Open Redirect (auch bekannt als nicht validierte Um- und Weiterleitungen) ist eine Sicherheitslücke bei URL-Weiterleitungen. Ein Angreifer kann diese Lücke ausnutzen, um Benutzer von einer vertrauenswürdigen Website auf eine potenziell bösartige Drittanbieter-Website umzuleiten und dabei über einen Phishing-Angriff ihre Anmeldeinformationen zu stehlen. Um sich gegen diese Sicherheitslücke zu schützen, wird empfohlen, Plesk so zu konfigurieren, dass URL-Weiterleitungen nur eingeschränkt möglich sind.

Die Sicherheitslücke entsteht durch den Parameter failure_redirect_url, der verwendet wird, wenn Sie automatisches Anmelden bei Plesk einrichten. Dieser Parameter enthält einen oder mehrere Hostnamen, zu denen ein Benutzer nach einem fehlgeschlagenen Anmeldeversuch oder einer Abmeldung weitergeleitet wird.

Die Sicherheitslücke betrifft alle Plesk Server, unabhängig davon, ob das automatische Anmelden bei Plesk eingerichtet wurde oder nicht. Um gegen dieses Sicherheitsrisiko geschützt zu sein, müssen Sie einen Eintrag zur Datei panel.ini hinzufügen. Der genaue Eintrag hängt davon ob, ob das automatische Anmelden bei Plesk eingerichtet wurde oder nicht.

So schützen Sie Plesk vor Open Redirect, wenn Sie das automatische Anmelden bei Plesk nicht eingerichtet haben:

Fügen Sie die folgenden Zeilen zur Datei panel.ini hinzu:

[security]
trustedRedirectHosts =

Die Zeile trustedRedirectHosts ist leer und keine Hosts wurden festgelegt. So kann Plesk über den Parameter failure_redirect_url keinerlei Weiterleitungen zu anderen Hosts vornehmen.

So schützen Sie Plesk vor Open Redirect, wenn Sie das automatische Anmelden bei Plesk eingerichtet haben:

Fügen Sie nach folgendem Muster einen Eintrag zur Datei panel.ini hinzu:

[security]
trustedRedirectHosts = hostname

Bei hostname handelt es sich um einen vertrauenswürdigen Host, für den URL-Weiterleitungen über den Parameter failure_redirect_url zugelassen werden.

Die Einstellung trustedRedirectHosts akzeptiert einen oder mehrere Hostnamen, wenn sie durch Kommas voneinander abgetrennt und in folgendem Format eingegeben werden:

  • Ein Domainname, wie zum Beispiel beispiel.com
  • Eine IP-Adresse, wie zum Beispiel 10.58.58.100
  • Wildcard-Subdomains, wie zum Beispiel *.beispiel.com

Bemerkung: Verwenden Sie beim Festlegen von Hostnamen in trustedRedirectHosts und failure_redirect_url das Sternchen (*) nur nach oben gezeigtem Muster (*.beispiel.com). Anderenfalls kann das Sicherheitsrisiko für Ihren Server bestehen bleiben. Die Hostnamen beispiel.* oder 203.0.113.* sind beispielsweise nicht sicher, da sie Treffer mit beispiel.bösartigewebsite.com und 203.0.113.bösartigewebsite.com generieren können.

Hier finden Sie ein gültiges Beispiel der Einstellung trustedRedirectHosts in der Datei panel.ini:

[security]
trustedRedirectHosts = example.com,10.58.58.100,*.example.com

Dabei sind beispiel.com, 10.58.58.100, *.beispiel.com Hostnamen, die im Parameter failure_redirect_url verwendet werden.

Bemerkung: Wenn Sie verschiedene Hostnamen in trustedRedirectHosts festlegen, sollten Sie vor oder nach dem Komma (,), das Hostnamen voneinander trennt, kein Leerzeichen ( ) setzen. Anderenfalls wird der Hostname nicht korrekt gehandhabt und die URL-Weiterleitung schlägt fehl.