← Alle Guides
☠ Penetrationstest

phpMyAdmin absichern

phpMyAdmin ist oeffentlich erreichbar. Dies ist einer der haeufigsten Angriffsvektoren auf Webserver.
Risiko: Brute-Force auf Datenbank-Login, bekannte phpMyAdmin-Schwachstellen, vollstaendiger Datenbankzugriff bei Erfolg.

Option 1: phpMyAdmin entfernen

Wenn Sie es nicht brauchen:

sudo apt remove phpmyadmin
# Oder Verzeichnis loeschen:
sudo rm -rf /usr/share/phpmyadmin

Option 2: Per .htaccess schuetzen

# /etc/phpmyadmin/apache.conf oder .htaccess:
<Directory /usr/share/phpmyadmin>
    # Nur bestimmte IPs:
    Require ip 1.2.3.4
    Require ip 10.0.0.0/8
    
    # Oder: HTTP-Auth zusaetzlich:
    AuthType Basic
    AuthName "Restricted"
    AuthUserFile /etc/apache2/.htpasswd
    Require valid-user
</Directory>

# .htpasswd erstellen:
sudo htpasswd -c /etc/apache2/.htpasswd admin

Option 3: Auf anderen Port/Pfad verschieben

# Apache Alias aendern:
# /etc/phpmyadmin/apache.conf:
Alias /geheimer-db-pfad-xyz /usr/share/phpmyadmin
# Statt: Alias /phpmyadmin /usr/share/phpmyadmin

sudo systemctl restart apache2

Referenzen & weiterführende Links

phpMyAdmin Security