Shield hängt den Code Ihrer Websites schreibgeschützt auf Linux-Kernel-Ebene ein. Fortress fügt nginx WAF, PHP-Hardening, Echtzeit-Upload-Scanner und Netzwerk-Egress-Kontrolle hinzu. Kein kosmetisches chmod — echter, kernel-erzwungener Schutz.
Der Docroot wird über Docker Bind Mount :ro schreibgeschützt auf Kernel-VFS-Ebene eingehängt. Selbst ein kompromittierter Root im Container kann nicht schreiben.
Docker Bind Mount schreibgeschützt auf VFS-Ebene. Kein chmod, chattr oder PHP-Exploit umgeht das. Strukturelle Schutz, nicht kosmetisch.
WordPress, WooCommerce, Joomla, PrestaShop, Magento, Drupal, Laravel und Custom. Jedes Profil weiß, welche Ordner beschreibbar bleiben sollen (Uploads, Cache, Sessions).
Nur die wirklich nötigen Ordner (wp-content/uploads, Cache, Logs) bleiben beschreibbar. Alles andere — Core, Plugins, Themes — ist unveränderlich.
Zusätzlich zum Kernel-Mount gibt nginx 403 zurück für jede in beschreibbare Zonen hochgeladene .php / .phtml / .phar / .pl / .cgi / .sh / .py. Verteidigung in der Tiefe.
Der Healthcheck-Cron prüft aus dem Container heraus, dass der Docroot noch schreibgeschützt ist. Erkennt sofort jede Mount-Drift.
Schaltfläche in der UI oder shield-enable CLI-Befehl. Aktivierbar bei der Container-Erstellung. Im laufenden Betrieb deaktivierbar ohne Datenverlust.
Per-Regel generiertes nginx WAF, PHP-Hardening, Echtzeit-Upload-Scanner und Netzwerk-Egress-Kontrolle. Schicht für Schicht aktivierbar / deaktivierbar.
SQLi, LFI, XSS, RFI, Scanner, sensible Dateien, PHP-Exec in Upload-Zonen, xmlrpc, Rate-Limit. Aus dem Store generiert, beim reconfigure-domain injiziert.
systemd-Service pro Domain. MIME-Check (libmagic), PHP-Muster, ZipSlip, SVG, PDF, Shannon-Entropie, Pillow-Bildneugenerierung. 7 individuelle Checks.
Chirurgisches disable_functions (exec, system, passthru, ...) + open_basedir + extra-disable / extra-allow pro Domain. Optionaler Strict-Modus für Risikozonen.
3 Modi: permissive (Standard), standard (Blockiert Bind-Shell zu nicht whitelisted IPs), strict (interner DNS + strikte IP-Allowlist). Verhindert Datenexfiltration.
Block xmlrpc.php, Block REST API wenn ungenutzt. Mu-Plugin in wp-content/mu-plugins/ abgelegt für Inline-Schutz.
Die Schaltfläche "WAF testen" startet ein echtes curl mit SQLi-Payload gegen die Domain und prüft, dass nginx 403 zurückgibt. Kontinuierliche Validierung, nicht deklarativ.
Live-Demo: Wir versuchen einen bösartigen PHP-Upload auf einem WordPress, wir schauen Shield + Fortress beim Abwehren zu. Ohne Verpflichtung.
