1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

Sicherheitsbedenken

Dieses Thema im Forum "Konfiguration" wurde erstellt von gegge, 26. Februar 2006.

  1. gegge

    gegge Member

    Registriert seit:
    26. Februar 2006
    Beiträge:
    5
    Zustimmungen:
    0
    Hallo,

    Ich möchte gerne wordpress 2.0.1 installieren.
    Aus Sicherheitsgründen will ich aber nur ungern in der wp-config.php die Zugangsdaten für die Datenbank angeben, da diese (wenn ich recht informiert bin) ja sichtbar wären, sobald der php-interpreter des Servers mal ausfallen sollte.
    Daher wollte ich eine set.php includen, die oberhalb der root steht und nicht direkt per Browser aufgerufen werden kann.
    Liegt es an den Funktionen...
    define('ABSPATH', dirname(__FILE__).'/');
    require_once(ABSPATH.'wp-settings.php');
    ...wenn dies nicht funktioniert, und kann mir diesbzgl Jemand einen Tip geben?

    mfg Gegge
     
  2. Olaf

    Olaf WPDE-Team
    Mitarbeiter

    Registriert seit:
    3. September 2004
    Beiträge:
    2.740
    Zustimmungen:
    41
    Paranoia kann ein Livestyle sein... WP ist eine der meistbenutzten Blogsoftware weltweit und obwohl ich immer ein offenes Ohr für Sicherheitsprobleme habe ist mir die Frage noch nicht untergekommen... btw, warum fragst du hier nach einer Sache, die du noch nicht getestet hast?
     
    #2 Olaf, 26. Februar 2006
    Zuletzt bearbeitet: 26. Februar 2006
  3. gegge

    gegge Member

    Registriert seit:
    26. Februar 2006
    Beiträge:
    5
    Zustimmungen:
    0
    Leider hilft mir die Antwort nicht sonderlich weiter.
    Willst Du damit bestreiten, dass es Ausfälle des PHP-Interpreters geben kann und dass in diesen Fällen dann die Datenbankzugangsdaten öffentlcih sichtbar sind?

    Gruß Gegge
     
  4. Olaf

    Olaf WPDE-Team
    Mitarbeiter

    Registriert seit:
    3. September 2004
    Beiträge:
    2.740
    Zustimmungen:
    41
    Ich bestreite hier einfach mal, dass das bei 99.999% der seriösen Provider vorkommt. Ausserdem will ich dir ein bisschen deine Angst nehmen, bei ein paar hundertausend WP-Installation innerhalb der letzen 2-3 Jahren ist das niemals als ein "Sicherheitsbedenken" diskutiert worden. Bei deinem Szenario müssen noch ein paar andere Faktoren zusammenspielen damit das passiert, aber die Serverfraktion sollte das besser klären.
     
  5. lynk

    lynk Active Member

    Registriert seit:
    3. Dezember 2005
    Beiträge:
    42
    Zustimmungen:
    0
    Ich denke auch, dass es ein sehr theoretisches Sicherheitsrisiko ist, aber gut. Dein Problem, was nicht funktioniert, habe ich nicht ganz verstanden.

    Ich würde eine php Datei mit den Daten

    <?php
    define('DB_NAME', 'xx');
    define('DB_USER', 'xx');
    define('DB_PASSWORD', 'xx');
    define('DB_HOST', 'localhost');
    ?>

    anlegen und dann in die wp-config.php includen.
    Müsste doch gehen.
     
  6. gegge

    gegge Member

    Registriert seit:
    26. Februar 2006
    Beiträge:
    5
    Zustimmungen:
    0
    Hallo Olaf,

    Ausfälle des PHP-Interpreters sind gar nicht mal so selten, (bleiben nur meist unbemerkt und werden von den Providern auch nicht gerade an die große Glocke gehängt.) Fakt ist: Es kann passieren und passiert auch hin und wieder.

    Unbestritten gehören da noch weitere Aspekte dazu, damit daraus dann auch wirklich ein echtes Problem wird indem diese Sicherheitslücke auch tatsächlich von dritten bemerkt und ausgenützt wird.

    In meinem Fall ist es so, dass ich in der Datenbank (neben WordPress) auch noch andere Daten habe, für deren Sicherheit ich verantwortlich bin.
    Ich schlafe halt besser, wenn ich mich auf der sicheren Seite glaube und nicht nur auf mein Glück und Wahrscheinlichkeitsrechnungen oder 2-3 Jahre Erfahrungsberichte vertraue ;)

    Ausserdem: Gerade in der Beliebtheit von WordPress könnte auch der eine oder andere Hacker seinen Anreiz sehen.

    Zitat:
    Hallo Lynk,

    Das mit include bzw require hat nicht geklappt, da die installationsscripte abwechselnd in verschiedenen Verzeichnistiefen gesucht haben.


    Gruß Gegge
     
  7. lynk

    lynk Active Member

    Registriert seit:
    3. Dezember 2005
    Beiträge:
    42
    Zustimmungen:
    0
    Mit absolutem Pfad probiert?
     
  8. Smartsoul

    Smartsoul Well-Known Member

    Registriert seit:
    3. März 2006
    Beiträge:
    104
    Zustimmungen:
    0
    Hat sich dieses Problem irgendwie erledigt?

    Wollte auch schon zu dem Thema posten, da ich in anderen Foren gelesen habe, dass es sinnvoll (weil sicherer) ist, seine DB-Verbindungsdaten außerhalb des Root-Verzeichnisses zu speichern.

    Hast du schon eine Lösung gegge?
     
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden