Warum sollte ich vielleicht doch keinen aus dem Internet zugreifbaren Webserver betreiben ...

    Basic Auth über einer .htaccess Datei ist immer eine gute Wahl, schränkt jedoch den Komfort etwas ein.


    Die meisten Bots machen parallel auch gerne Port-Scans
    Hier hatte ich damals mit UFW und fail2ban gearbeitet.
    Port-Scans wurden automatisch blockiert und an AbuseIPDB.com gemeldet.
    Leider finde ich nicht mehr die zuständige Anleitung hierzu.


    Für Wordpress Instanzen empfehle ich zB Wordfence, oder ein anderes Firewall Plugin.
    Dieses kann man auch mittels der .htaccess Datei noch vor dem laden der index.php inkludieren lassen, sodass Wordfence nichts entgeht.


    Für eigens geschriebenen Seiten empfehle ich immer zu überlegen, ob im eigenen Code irgendwas ist, das sich als schwierig gestalten könnte.

    zB Ein (nicht prepared) SQL Statement welches den Nutzernamen aus der Datenbank abruft, stellt eine theoretische Möglichkeit auf eine SQL Injection dar.


    Ansonsten kann man auch versuchen, das System in soweit einzuschränken, dass jeder Prozess und jeder Nutzer wirklich nur darauf Zugriff kriegt,
    wo es auch sein soll.
    www-data darf dann zB nur den einen Ordner aufrufen und einsehen, Programme werden nicht mit root gestartet (sofern möglich) etc.



    Es gibt auch einige Programme welche zB anhand der Logs rausfinden ob es versucht Angriffe gibt.
    Wie diese Programme jedoch heißen, weiß ich leider nicht mehr.




    Wenn es um einen Lokalen Webserver geht, welcher nur für einen selbst erreichbar sein muss,
    empfehle ich die Verwendung eines VPNs (zB über die FRITZ!Box) und die Erreichbarkeit des Webservers nur im Lokalen Netzwerk.




    Managed ist allgemein eine gute Wahl wenn es um die Sicherheit geht.
    Hier hat der Betreiber die Verpflichtung sich um die Sicherheit der Systeme zu kümmern, in den meisten Fällen.

    Man selbst kann sich in Ruhe um sein eigenes Zeug kümmern.

    Wenn es dann jedoch um Extra Wünsche geht, sieht das ganze dann leider wieder anders aus :/

    Quote from KleinDev

    Die meisten Bots machen parallel auch gerne Port-Scans
    Hier hatte ich damals mit UFW und fail2ban gearbeitet.
    Port-Scans wurden automatisch blockiert und an AbuseIPDB.com gemeldet.
    Leider finde ich nicht mehr die zuständige Anleitung hierzu.

    In /etc/fail2ban/jail.conf ist die Option einstellbar, indem man das # vor der Zeile entfernt, dann meldet er auch automatisch zu abuseipdb.com, vorausgesetzt, dass man dort registriert ist und die Zugangskeys hat.

    Code
    # Report ban via abuseipdb.com.
#
# See action.d/abuseipdb.conf for usage example and details.
#
action_abuseipdb = abuseipdb

    Die Details gits hier.