Was muss ich noch bei einem Neos Go Live beachten?

Guten Morgen,

ich bin mit meiner Neos Webseite endlich Live gegangen, dabei hab ich mir die Frage gestellt, nach was muss ich denn alles noch schauen damit das alles sicher ist. Also nur auf Neos bezogen.

• Ich hab die Routes auf Neos.Setup deaktiviert, damit niemand mehr darauf zugreifen kann (gibt es auch eine andere Alternative dazu?)
• Die DB kann nur von intern angesprochen werden.
• Natürlich sichere Passwörter usw. fürs Neos Backend.

Aber ist da sonst noch was? Hab ich was vergessen? Oder gibt es da einen “Leitfaden” was man alles noch beachten sollte, was auch Sicherheitsrelevant wäre?

Vielen Dank schon einmal und schönen Freitag

Hallo Manuel,

das klingt doch schon alles ganz gut.
Ein wichtiger Punkt, der mir gerade noch einflällt ist der Production context. Du solltest in deinem Webserver die Environment-Variable FLOW_CONTEXT=Production gesetzt haben. Dann werden auch im Zweifel nur noch allgemeine Fehlermeldungen ohne interne Infos im Browser angezeigt.
(Vielleicht hast du den Context auch schon richtig gesetzt. Schau einfach mal in deine nginx/apache config)

Viele Grüße und ein schönes Wochenende
Niklas

Hallo Niklas,

das habe ich schon gemacht, hab’s leider vergessen dazu zu schreiben.

404 Fehler fange ich auch selber ab und lass diese entsprechend anders anzeigen.

Danke dir ebenso ein schönes Wochenende.

Viele Grüße
Manuel

Hi,

meistens gibt es erstmal nicht so viel zu tun für eine kleine bis mittelgroße Webseite.

Bezüglich Performance kannst du meinen Blogpost überfliegen, ob dir noch etwas fehlt: https://mind-the-seb.de/blog/the-basic-recipe-for-a-fast-neos-cms-website

Was oft vergessen wird ist zu prüfen, ob die Bilder richtig verkleinert & komprimiert werden.

Grüße
Sebastian

Hallo Sebastian,

danke für deine Rückmeldung, ich schau mal rein

Das kann ich noch prüfen, bin mir da nämlich gerade nicht so sicher ob ich das gemacht hab.

Viele Grüße
Manuel