Montag
23. Feb 2009
@ 22:53
Nach zwei Sicherheitsproblemen mit meinem Blog habe ich mir die Zugriffsberechtigungen etwas genauer angeschaut. Bei früheren Updates hatte ich immer wieder Probleme den vollen Funktionsumfang von WordPress nutzen zu können, weil gewisse Ordner nicht über die nötigen Zugriffsrechte verfügten. Die Versuchung ist gross einfach mal alles auf 777 zu setzen, was aber Hacker geradezu einlädt. Wer mit den Zahlen oder dem Begriff CHMOD nichts anfangen kann, der lese hier nach – dort gibt es auch einen CHMOD Rechner.
Eine Recherche im Internet ergibt ein unklares Bild. Es scheint, dass je nach WordPress Version, Plugins und Server-Konfiguration die Werte anders sind. Ziemlich klar ist mir der Zusammenhang zwischen Bequemlichkeit und Sicherheit. Will ich Themes und PlugIns aus WordPress heraus editieren, muss ich natürlich auch entsprechende Rechte setzen. Mehr darüber liest man bei WordPress. Damit ich meine Konfiguration für die Zukunft weiss, schreibe ich es mal auf:
- 755 für Ordner
- 755 für den wp-content Ordner (habe ich belassen, dafür kann ich das Theme nicht mehr aus WordPress heraus editieren)
- 777 für den Bilderordner (da sonst der Bilderupload aus WordPress heraus nicht funktioniert)
- 644 für Dateien
Dann gibt es noch Spezialprobleme. Dank der Lösung von LastManStanding kann man WordPress und die Plugins automatisch updaten ohne alle Rechte auf 777 zu setzen.
1. Schritt: folgende Zeilen in die config.php reinschreiben
putenv('TMPDIR=/der komplette Server Pfad/wp-content/tmp');
define('WP_TEMP_DIR', ABSPATH . 'wp-content/tmp');
2. Schritt im Ordner ‘wp-content’ einen Ordner ‘tmp’ mit den Rechten 777 erstellen, fertig
Wer das Plugin Google XML Sitemaps braucht, muss zwei leere Files mit den Namen “sitemap.xml” und “sitemap.xml.gz” per FTP in den root Ordner des Blogs laden und diese mit den Rechten 777 (Update 25.02.10 -> 666 ist besser) versehen. Danach kann das Plugin die Dateien selber überschreiben.
So, soviel zu den Benutzerrechten. Nun hoffe ich, dass mein Blog wieder mindestens ein Jahr von Attacken verschont bleibt. 
Was ich jetzt noch zum Laufen bringen muss, wäre der Flash-Uploader für die Bilder. Leider war bisher alles erfolglos.
Weitere ähnliche Beiträge:
3 Kommentare
Kommentar veröffentlichen
Trackbacks und Pingbacks
-
Pingback von Google XML Sitemap unter Wordpress am 25. Februar 2010 um 10:39 :
[...] Am allerbesten ist aber, man benutzt WordPress und darunter das passende Plugin ‘Google XML Sitemaps‘ von Arne Brachhold. Mit dem Plugin hat man nicht nur das Problem der Bekanntmachung weg, sondern auch das (m.E. weit größere) der Erstellung. Statt jeden Link einzeln abzutippen bzw. zu kopieren und in die XML-Datei einzufügen, generiert das Plugin die Map vollautomatisch. Damit es reibungslos klappt, müssen zwei (leere) Dateien im Root des Blogs abgelegt werden – wie oben beschrieben sitemap.xml und sitemap.xml.gz. Diese zwei Dateien werden via FTP mit den Rechten 666 belegt (chmod), damit sie vom Plugin geändert werden dürfen. Wer den Fürst der Finsternis verärgern und Scriptkiddies erfreuen will, kann sie statt 666 auch auf 777 setzen, wobei ich bei den Scriptkiddies nicht sicher bin – kann da etwas passieren, wenn man eine XML-Datei auch mit 7 = ausführen berechtigt? Da muss ich mich wohl mal genauer belesen. [...]
Frosch schrieb am 18. Mai 2009 um 23:46 :
Das werde ich auch mal bloggen
submonster schrieb am 9. August 2009 um 6:33 :
danke für den post,.. hab selbst auch diese probleme mit der rechtevergabe.. mal schauen ob alles noch so funktioniert wie du das beschreibst
mfg