DokuWiki ist eine Webanwendung und wird häufig auf öffentlichen Servern verwendet, welche über das Internet erreichbar sind. Folglich besteht ein höheres Risiko, einem böswilligen Angreifer ausgesetzt zu sein, als dies vergleichsweise bei lokalen Desktop-Anwendungen der Fall ist.

DokuWiki wurde maßgeblich unter dem Gesichtspunkt der Sicherheit entwickelt. Zwar sind wir im Verhältnis zur Benutzerfreundlichkeit stets um ein Gleichgewicht bemüht. Im Falle mangelnder, zufriedenstellender Kompromisse jedoch, hat die Sicherheit für uns letzten Endes immer die höchste Priorität.

Diese Seite soll dir einen Überblick darüber verschaffen, welche Aspekte es zu beachten gilt, um selbst ein sicheres DokuWiki zu betreiben.

Solltest du auf ein Sicherheitsproblem in DokuWiki stoßen, so bitten wir um eine Benachrichtigung, bevorzugt auf einem der folgenden Wege:

• Sende einen Fehlerbericht
• Sende eine Mail an die Mailingliste

Ausgenommen sind schwerwiegende Fehler, bei denen die Veröffentlichung des Fehlers vor der Veröffentlichung eines Patches die DokuWiki-Installationen weltweit gefährden könnte. In diesem Fall bitten wir um schnellstmöglich Benachrichtigung ausschließlich über

• eine private Mail an andi [at] splitbrain [dot] org

Abhängig vom Schweregrad eines gefundenen Sicherheitsproblems, werden wir es (bei sehr geringfügigen Problemen) in einer zukünftigen Version beheben oder andernfalls eine Bugfix-Version erstellen. In letzterem Fall werden die Benutzer bei Veröffentlichung über den Update-Mechanismus informiert.

Um über Sicherheits-Probleme bezüglich DokuWiki auf dem neusten Stand zu sein abonniere am besten den DokuWiki-Feed (en) vom DokuWiki Projekt auf Freshmeat. Dafür ist allerdings ein Freshmeat-Zugang erforderlich.

Alle vorhergehenden Sicherheitsprobleme können in unserem Bugtracking-System eingesehen werden.

Du solltest auch immer darauf achten, die aktuellste Version von DokuWiki zu verwenden, da für ältere Versionen keine Sicherheitsupdates mehr veröffentlicht werden.

DokuWiki speichert die Konfiguration, als auch die Seiteninhalte in Dateien. Diese Dateien sollten niemals direkt aus dem Internet zugänglich sein. Das Distributions-Tarball enthält eine Reihe von .htaccess-Dateien, mit denen der Apache-Webserver normalerweise angewiesen wird, den Zugriff auf bestimmte Verzeichnisse zu verweigern.

Falls du den Apache-Webserver nicht verwendest bzw. dein Apache-Webserver keine .htaccess-Dateien verwendet, solltest du deine Installation manuell sichern.

Folgende Verzeichnisse sollten nicht über das Internet erreichbar sein:

• data
• conf
• bin
• inc
• vendor

Um zu überprüfen, ob du deine Zugriffsberechtigungen anpassen musst, versuche auf http://yourserver.com/data/pages/wiki/dokuwiki.txt zuzugreifen. Du solltest im Normalfall auf diese Weise keinen Zugriff auf die Datei erhalten.

Bei einer normalen Konfiguration kann jeder das Installationsskript ausführen. Es wäre also empfehlenswert die Zugriffsrechte während der Installation so anzupassen, dass nur Du darauf zugreifen kannst.

Hast du einen Apache Webserver, musst du nur eine Datei .htaccess im DokuWiki-Verzeichnis auf dem Webserver anlegen (falls nicht schon vorhanden) und folgende Zeilen hinzufügen:

Deny from all
Allow from 192.168.1.1

Die IP-Adresse „192.168.1.1“ musst du dann durch die externe (öffentliche) IP-Adresse deines Rechners ersetzen. Deine IP-Adresse kannst du in der Regel recht schnell auf http://checkip.dyndns.org/ herausfinden. Diese unterscheidet sich meistens von deiner internen Adresse, sprich deines Netzwerkinterfaces.

Um die IP-Adresse deiner Netzwerkkarte herauszufinden benutzt du für POSIX-Betriebssysteme(Linux,Unix,…) „ifconfig eth0“ und für Windows „ipconfig /all“ in einer Kommandozeile.

In vielen Situationen kann deine IP-Adresse nicht nur dir zugeordnet sein. Wenn du z.B. einen Router in deinem Netzwerk einsetzt oder einen Proxy verwendest haben mehrere Nutzer gleichzeitig die selbe externe Ip-Adresse! Diese Nutzer könnten somit auch auf das Installationsskript zugreifen.

Nach der Installation und nachdem du die install.php gelöscht hast, musst du diese zwei Zeilen wieder entfernen, damit wieder jeder auf dein Wiki zugreifen kann.

Mit den folgenden Einstellungen (en) sollte man besonders sorgfältig umgehen.