Sicherheit bei WordPress erhöhen (Seite 2)

Würde das denn nicht einfach über die Zugriffsrechte zu regeln sein ?

Ich hab mal einen kleinen Test gemacht.

Die Zugangsdaten sind in einer Datei data.php im ordner secure.

Jetzt hab ich bei der der Datei die Rechte auf 204 gesetzt und für den Ordner auf 205.

So konnte ich per FTP nicht mehr auf den Ordner zugreifen, die Daten aber per PHP ausgeben.

Allerdings konnte ich die Rechte wieder ändern, was auch einem Hacker gelingen würde.

Theoretisch könnte ich der Datei die Rechte 004 verpassen und dem Ordner 005. Damit wären sie für immer unsichtbar.

Stimmt das oder liege ich da völlig daneben ?

Gruß Matthias

Ist immer eine Frage wie man reingekommen ist.

Als normaler "Webseitenbesucher" wird php bzw. Apache als Gruppe www-apache oder ähnlichem ausgeführt.
Wenn also die Schreibrechte für die Gruppe "www-apache" weg sind ist es ein Schritt in die richtige Richtung. Das ist das absolute Minimum.
Macht sich jmd am FTP zu schaffen, ist er in der Regel dann "Besitzer", der Dateien. Dann nützt auch nichts mehr.

romacron schrieb:

Macht sich jmd am FTP zu schaffen, ist er in der Regel dann "Besitzer", der Dateien. Dann nützt auch nichts mehr.

Ich kann mir als Besitzer (FTP) die Leserechte nehmen, das hab ich getestet. Nehme ich mir jetzt auch noch die Schreibrechte weg, kann ich selber nicht mehr an die Datei/Ordner ran. Das hab ich allerdings noch nicht getestet, da ich so eine Dateileiche produziere auf die ich keinen Zugriff mehr habe.

Gruß Matthias

@Matthias: Wenn Du via FTP-Client das Recht 000 vergibst, kannst Du das Recht später wieder ändern.

Hallo Heiko,

hast du das ausprobiert ?

Ich arbeite Zuhause mit einem WAMP-Server und kann es da nicht testen.

Das ändern der Dateirechte ist doch auch eine Schreib-Operation, für die ich die entsprechenden Rechte brauche.

Bei meinem Hoster gab es früher das Problem, dass Dateien, die von PHP angelegt wurden, nicht löschbar waren, weil PHP der Besitzer war.

Ich kenn mich aber mit Unix/Linux zuwenig aus um das sicher sagen zu können.

Vieleicht gibt es hier einen Experten der für Aufklärung sorgen kann, oder jemanden der das mal testen würde ?

Gruß Matthias

masa8 schrieb:

Hallo Heiko,

hast du das ausprobiert ?

Jawoll habe ich. Mit FileZilla legte ich einen neuen Ordner an und darin eine neue Datei. Nun legte ich das Recht auf 000 und hatte weder Zugriff auf die Datei noch auf den Ordner. Danach änderte ich das Recht auf 555 und siehe da, ich konnte zugreifen und löschen.

In einigen Dateisystemen kann man die Datei auf "unveränderlich" (immutable, chattr +i) setzen, als root.
Dann kann niemand mehr die Datei verändern, außer man entfernt das Attribut wieder, ebenfalls nur als root möglich.

@Heiko

Schade, die Lösung wäre so einfach gewesen.

@Matthes

Kann mit dem Attribut niemand mehr die Datei selbst, oder die Datei-Attribute ändern ?

Gruß Matthias

masa8 schrieb:

@Heiko
Schade, die Lösung wäre so einfach gewesen.

Wieso Schade? Das ist doch gut. Die Rechte kannst Du nur auf dem Server ändern und kommst sonst von extern nicht ran.

masa8 schrieb:
Kann mit dem Attribut niemand mehr die Datei selbst, oder die Datei-Attribute ändern ?

Eine Datei mit dem i-Attribut kann man nicht löschen, nicht umbenennen und auch keine Daten in sie schreiben.
Lediglich root kann das i-Attribut wieder entfernen.