute methode um leute abzuhalten phpMyAdmin zu missbrauchen. Ich empfehle hierzu sogar die htaccess implementierung in der Vhost datei in deinem Apache!

 

[wstuermer]

Der PMA von Plesk ist doch eh "nur" über Plesk zu erreichen. Wer also den Zugang zum PMA erreicht, hat auch die Logindaten, um sich als 'admin' an deiner DB zu bedienen.

Die weitere Absicherung per .htaccess o.ä. bringt was, wenn du eine weitere PMA-Instanz installierst, damit bspw. deine Kunden direkt darauf zugreifen können, ohne einen Zugang zu deinem Plesk zu erhalten.

 

[ghost1978]

Also ich hab mein Plesk auch mit einer zusätzlichen .htaccess abgesichert.

Es kann immer möglich sein das durch SQL injections mysql passwörter ausgelesen werden können. Und diese dann geknackt werden.

Oder es kommt irgendwann ein exploit für plesk heraus was durchaus nicht auszuschliessen ist.

Deshalb für jede db einen eigenen User anlegen und nicht das Plesk mysql root verwenden, weil das ja gleichzeitig der Login zum Plesk ist. Und das passwort für die .htaccess ausreichend lang machen und mit unix-md5 verschlüsseln, da unix-md5 im gegensatz zum normalen md5 nicht mit Rainbowtables geknackt werden kann.