Synology-Forum.nl

Overige software => Web Station => Topic gestart door: D4nny op 18 juli 2025, 21:14:56

Titel: Web station standaard niet zo veilig ?
Bericht door: D4nny op 18 juli 2025, 21:14:56

Hallo,

vandaag eindelijk aan de migratie begonnen van mijn nas van dsm 6.2 naar dsm 7.2. Ik moet me zeggen, dat viel niet mee. Ook omdat er nogal wat draait op de nas. Ik zal de details achterwege laten.

Maar webstation is geheel op de schop qua configuratie, en geen van mijn aanwezige websites (draaiend op PHP) waren nog te vinden in web station na updates onderweg naar DSM 7.2 . Uiteindelijk na hoop proberen en zoeken de websites weer werkend gekregen. Een PHP error log standaard zou leuk zijn, maar die is echt nergens meer toegankelijk of toegankelijk te krijgen. Van alles geprobeerd. Enfin, door al dat proberen kwam ik wel achter wat "kwalijke" zaken.

- Ik heb het package phpmyadmin geinstalleerd op de NAS. Nu blijkt dat phpmyadmin op _alle_ gehoste websites bereikbaar te zijn via http/https://<domein>/phpmyadmin. Dit vind ik zeer onwenselijk. Wil dit uiteraard zo afgeschermd mogelijk houden van de publieke websites. Is dit eenvoudig aan te passen ?

- Het blijkt, dat als je op ip adres naar je server gaat, https://ip-adres>/ je uitkomt op de /volume1/web folder ... waar voorheen al je websites ook onder stonden ... Je kan dus met https://<ip adres nas>/websitenaam-folder/config/config.php.bak gewoon ophalen, de .htaccess file wordt voor het gemak ook overgeslagen die aanwezig is in de config folder. Ik vond dit toch wel even schrikken.

Mij lijkt het nu dus best practise om je website folders zeker niet meer te plaatsen in de /volume1/web folder. ... .

Was iemand anders hier al tegenaan gelopen ?

Update:
- Ik heb nu een shared fodler web_public aangemaakt, en al mijn sites hieronder in een aparte folder per site geplaatst. Nu zijn deze niet meer via <ip-adres>/foldernaam/ beschikbaar. Stuk veiliger lijkt me.

- phpmyadmin default service heb ik nu op disabled gezet (mag niet deleten), en een nieuwe web portal aangemaakt gebaseerd op hostnaam / poort.

- De php error logs worden mogelijk door een .htaccess overruled die in de website is verwerkt. Kom ik nu pas achter  :o