für die Liste aller Seiten
Alle
Diese Seite enthält die Anleitung zum Gebrauch des 'Site Analyzer' und die möglichen Antworten.
Anleitung für Siteadministratoren
- Laden Sie sich das analyze.php-Skript herunter und setzen Sie es in Ihr
cookbook
-Verzeichnis.
- Fügen Sie die folgenden Zeilen in Ihre
local/config.php
-Datei ein, ändern Sie dabei die Variable $AnalyzeKey für den Gebrauch in Ihrer Site.
include_once("$FarmD/cookbook/analyze.php");
$AnalyzeKey = 'secret';
- Füllen Sie das Formular am Beginn der site analyzer-Seite mit dem URL zum Zugriff auf Ihre Site und dem Wert für $AnalyzeKey, wie Sie ihn in der
local/config.php
-Datei gesetzt haben, aus.
- Klicken Sie auf die "Analyze Site"-Schaltfläche.
- Der PmWiki-Server wird Ihre Site kontaktieren und mit Informationen über nützliche Konfigurationsänderungen an Ihrer Site sowie über Schwachstellen, die Sie bedenken sollten, zurückkehren.
Wenn Sie die "Allow pmwiki.org to save a copy of analysis results"-Box abhaken, wird PmWiki eine Kopie des Analyseergebnisses in einem privaten (vom Web aus nicht erreichbaren) Bereich des pmwiki.org
-Servers speichern. Wenn wir Kopien der Analyseergebnisse von vielen Sites haben, hilft uns das, den Analysierer und zukünftige Konfigurationen und Sicherheitsoptionen für die PmWiki-Distribution zu verbessern.
Sie erhalten: 'site configuration ... no connection'
Der Analysierer konnte keine Verbindung zur Website aufbauen. Das kann sein, weil der URL nicht korrekt eingegeben wurde, die Site hinter einer Firewall ist oder sonstwie für den pmwiki.org
-Server unerreichbar ist.
Sie erhalten: 'site configuration ... missing analyzer'
Der Analysierer konnte die Site erreichen, aber die Site hat nicht auf die ?action=analyze
-Anfrage geantwortet. Sie müssten das analyze.php-Skript installieren. Dieses Skript sollte im cookbook/
-Verzeichnis vorhanden sein und aktiviert werden mit
include_once("$FarmD/cookbook/analyze.php");
$AnalyzeKey = 'secret';
Sie erhalten 'site configuration ... no key'
Der Analysierer konnte die Site erreichen, aber die Site hat anscheinend keinen $AnalyzeKey gesetzt.
Sie erhalten 'site configuration ... invalid key'
Der Analysierer erreichte die ?action=analyze
-Anfrage, aber der eingegebene Schlüssel passt nicht zum $AnalyzeKey auf der Site.
Sie erhalten 'site configuration ... update'
Es gibt eine neuere Version des analyze.php-Skripts – Sie könnten es herunterladen und die Analyse neu starten.
$FarmD
register_globals vulnerability ... ok
Ihre Site hat keine Schwachstelle durch die globale Registrierung der $FarmD
-Variablen.
$FarmD
register_globals vulnerability ... vulnerable
Ihre Site scheint durch die globale Registrierung der $FarmD
-Variablen verletzlich zu sein. Diese Verletzlichkeit ist bereits aktiv ausgenutzt worden, deshalb sollten sie einen der folgenden Punkt zum frühest möglichen Zeitpunkt durchführen:
- Upgrade auf eine
PmWiki
-Version von wenigstens 2.1.22 oder größer.
- Schalten Sie
register_globals
in der php.ini
-Datei oder der .htaccess
-Datei ab.
Recipe versions ... ok
Alle Kochbuchrezepte, die hinter diesem URL aktiv sind, scheinen up-to-date zu sein. Hier ist eine Liste:
(:recipetable:)
Recipe versions ... check
Es scheint ein paar neuere Versionen für Kochbuchskripten* zu geben, Hier ist eine Liste:
(:recipetable:)
* Beachten Sie: Nicht alle hier aufgeführten Skripten sind notwendigerweise installiert. Diese Liste enthält alle PHP-Skripten im cookbook
-Verzeichnis, unabhängig davon, ob sie durch die config.php
-Datei eingefügt wurden oder nicht. (PmWiki berichtete über alle Skripten im cookbook
-Verzeichnis, weil sie eventuell bedingt in gewissen Konfigurationen eingefügt werden.)
AuthUser vulnerability ... ok
Ihre Site scheint keine AuthUser-Verletzlichkeit zu haben.
AuthUser vulnerability ... upgrade
Ihre Site hat im Moment keine AuthUser-Verletzlichkeit. Sie werden aber nachdrücklich dazu angehalten, auf die PmWiki-Version 2.2.2 oder später upzugraden, da einige Konfigurationen Ihres Hostserver in der Zukunft zu einem Risiko führen könnten.
AuthUser vulnerability ... probably vulnerable
Ihre Site könnte durch die AuthUser-Verletzlichkeit angreifbar sein, wenn sie auf dem Kernmodul AuthUser für die Benutzer:Passwort-Authentifizierung beruht. Diese Schwachstelle wird bereits aktiv ausgenutzt, deshalb sollten Sie einen der folgenden Punkt zum frühest möglichen Zeitpunkt durchführen:
- Upgrade auf eine PmWiki-Version von mindestens 2.2.2 oder größer.
- Schalten Sie
magic_quotes_gpc
in der php.ini
- oder der .htaccess
-Datei an.
?action=diag ... enabled
Ihre Site läuft mit $EnableDiag
auf 1 gesetzt und Andere sind in der Lage, ?action=diag
auf Ihren Seiten auszuführen und Diagnoseergebnisse über Ihre Site zu erhalten. Während das nicht notwendigerweise ein Übel ist (pmwiki.org tut das), kann es eine Menge Konfigurationsinformationen preisgeben, von denen Sie nicht wollen, dass sie öffentlich zugänglich sind.
Sie könnten die local/config.php
-Datei so ändern, dass Sie $EnableDiag
=0 (PmWikis Standard) haben. Eine nützliche Alternative zum Setzen von $EnableDiag
in der local/config.php
-Datei ist, die Variable in einer seitenweisen Anpassung zu setzen, so dass ?action=diag
nur in dieser Seite ermöglicht wird anstatt auf der ganzen Site.
Um zusätzliche Sicherheit zu schaffen, nutzen Sie
if (CondAuth($pagename, 'edit')) $EnableDiag = 1;
$ScriptUrl
setting ... relative
Ihre Site hat die $ScriptUrl
-Variable auf einen relativen URL gesetzt – z. B. ohne einleitenden http://- oder https://-Präfix. Während das in vielen Situationen zu funktionieren scheint, verlangen manche Webstandards (z. B. web feeds und HTTP-Redirects) die Angabe eines voll-qualifizierten (absoluten) URL. Sie könnten Ihre Einstellung von $ScriptUrl
auf einen absoluten URL an Stelle eines relativen URL verbessern.
Wenn Sie PmWiki relative Links für Ihre internen Seitenverweise benutzen lassen wollen, versuchen Sie die Einstellungen von $EnableLinkPageRelative
.
für die Liste aller Seiten