security.txt ist ein weit verbreiteter Standard für die Meldung von Sicherheitslücken an die Betreiber von Diensten. Das Hauptziel von security.txt ist es, sowohl Ihren Kunden als auch Sicherheitsforschern die Kontaktaufnahme mit Ihnen zu erleichtern, wenn sie eine Schwachstelle in einer Plesk-Domain finden.

Ab der Version 18.0.62 ist Plesk Obsidian vollständig mit dem Standard kompatibel:

  • Die Datei security.txt wird für alle auf einem Plesk-Server gehosteten Domains erstellt.
  • Die Datei security.txt wird in Plesk nach der Erstellung und der Aktivierung der Funktion kontinuierlich aufrechterhalten.
  • In Plesk wird die benutzerdefinierte Datei security.txt einer Domain berücksichtigt und die Sicherheitsrichtlinien aus der Serverdatei werden nie auf die Domain angewendet.
  • Plesk aktualisiert automatisch das Ablaufdatum der Datei.

So können Sie die Anforderungen von security.txt auf Ihrem Plesk-Server einhalten:

  1. Melden Sie sich in Plesk an.

  2. Installieren Sie die Erweiterung „Native security.txt compliance“.

  3. Sobald die Erweiterung installiert ist, klicken Sie auf Öffnen.

  4. Aktivieren Sie das Kontrollkästchen „Enable compliance with the „security.txt“ standard in Plesk“ (Einhaltung mit dem Standard „security.txt“ in Plesk aktivieren).

    image security txt extension

  5. (Optional) To modify the default security.txt file generated by Plesk, select the „Use the custom security.txt text“ checkbox, and then specify what needs to be changed in the „Security.txt text“ field that becomes available. You can also change the file from the command line.

  6. Speichern Sie Ihre Änderungen, indem Sie auf eine der folgenden Optionen klicken:

  • Save (Speichern), um die Konfiguration zu speichern und die Änderungen später manuell anzuwenden. Dies ist zum Beispiel sinnvoll, wenn Sie Ihren Kunden mehr Zeit geben möchten, damit sie ihre Domains an die Änderungen anpassen können, und so mögliche Probleme vermeiden wollen. Sie können den Server manuell rekonfigurieren, indem Sie den folgenden Befehl in der Befehlszeilenschnittstelle ausführen: plesk repair web.
  • Save and Reconfigure (Speichern und neu konfigurieren), wenn Sie die Änderungen übernehmen und den Plesk-Server sofort neu konfigurieren möchten.

Now your Plesk server is security.txt-compliant.

Using the Command Line Utility

You can use the plesk ext security-txt-plesk command line utility to update your security.txt configuration. The utility accepts the following commands:

  • --help - This prints all available security-txt-plesk commands.

  • --status - This shows whether the Plesk server uses the security.txt policies. If you have enabled the default security.txt policy, this will return value: on. If you have enabled a custom security.txt policy or used a custom file path, this will return value: custom.

  • --enable - This sets all domains on your Plesk server to use the default security.txt policies. It will disable any custom file paths and the „Use the custom security.txt text“ option in the extension menu.

  • --disable - This sets all domains on your Plesk server to ignore all security.txt policies.

  • -path - This sets a new file path for the security.txt file. To set a new path for a security.txt file, you must first have a security.txt file in the new file location.
    Bemerkung:

    For this command to work, you must first enable the „Use the custom security.txt text“ option in the „Native security.txt compliance“ extension menu. Then, you must include the --reconfigure-all command. For example, to use a custom security directory for your security.txt file, create the new file and directory, then use the following command: plesk ext security-txt-plesk -path /security/security.txt --reconfigure-all.

  • --reconfigure-all - This updates all domains on the Plesk server to use the new security.txt configuration.