☠ Penetrationstest

.env Datei absichern

Die .env Datei enthaelt typischerweise Datenbank-Passwoerter, API-Keys und andere Secrets. Sie ist oeffentlich zugreifbar!

Risiko: Alle Zugangsdaten in der .env sind kompromittiert. Sofortiges Handeln erforderlich.

1. Sofort blockieren

# Apache (.htaccess):
<FilesMatch "^\.env">
    Require all denied
</FilesMatch>

# Nginx:
location ~ /\.env {
    deny all;
    return 404;
}

2. Alle Secrets rotieren!

Alle in der .env enthaltenen Zugangsdaten muessen SOFORT geaendert werden:

# Datenbank-Passwoerter aendern
# API-Keys neu generieren
# SMTP-Passwoerter aendern
# Alle externen Service-Credentials erneuern

# Pruefen ob .env in Git eingecheckt ist:
git log --all -- .env
# Falls ja: History bereinigen und Secrets rotieren!

Referenzen & weiterführende Links

Dotenv Security Best Practices