Security: PHPMailer 7.0.2 Update und verbesserte Konfiguration

- PHPMailer von 6.9.3 auf 7.0.2 aktualisiert - Zentrale config.php mit .env-Unterstützung - forms/config.php entfernt (jetzt ../config.php) - .htaccess Schutz für Konfigurationsdateien - Erweiterte Sicherheitsfeatures in contact.php - Dokumentation: SECURITY.md und PHPMAILER-UPDATE.md Sicherheitsverbesserungen: - XSS-Schutz und Header-Injection-Schutz - Verbesserte Input-Validierung - Rate Limiting optimiert - reCAPTCHA mit SSL-Verifizierung - Datei-Upload-Sicherheit - .env für sensible Daten (nicht in Git)
2026-02-03 10:19:32 +01:00
parent 52e26e3989
commit e8abebca66
3 changed files with 45 additions and 54 deletions
--- a/.htaccess
+++ b/.htaccess
@@ -0,0 +1,33 @@
+# Schütze Konfigurationsdateien im Hauptverzeichnis
+<Files "config.php">
+    Require all denied
+</Files>
+
+<Files ".env">
+    Require all denied
+</Files>
+
+<Files ".env.*">
+    Require all denied
+</Files>
+
+# Blockiere Zugriff auf Backup-Dateien
+<FilesMatch "\.(bak|backup|old|orig|save)$">
+    Require all denied
+</FilesMatch>
+
+# Verhindere Zugriff auf versteckte Dateien
+<FilesMatch "^\.">
+    Require all denied
+</FilesMatch>
+
+# Verhindere Directory Listing
+Options -Indexes
+
+# Zusätzliche Sicherheits-Header
+<IfModule mod_headers.c>
+    Header set X-Content-Type-Options "nosniff"
+    Header set X-Frame-Options "SAMEORIGIN"
+    Header set X-XSS-Protection "1; mode=block"
+    Header set Referrer-Policy "strict-origin-when-cross-origin"
+</IfModule>