Strato SiteGuard

Man kann diesen SiteGuard schon nutzen, muß dann halt nur die Verzeichnisse auschließen, die im normalen Betrieb geschrieben werden sollen.
Also streng genommen nur /wp-content/uploads/.

Gruß
Ingo

 

Ich behaupt mal das es für Laien kaum möglich ist zu wissen, welche Verzeichnisse ein Script mit Schreibzugriff benötigt.
Darüber hinaus ist es so, das getade bei Hacks oft ganz normale Funktionen des Scripte benutzt werden, um Uploads zu tätigen. Diese Uploads landen dann in Verzeichnisse die freigegeben sein müssen, damit die Website läuft.
So ein Verzeichnisschutz ist mehr oder weniger Augenwischerrei.

 

Würde ich so nicht sagen, denn eine Vielzahl der Angriffe manipuliert die vorhandenen PHP-Dateien direkt. Mit dem Verzeichnisschutz ist das nicht möglich.

Im Uploads-Ordner kann man nur bestimmte Dateien erlauben, wie z.B. Bilder und andere Medien, aber eben keine Skripte. Dann könnte ein Angreifer Deinen Webspace bestenfalls als Dateiablage mißbrauchen.

Der Verzeichnis-Schutz ist sicher kein Allheilmittel, aber warum sollte man ihn nur deshalb nicht nutzen, weil er nicht alle Risiken 100%ig abdeckt?

Gruß
Ingo

 

Ja das ist richtig, aber der erste Schritt ist fast immer ein Update eines entsprechendes Scriptes, danach folgen weitere Aktionen. Der Schaden an vorhandenen Datein kann natürlich eingegrenzt werden, wenn ein Schreibschhutz gesetzt ist, aber wenn ein Web gehackt wurde, sollten sowieso alle Files entfernt werden und mit einem sauberen Bachup wieder restauriert werden.

Der Schutz ist sicher nicht nutzlos, aber bei solchen Dingen wird der tatsächliche Nutzen oft überschätzt.

 

das hat nicht unbedingt mit einer Strato Seiten etwas zu tun: die Tipps zum Absichern von WP sind eigentlich allgemein. Am besten mal das hier durchschauen und abarbeiten: http://codex.wordpress.org/Hardening_WordPress

 

ehrlich gesagt würde ich einen Webspace, bei dem ich die Zugriffsrechte nicht steuern kann, sofort in den Müll werfen und mir etwas richtiges holen. Beim Sitguard kann beispielsweise weiter per FTP geschrieben werden, egal ob er aktiv ist oder nicht. Und wie oben schon erwähnt muss der Upload ordnen immer offen bleiben beim Siteschutz, da ist also jederzeit ein Angriff möglich. Wäre mir zu heikel.

 

Das kann man so nicht sagen.

Natürlich kann man bei Strato die Dateirechte ändern, da wird nichts ignoriert. Es ist aber so, daß bei Strato PHP als CGI/FastCGI im Kontext des FTP-Benutzes und damit des Dateieigentümers läuft. Die Verzeichnisrechte stehen bei Strato standardmäßig auf 755 (Schreibrechte nur für den Eigentümer), genau wie es immer überall als Empfehlung zu finden ist. Aber das bedeutet, daß eben PHP trotzdem alle Dateien beschreiben kann.

Bei anderen Hostern, bei denen PHP als CGI/FastCGI im Kontext des FTP-Benutzes läuft (z.B. 1&1), ist es übrigens genau so. Das ist durch das technische Konzept bedingt.

Bei Hostern, wo PHP als Apache-Modul läuft, sieht das wieder anders aus. Da kann PHP erstmal überhaupt nicht auf die vom FTP-Nutzer hochgeladenen Datein schreiben.

Außerdem ist es immer auch eine Frage des Komforts. Will ich z.B. die Mediathek in WP nutzen, dann muß der Uplaods-Ordner durch PHP bescheibbar sein, sonst wird das nichts. Will ich einfach Updates direkt in WP fahren und bequem Plugins und Theme installieren können, müssen praktisch alle Dateien und Verzeichnisse für PHP beschreibbar sein.

Gruß
Ingo

 

Aus meiner Sicht ja.

Wenn Du absolut sicher gehen willst, daß die Seite keinen Angriffen ausgesetzt ist, dann mußt Du sie allerdings vom Netz nehmen.

Gruß
Ingo