1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

Dateiattribute "uploads" 755 oder 777 was ist richtig

Dieses Thema im Forum "Konfiguration" wurde erstellt von elotse, 1. September 2014.

  1. elotse

    elotse Well-Known Member

    Registriert seit:
    21. November 2007
    Beiträge:
    533
    Zustimmungen:
    0
    Aus der Wordpress Doku habe ich entnommen, dass für die Verzeichnisse das Attribute 755 richtig ist??
    Mit dieser Einstellung kann ich aber keine Bilder in die Mediathek hochladen. Das erstellen neuer Verzeichnisse wie z.B 2014/09 funzt nicht und es kommt die Meldung:
    Das Verzeichnis wp-content/uploads/2014/09 kann nicht angelegt werden. Ist das übergeordnete Verzeichnis durch den Server beschreibbar?

    Wird die Baumstruktur auf 775 geändert ist immer noch der gleiche Fehler, erst nach Änderung auf 777 ist ein upload möglich!!!

    Da 777 aber keinerleich Schutz besitzt und so auch nicht dokumentiert ist, meine Frage:
    WAS IST RICHTIG ODER BESSER WAS SOLLTE RICHTIG SEIN:confused:
     
  2. Kirchenschnack

    Kirchenschnack Well-Known Member

    Registriert seit:
    25. März 2010
    Beiträge:
    586
    Zustimmungen:
    0
    Ist WordPress im Root oder im Unterordner installiert? Bei welchem Hoster?
     
  3. mensmaximus

    mensmaximus Well-Known Member

    Registriert seit:
    24. Juli 2014
    Beiträge:
    8.347
    Zustimmungen:
    327
    755 ist grundsätzlich richtig und könnte sogar noch restriktiver sein, vorausgesetzt die PHP/Webserverkonfiguration wird angepasst. Dein Problem ist zu 99% die Verwendung von mod_php im Apache bei gleichzeitiger Besitzzuweisung der WP Verzeichnisse an den "FTP-User". D.h. der Apache-User (z.B. www-data oder apache) hat keine Berechtigung (außer Lesen) solange er nicht in die Gruppe des Besitzers der Verzeichnisse und Dateien aufgenommen wird. Die einfachste Lösung ist die Umstellung von mod_php auf FastCGI bzw. PHP-FPM. Dazu wirst Du zwar gerade hier im Forum auch andere Meinungen hören, das ändert aber nichts daran, dass es die heute gängige Lösung ist.
     
  4. bgeissler

    bgeissler Well-Known Member

    Registriert seit:
    6. August 2006
    Beiträge:
    4.404
    Zustimmungen:
    0
    für den /uploads sollte 750 passen. Die Unterordner werden dann auch mit 750 und die Dokumente mit 640 angelegt
     
  5. elotse

    elotse Well-Known Member

    Registriert seit:
    21. November 2007
    Beiträge:
    533
    Zustimmungen:
    0
    @Kirchenschnack
    Wordpress liegt in einem Unterordner und wird bei All-Inkl gehostet
     
  6. mensmaximus

    mensmaximus Well-Known Member

    Registriert seit:
    24. Juli 2014
    Beiträge:
    8.347
    Zustimmungen:
    327
    Trage folgende Zeile in Deine .htaccess ein und das Problem ist gelöst

    Code:
    Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!
     
  7. Kirchenschnack

    Kirchenschnack Well-Known Member

    Registriert seit:
    25. März 2010
    Beiträge:
    586
    Zustimmungen:
    0
  8. elotse

    elotse Well-Known Member

    Registriert seit:
    21. November 2007
    Beiträge:
    533
    Zustimmungen:
    0
    @mensmaximus
    Hatte soeben ein Gespräch mit All-Inkl, die empfehlen
    PHP:
    Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!
    Mir ist nicht klar wo der Unterschied liegt:confused:
     
  9. mensmaximus

    mensmaximus Well-Known Member

    Registriert seit:
    24. Juli 2014
    Beiträge:
    8.347
    Zustimmungen:
    327
    php-fastcgi erlaubt z.B. auch die Ausführung von 'exec' und ist im Regelfall schneller als php5-cgi. Einfach beides ausprobieren und das verwenden, was gefühlt schneller ist.
     
  10. Putzlowitsch

    Putzlowitsch Well-Known Member

    Registriert seit:
    21. Oktober 2006
    Beiträge:
    5.931
    Zustimmungen:
    31
    Die Rechte 755 und der FastCGI-Modus sind die bequemere Variante, sicherer ist das aber nicht. Ich würde es sogar als unsicherer ansehen, weil nun ein Angreifer über eine Sicherheitslücke schreibenden Zugriff auf alle Dateien des WP-Installation hat (auch die PHP-Dateien) und auch alle sonstigen Daten, die per FTP hochgeladen wurden.

    Wenn ich bei der mod_php-Konfiguration, so wie es z.B. bei All-Inkl voreingestellt ist, nur für den Uploads-Ordner Schreibrechte erteile, passiert zumindest den PHP-Dateien nichts.

    Gruß
    Ingo
     
  11. elotse

    elotse Well-Known Member

    Registriert seit:
    21. November 2007
    Beiträge:
    533
    Zustimmungen:
    0
    Hallo Ingo, verstehe ich dich richtig, dass ich dem upload Ordner in dem Fall aus Sicherheitsgründen besser 777 einräume und keinen AddHandler verwende?
     
  12. Putzlowitsch

    Putzlowitsch Well-Known Member

    Registriert seit:
    21. Oktober 2006
    Beiträge:
    5.931
    Zustimmungen:
    31
    Ich sag mal so: Ich bin seit vielen Jahren Webhosting-Kunde bei All-Inkl und habe das von Anfang an so gehandhabt, daß nur der Uploads-Ordner die 777 bekommen hat und ich die Seiten normal im mod_php-Modus laufen lasse. Ich empfinde das zumindest als ein klein wenig sicherer, als den FastCGI-Modus, bei dem PHP auf alle Dateien Schreibzugriff hat.

    Andererseits gibt es auch Webhoster wie z.B. Strato und 1&1, bei denen PHP schon immer im FastCGI-Modus läuft. Auch dort bin ich glücklicherweise noch nie Opfer einer Attacke geworden.

    Entscheidender für die Sicherheit ist eher, immer mit Wordpress, dem Theme und den Plugins auf dem neusten Stand zu bleiben. Man kann auch mal drüber nachdenken, ob man wirklich alle Plugins benötigt, die man so installiert hat. Je weniger Plugins man verwendet, um so geringer ist auch die Möglichkeit eines Angriffs über ein fehlerhaftes Plugin.

    Kurz gesagt, ja. :)

    Gruß
    Ingo
     
  13. mensmaximus

    mensmaximus Well-Known Member

    Registriert seit:
    24. Juli 2014
    Beiträge:
    8.347
    Zustimmungen:
    327
    Meine Meinung ist ja bekannt und was 777 Rechte (also gar keine Sicherheit, weil absolut jeder schreiben darf) bedeuten ist Euch auch bekannt.

    @elotse

    Ich empfehle Dir dringend niemals 777 Rechte zu verwenden. Und das werden Dir 99% aller IT-Experten bestätigen. Du musst mir nicht glauben, aber Du solltest zumindest auf das hören was WordPress selbst zu diesem Thema sagt.
     
  14. Putzlowitsch

    Putzlowitsch Well-Known Member

    Registriert seit:
    21. Oktober 2006
    Beiträge:
    5.931
    Zustimmungen:
    31
  15. mensmaximus

    mensmaximus Well-Known Member

    Registriert seit:
    24. Juli 2014
    Beiträge:
    8.347
    Zustimmungen:
    327
    Richtig. Dafür kannst Du dann per FTP keine Daten mehr hochladen. Auf einem V-Server würde man das klassisch über "die Gruppe" lösen. Beim Webhosting ist das aber meistens nicht möglich.
     
  16. Putzlowitsch

    Putzlowitsch Well-Known Member

    Registriert seit:
    21. Oktober 2006
    Beiträge:
    5.931
    Zustimmungen:
    31
    Ja gut, das ist aber auch nicht wirklich problematisch, weil ich das WP-Uploads-Verzeichnis nur über WP befülle. Genau dafür ist es ja da. :)

    Gruß
    Ingo
     
  17. elotse

    elotse Well-Known Member

    Registriert seit:
    21. November 2007
    Beiträge:
    533
    Zustimmungen:
    0
    Ups, da habe ich einiges losgetretten!

    Zuerst mal vielen Dank für die Unterstützung.
    Da ich nicht der Fachmann zu diesem Thema bin möchte ich den für mich relevaten Stand nochmals festhalten
    1) Kein 777 sondern wie empfohlen 755
    2) AddHandler php5-fastcgi .php in die .htaccess

    Damit habe ich weiterhin Schreibrechte per FTP!
    Die brauch ich auch, da bei WP Updates nicht alles problemlos läuft und ich dann per FTP die Dateien hochlade
     
  18. mensmaximus

    mensmaximus Well-Known Member

    Registriert seit:
    24. Juli 2014
    Beiträge:
    8.347
    Zustimmungen:
    327
    Korrekt. Wenn Du das so umsetzt, sind die Probleme zu 99.5% Vergangenheit.
     
  19. Putzlowitsch

    Putzlowitsch Well-Known Member

    Registriert seit:
    21. Oktober 2006
    Beiträge:
    5.931
    Zustimmungen:
    31
    Auch ein Angreifer über eine WP-/Plugin-/Theme-Sicherheitslücke hat dann keine Probleme mehr, auf alle PHP-Dateien der WP-Installation schreibend zuzugreifen und seinen Schadcode unterzubringen. :)

    @elotse
    Ohne "AddHandler php5-fastcgi .php" hast Du auch weiterhin auf alle Dateien der WP-Installation per FTP-Zugriff, wenn Du nur das Upload-Verzeichnis, wie von mir oben beschrieben, änderst. Nur die über die WP-Mediathek hochgeladenen Dateien kannst Du dann nicht einfach per FTP löschen.

    Gruß
    Ingo
     
  20. elotse

    elotse Well-Known Member

    Registriert seit:
    21. November 2007
    Beiträge:
    533
    Zustimmungen:
    0
    Da scheint noch etwas falsch?

    Ich erhalte nun beim Aufruf meiner Testinstallation folge Meldung Meldung.JPG

    Der Code der .htaccess ist:
    PHP:
    Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!
     
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden