security.txt ist ein weit verbreiteter Standard für die Meldung von Sicherheitslücken an die Betreiber von Diensten. Das Hauptziel von security.txt ist es, sowohl Ihren Kunden als auch Sicherheitsforschern die Kontaktaufnahme mit Ihnen zu erleichtern, wenn sie eine Schwachstelle in einer Plesk-Domain finden.

Ab der Version 18.0.62 ist Plesk Obsidian vollständig mit dem Standard kompatibel:

  • Die Datei security.txt wird für alle auf einem Plesk-Server gehosteten Domains erstellt.
  • Die Datei security.txt wird in Plesk nach der Erstellung und der Aktivierung der Funktion kontinuierlich aufrechterhalten.
  • In Plesk wird die benutzerdefinierte Datei security.txt einer Domain berücksichtigt und die Sicherheitsrichtlinien aus der Serverdatei werden nie auf die Domain angewendet.
  • Plesk aktualisiert automatisch das Ablaufdatum der Datei.

So können Sie die Anforderungen von security.txt auf Ihrem Plesk-Server einhalten:

  1. Melden Sie sich in Plesk an.

  2. Installieren Sie die Erweiterung „Native security.txt compliance“.

  3. Sobald die Erweiterung installiert ist, klicken Sie auf Öffnen.

  4. Aktivieren Sie das Kontrollkästchen „Enable compliance with the „security.txt“ standard in Plesk“ (Einhaltung mit dem Standard „security.txt“ in Plesk aktivieren).

    image security txt extension

  5. (Optional) Um die von Plesk generierte Standarddatei security.txt zu ändern, aktivieren Sie das Kontrollkästchen „Use the custom security.txt text“ (Benutzerdefinierten security.txt-Text verwenden). Geben Sie dann im Feld „security.txt text“ (security.txt-Text) an, was geändert werden soll. Sie können die Datei auch über die Befehlszeile ändern.

  6. Speichern Sie Ihre Änderungen, indem Sie auf eine der folgenden Optionen klicken:

  • Save (Speichern), um die Konfiguration zu speichern und die Änderungen später manuell anzuwenden. Dies ist zum Beispiel sinnvoll, wenn Sie Ihren Kunden mehr Zeit geben möchten, damit sie ihre Domains an die Änderungen anpassen können, und so mögliche Probleme vermeiden wollen. Sie können den Server manuell rekonfigurieren, indem Sie den folgenden Befehl in der Befehlszeilenschnittstelle ausführen: plesk repair web.
  • Save and Reconfigure (Speichern und neu konfigurieren), wenn Sie die Änderungen übernehmen und den Plesk-Server sofort neu konfigurieren möchten.

Jetzt wird der security.txt-Standard auf Ihrem Plesk-Server eingehalten.

Verwenden des Befehlszeilenprogramms

Sie können das Befehlszeilenprogramm plesk ext security-txt-plesk verwenden, um Ihre security.txt-Konfiguration zu aktualisieren. Das Dienstprogramm akzeptiert die folgenden Befehle:

  • --help: Alle verfügbaren security-txt-plesk-Befehle werden angezeigt.

  • --status: Zeigt an, ob der Plesk-Server die Richtlinien security.txt verwendet. Wenn Sie die Standardrichtlinie security.txt aktiviert haben, wird value: on zurückgegeben. Wenn Sie eine benutzerdefinierte Richtlinie security.txt aktiviert oder einen benutzerdefinierten Dateipfad verwendet haben, wird value: custom zurückgegeben.

  • --enable: Dadurch werden alle Domains auf Ihrem Plesk-Server so konfiguriert, dass sie die Standardrichtlinien security.txt verwenden. So werden alle benutzerdefinierten Dateipfade und die Option „Use the custom security.txt text“ (Benutzerdefinierten security.txt-Text verwenden) im Erweiterungsmenü deaktiviert.

  • --disable: Damit werden alle Domains auf Ihrem Plesk-Server so eingestellt, dass sie alle security.txt-Richtlinien ignorieren.

  • -path: Legt einen neuen Dateipfad für die Datei security.txt fest. Um einen neuen Pfad für eine security.txt-Datei festzulegen, benötigen Sie zunächst eine security.txt-Datei am neuen Speicherort.
    Bemerkung:

    Damit dieser Befehl funktioniert, müssen Sie zunächst die Option „Use the custom security.txt text“ (Benutzerdefinierten security.txt-Text verwenden) im Erweiterungsmenü „Native security.txt compliance“ (Native security.txt-Compliance) aktivieren. Dann müssen Sie den Befehl --reconfigure-all einfügen. Wenn Sie beispielsweise ein benutzerdefiniertes security-Verzeichnis für Ihre security.txt-Datei verwenden möchten, erstellen Sie die neue Datei und das neue Verzeichnis und verwenden Sie dann den folgenden Befehl: plesk ext security-txt-plesk -path /security/security.txt --reconfigure-all.

  • --reconfigure-all: Aktualisiert alle Domains auf dem Plesk-Server, um die neue security.txt-Konfiguration zu verwenden.