Wie kann ich meine Konfigurationsdatei .env schützen?
Bitte beachten Sie: Die Informationen in diesem Artikel beziehen sich ausschließlich auf unser Tool ShopSecurity, mit dem Sie Ihre Shop-Installationen hinsichtlich bekannter und potenzieller Sicherheitslücken prüfen können.
Wenn die Konfigurationsdatei Ihres Shopsystems ungeschützt ist, ermöglicht es Angreifern das Eindringen in das System.
- Die Konfigurationsdatei beinhaltet die wesentlichsten Einstellungen, die bereits vor Aufbau der Datenbankverbindung verfügbar sein müssen, darunter auch die Zugangsdaten zur Datenbank sowie die URL des Backends.
- Konfigurationsdaten müssen besonders geschützt werden, wenn sie sich in einem vom Webserver erreichbaren Verzeichnis befinden, wie es bei Shopware 5 der Fall ist.
- Bei einer Composer-Installation von Shopware 5 befindet sich die Konfigurationsdatei unter dem Namen .env im Stammverzeichnis der Installation.
Lösung: Zugriff auf .env unterbinden
Die Konfigurationsdatei muss zwingend am vorgegebenen Ort existieren, daher muss der Zugriff auf die Datei über den Webserver unterbunden werden. Je nach aktivem Webserver kann der Zugriffsschutz folgendermaßen umgesetzt werden:
Beispiel: Apache
Shopware liefert standardmäßig die Datei .htaccess
mit, die den Zugriff auf die .env-
Datei blockiert. Diese Datei hat u. a. den folgenden Inhalt:
# Restrict access to root folder files
RedirectMatch 404 /(autoload\.php|composer\.(json|lock|phar)|README\.md|UPGRADE-(.*)\.md|CONTRIBUTING\.md|eula.*\.txt|\.gitignore|.*\.dist|\.env.*)$
- Vergleichen Sie die Version der
.htaccess
aus einem originalen Installationsarchiv Ihrer Shopware-Version mit der in Ihrer Installation vorhandenen Datei, um alle fehlenden Einträge zu identifizieren. - Übernehmen Sie die neueren und sicherheitsrelevanten Regeln in die
.htaccess
-Datei Ihrer Shop-Installation.
Sie finden die .htaccess-Datei nicht?
Falls Sie in Ihrem Shop-Installationsverzeichnis nirgendwo eine Datei mit Namen .htaccess
sehen, könnte dies an den Einstellungen Ihres FTP-Programms liegen. Da der Dateiname .htaccess
mit einem Punkt beginnt, wird diese Datei nur dann sichtbar, wenn Sie die Anzeige von versteckten Dateien aktiviert haben.
Auch beim Zugriff per SSH müssen Sie die Anzeige von versteckten Dateien aktivieren, beispielsweise in dem Sie zum Befehl ls den Parameter -a mit angeben.
Beispiel: NGINX
Beim Einsatz von NGINX muss der Schutz in die Konfiguration der betroffenen Domain eingebaut werden. Verwenden Sie hierfür unseren – in den NGINX-Regeln integrierten – Anwendungs-Template für Shopware, in die der Schutz der .env
-Datei bereits integriert ist.
Alternativ können Sie über den NGINX-Regeleditor der betroffenen Domain folgende Zeile in die userdefined.conf
hinzufügen:
# Zugriff auf die .env-Datei sperren
location /\.env.* { return 403; }
Weitere Handlungsempfehlungen
- Schützen Sie auch die Verzeichnisse der Versionskontrollsysteme Git und Subversion sowie die MacOS-Dateien
.DS_Store
vor unerlaubtem Zugriff. - Schützen Sie Ordner mit Logdateien (bei Shopware
var/log
) sowie Konfigurationsdateien. Bei der Verwendung von Apache ist dies normalerweise bereits durch die Installation Ihres Shopsystems voreingestellt. - Prüfen Sie beim Einsatz von Apache in einer vorhandenen
.htaccess
-Datei, ob der Zugriff auf entsprechende Verzeichnisse oder Dateien gesperrt wird. Auch in den zu schützenden Verzeichnissen selbst können.htaccess
-Dateien enthalten sein. - Verwenden Sie beim Einsatz von NGINX unsere – in den NGINX-Regeln integrierten – Anwendungs-Templates, welche bereits viele anwendungsspezifische Ordner und Dateien schützen.
Bei Fragen steht Ihnen unser Support telefonisch unter 05251/414130 oder per E-Mail an support@maxcluster.de zur Verfügung.
Veröffentlicht am 05.06.2024