lwulfe
Avatar lwulfe
Themenersteller
Consultant
Content Halbgott (743 Beiträge)

Sicherheit bei WordPress erhöhen (Seite 2)


masa8
Avatar masa8
Selbständig
Content Gott (1001 Beiträge)
am 15.08.2010, 18:32 Uhr schrieb masa8

Würde das denn nicht einfach über die Zugriffsrechte zu regeln sein ?

Ich hab mal einen kleinen Test gemacht.

Die Zugangsdaten sind in einer Datei data.php im ordner secure.

Jetzt hab ich bei der der Datei die Rechte auf 204 gesetzt und für den Ordner auf 205.

So konnte ich per FTP nicht mehr auf den Ordner zugreifen, die Daten aber per PHP ausgeben.

Allerdings konnte ich die Rechte wieder ändern, was auch einem Hacker gelingen würde.

Theoretisch könnte ich der Datei die Rechte 004 verpassen und dem Ordner 005. Damit wären sie für immer unsichtbar.

Stimmt das oder liege ich da völlig daneben ?

Gruß Matthias


Mein Blog über Wordpress, SEO, interne Verlinkung und mehr
alles-mit-links
BLACKINK Webkatalog 20-25 Backlinks "Lifetime"

romacron
JDev Xer
Content Gott (1224 Beiträge)
am 18.08.2010, 23:26 Uhr schrieb romacron

Ist immer eine Frage wie man reingekommen ist.

Als normaler "Webseitenbesucher" wird php bzw. Apache als Gruppe www-apache oder ähnlichem ausgeführt.
Wenn also die Schreibrechte für die Gruppe "www-apache" weg sind ist es ein Schritt in die richtige Richtung. Das ist das absolute Minimum.
Macht sich jmd am FTP zu schaffen, ist er in der Regel dann "Besitzer", der Dateien. Dann nützt auch nichts mehr.


masa8
Avatar masa8
Selbständig
Content Gott (1001 Beiträge)
am 19.08.2010, 07:31 Uhr schrieb masa8

romacron schrieb:

Macht sich jmd am FTP zu schaffen, ist er in der Regel dann "Besitzer", der Dateien. Dann nützt auch nichts mehr.


Ich kann mir als Besitzer (FTP) die Leserechte nehmen, das hab ich getestet. Nehme ich mir jetzt auch noch die Schreibrechte weg, kann ich selber nicht mehr an die Datei/Ordner ran. Das hab ich allerdings noch nicht getestet, da ich so eine Dateileiche produziere auf die ich keinen Zugriff mehr habe.

Gruß Matthias


Mein Blog über Wordpress, SEO, interne Verlinkung und mehr
alles-mit-links
BLACKINK Webkatalog 20-25 Backlinks "Lifetime"

der_booker
Foren Moderator
selbständig
(2762 Beiträge)
am 20.08.2010, 00:11 Uhr schrieb der_booker

@Matthias: Wenn Du via FTP-Client das Recht 000 vergibst, kannst Du das Recht später wieder ändern.


Heiko Jendreck
personal helpdesk
http://www.phw-jendreck.de
http://www.seo-labor.com

masa8
Avatar masa8
Selbständig
Content Gott (1001 Beiträge)
am 20.08.2010, 09:34 Uhr schrieb masa8

Hallo Heiko,

hast du das ausprobiert ?

Ich arbeite Zuhause mit einem WAMP-Server und kann es da nicht testen.

Das ändern der Dateirechte ist doch auch eine Schreib-Operation, für die ich die entsprechenden Rechte brauche.

Bei meinem Hoster gab es früher das Problem, dass Dateien, die von PHP angelegt wurden, nicht löschbar waren, weil PHP der Besitzer war.

Ich kenn mich aber mit Unix/Linux zuwenig aus um das sicher sagen zu können.

Vieleicht gibt es hier einen Experten der für Aufklärung sorgen kann, oder jemanden der das mal testen würde ?

Gruß Matthias


Mein Blog über Wordpress, SEO, interne Verlinkung und mehr
alles-mit-links
BLACKINK Webkatalog 20-25 Backlinks "Lifetime"

der_booker
Foren Moderator
selbständig
(2762 Beiträge)
am 20.08.2010, 11:42 Uhr schrieb der_booker

masa8 schrieb:

Hallo Heiko,

hast du das ausprobiert ?



Jawoll habe ich. Mit FileZilla legte ich einen neuen Ordner an und darin eine neue Datei. Nun legte ich das Recht auf 000 und hatte weder Zugriff auf die Datei noch auf den Ordner. Danach änderte ich das Recht auf 555 und siehe da, ich konnte zugreifen und löschen.


Heiko Jendreck
personal helpdesk
http://www.phw-jendreck.de
http://www.seo-labor.com

matthes
Avatar matthes
Foren Moderator
Evil Genius
Content Halbgott (973 Beiträge)
am 20.08.2010, 14:15 Uhr schrieb matthes

In einigen Dateisystemen kann man die Datei auf "unveränderlich" (immutable, chattr +i) setzen, als root.
Dann kann niemand mehr die Datei verändern, außer man entfernt das Attribut wieder, ebenfalls nur als root möglich.


Make Seitenreport great again!

masa8
Avatar masa8
Selbständig
Content Gott (1001 Beiträge)
am 20.08.2010, 15:39 Uhr schrieb masa8

@Heiko

Schade, die Lösung wäre so einfach gewesen.

@Matthes

Kann mit dem Attribut niemand mehr die Datei selbst, oder die Datei-Attribute ändern ?

Gruß Matthias


Mein Blog über Wordpress, SEO, interne Verlinkung und mehr
alles-mit-links
BLACKINK Webkatalog 20-25 Backlinks "Lifetime"

der_booker
Foren Moderator
selbständig
(2762 Beiträge)
am 20.08.2010, 16:04 Uhr schrieb der_booker

masa8 schrieb:

@Heiko
Schade, die Lösung wäre so einfach gewesen.


Wieso Schade? Das ist doch gut. Die Rechte kannst Du nur auf dem Server ändern und kommst sonst von extern nicht ran.


Heiko Jendreck
personal helpdesk
http://www.phw-jendreck.de
http://www.seo-labor.com

matthes
Avatar matthes
Foren Moderator
Evil Genius
Content Halbgott (973 Beiträge)
am 20.08.2010, 16:38 Uhr schrieb matthes

masa8 schrieb:
Kann mit dem Attribut niemand mehr die Datei selbst, oder die Datei-Attribute ändern ?


Eine Datei mit dem i-Attribut kann man nicht löschen, nicht umbenennen und auch keine Daten in sie schreiben.
Lediglich root kann das i-Attribut wieder entfernen.


Make Seitenreport great again!



« zurück zu: Wordpress

Das Seitenreport Forum hat aktuell 5276 Themen und 36111 Beiträge.
Insgesamt sind 48364 Mitglieder registriert.