Wenn man nun chatwoot.meineDomain.de aufruft, kommt man sofort zu chatwoot
Deine Thematik irritiert mich ein wenig. Es gab hierzu bereits in der Vergangenheit genau die gleiche Diskussion.
https://www.synology-forum.de/threads/chatwoot-installation.116985/post-1029034
Ich dachte es gab hier eine Erkenntnis. Was ich jetzt lese, muss ich persönlich als Rückschritt titulieren.
Den Wunsch nach einem abweichenden Port für ein Omnichannel / Kundenchat halte ich nämlich nach wie vor für vollkommen Stulle. Der Sicherheitsgewinn ist scheinheilig. Einem "echten" Hacker ist es vollkommen egal, ob du den Dienst über 443 oder 9999 laufen lässt.
Wenn er weiß, dass Chatwoot läuft und dort ein Exploit existiert, wird der Service ohne wenn und aber geknackt. Ein Blick in den Source deiner Homepage genügt, um festzustellen, was da noch so läuft.
Einen Vorteil gibt es, wenn man den Port höherstellt: Ein Portscan dauert unweigerlich längert - dieser wird aber auch nicht durch deine FritzBox verhindert. Den echten Sicherheitsgewinn gibt es in Verbindung mit dem ReverseProxy. Beim Portscan bzw. Zugriff über die IP, gibt sich der Nginx nur als Webserver bzw. als Proxy aus. Was hinter 443 läuft, kann der Scanner nicht erraten. Um eine Vulnerability zu prüfen, bedarf es dann aber zwingend der Domain, die bei "IP basierten Angriff" erstmal nicht vorliegt. Wobei fündige Hacker übergehen könnten, indem man z.B. SSL-Zertifikate durchforstet:
https://www.pentestfactory.de/automatisierte-angriffe-kein-system-bleibt-unberuehrt/
In dem Kontext ist man natürlich mit einem Wildcard gut beraten.
Ich schrieb oben auch noch etwas zum Thema Firewall: Es gibt Unternehmen, bei denen werden abweichende Standardports blockiert. Wenn jemand deine Webseite besucht, führt dies unweigerlich dazu, dass der Chat nicht funktioniert. Ich kenne deine Zielgruppe nicht: Aber für mich wäre das ein KO-Kriterium, wenn ich wirklich Kundensupport interessiert bin.
Kurzum: Ich halte den Betrieb über ReverseProxy in Punkto Usability und Sicherheit nach wie am geeignetsten.
Wenn du dir ins Hemd machst, betreib Chatwoot in einem dedizierten, externen Hosting oder biete klassische Kontaktformulare an. Es gibt auch WhatsApp for Business und Co.
Ersatzweise leg dir eine ordentliche Firewall-Appliance zu, die auch in der Lage ist Vulnerability Scans zu detektieren.
