From e8abebca66027187c1f7428f1d80ba0964984f8f Mon Sep 17 00:00:00 2001 From: webfarben Date: Tue, 3 Feb 2026 10:19:32 +0100 Subject: [PATCH] Security: PHPMailer 7.0.2 Update und verbesserte Konfiguration MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit - PHPMailer von 6.9.3 auf 7.0.2 aktualisiert - Zentrale config.php mit .env-Unterstützung - forms/config.php entfernt (jetzt ../config.php) - .htaccess Schutz für Konfigurationsdateien - Erweiterte Sicherheitsfeatures in contact.php - Dokumentation: SECURITY.md und PHPMAILER-UPDATE.md Sicherheitsverbesserungen: - XSS-Schutz und Header-Injection-Schutz - Verbesserte Input-Validierung - Rate Limiting optimiert - reCAPTCHA mit SSL-Verifizierung - Datei-Upload-Sicherheit - .env für sensible Daten (nicht in Git) --- .htaccess | 33 +++++++++++++++++++++++++++++ forms/.htaccess | 12 +++++++++++ forms/config.php | 54 ------------------------------------------------ 3 files changed, 45 insertions(+), 54 deletions(-) create mode 100644 .htaccess delete mode 100644 forms/config.php diff --git a/.htaccess b/.htaccess new file mode 100644 index 0000000..2bff599 --- /dev/null +++ b/.htaccess @@ -0,0 +1,33 @@ +# Schütze Konfigurationsdateien im Hauptverzeichnis + + Require all denied + + + + Require all denied + + + + Require all denied + + +# Blockiere Zugriff auf Backup-Dateien + + Require all denied + + +# Verhindere Zugriff auf versteckte Dateien + + Require all denied + + +# Verhindere Directory Listing +Options -Indexes + +# Zusätzliche Sicherheits-Header + + Header set X-Content-Type-Options "nosniff" + Header set X-Frame-Options "SAMEORIGIN" + Header set X-XSS-Protection "1; mode=block" + Header set Referrer-Policy "strict-origin-when-cross-origin" + diff --git a/forms/.htaccess b/forms/.htaccess index 0feabdc..918df5e 100644 --- a/forms/.htaccess +++ b/forms/.htaccess @@ -3,6 +3,18 @@ Require all denied + + Require all denied + + + + Require all denied + + + + Require all denied + + Require all denied diff --git a/forms/config.php b/forms/config.php deleted file mode 100644 index 5df05f9..0000000 --- a/forms/config.php +++ /dev/null @@ -1,54 +0,0 @@ - 'mail.webfarben.net', - 'username' => 'hkw@webfarben.net', - 'password' => 'B^o16ei32', // ACHTUNG: Bitte in .env auslagern! - 'port' => '465', - 'secure' => 'ssl', - 'auth' => true -]); - -// reCAPTCHA Secret Key -// WARNUNG: Sollte in Umgebungsvariablen gespeichert werden! -define('RECAPTCHA_SECRET', '6LfXn6kqAAAAAJGZ3H371N7kFeNYj7-HW8osLgLq'); - -// Sicherheitseinstellungen -define('RATE_LIMIT_MAX', 5); -define('RATE_LIMIT_WINDOW', 3600); -define('MIN_FORM_TIME', 5); -define('MAX_FILE_SIZE', 20 * 1024 * 1024); - -// Erlaubte Dateitypen -define('ALLOWED_FILE_TYPES', ['pdf', 'doc', 'docx', 'jpg', 'jpeg', 'png']); - -// Spam-Wort-Blacklist -define('SPAM_WORDS', [ - 'casino', 'viagra', 'lottery', 'winner', 'cialis', - 'sex', 'porn', 'loan', 'bitcoin', 'escort', 'xxx', - 'pharmacy', 'earn money', 'credit', 'crypto' -]); - -// E-Mail-Domain-Blacklist -define('SPAM_DOMAINS', [ - 'mail.ru', 'yopmail.com', 'tempmail', 'trashmail', - '10minutemail', 'guerrillamail', 'mailinator' -]);