Rechte von Datenbanknutzern

backbone · 14. Dezember 2011

Ich habe das Manual Wie man WP sicher installiert von Blogsecurity.net gelesen und habe dazu folgende Frage:

Ich zitiere mal aus dem Manual:

Bevor Sie mit der Installation Ihres Blogs beginnen, ist es wichtig, dem Benutzer, der auf die Datenbank zugreift, die richtigen Rechte zu geben. Die Idee hinter diesem Schritt ist, dem Benutzer der auf die Datenbank zugreift, so wenig Rechte wie möglich zu geben. Denn für den Fall, dass Ihr Blog übernommen wird, wird der Angreifer versuchen seine Rechte auch außerhalb (z.B. auf dem Rest des Webservers oder Webspace) zu benutzen.
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Wer ist damit gemeint? Sind damit die User gemeint die über einen eigenen Server verfügen?
Ich habe lediglich Webspace und eine MySQL-Datenbank zur Verfügung und sehr eingeschrenkte Zugriffsrechte, von daher denke ich dass User wie ich damit nicht gemeinst sind, oder?

mcdaniels · 14. Dezember 2011

Hallo,
du wirst einen Webspace haben, der dir eine MySql Datenbank zur Verfügung stellt.

In der Regel hat der, für die DB erstellte User, in diesem Fall nur Rechte auf die erstellte Datenbank. Meiner Meinung nach von daher gesehen also "Entwarnung". Ich glaube nicht, dass du hier viel tun kannst.

Du kannst dir das aber mal per phpmyadmin angucken. (Welche Rechte hat dein User auf deine DB).

Was du meiner Meinung nach auf jeden Fall prüfen kannst (ich weiß jetzt aber nicht, welche Möglichkeiten dir dein Provider anbietet), sind die Verzeichnisrechte deiner WP Installation.

Generell gilt 755 für Ordner und 644 für Dateien. Ordner in die Bilder hochgeladen werden, sind oft weniger streng "geschützt".

Anders würde es zum Beispiel aussehen, wenn man einen Rootserver bzw. eigenen Server betreibt, auf dem mal schalten und walten kann, wie man will.

Hier gäbe es dann u. U. den User root (der alles darf). Dieser User root kann zum Beispiel auch für die MySql DB verwendet werden. Obwohl der User root, der für MySQL verwendet wird nichts mit dem User root eines Linuxserver zutun hat, dürfen beide in Ihren Welten (also MySQL und System) ALLES.

Oft ist es meiner Erfahrung nach so, dass man aus Bequemlichkeit für eine Installation einfach den Rootuser (MySQL) hernimmt. (Weils einfach ist und weil der ja sowieso alles darf und man sich nicht mit irgendwelchen Rechten herumschlagen muss...) Und genau hier meine ich, greift der von dir zitierte Block.

Hättest du die Option an deinen MySQL Usern zu "schrauben", müsstest du darauf achten, dass du den DB Usern, die zb auf die WP DB zugreifen, so geringe Zugriffsrechte wie möglich einräumst. Kapert dir ein "Hacker" diesen User, kann er dir normalerweise nur die eine DB "umbiegen".

Hättest du mehrere DBs laufen, wären die andren davon ausgenommen. (ich gehe davon aus, dass jede DB nen andren User und andres PW hätte)

Auf Dateisystemebene sollte man (wie oben erwähnt) darauf achten, dass die Rechte korrekt gesetzt sind. Auf keinen Fall sollte zb mit 777 (jeder darf alles) Rechten gearbeitet werden.

Inwieweit dir dein Provider den Eingriff in die Verzeichnisrechte eingeräumt hat, kann ich dir leider nicht sagen

LG
Daniel

mcdaniels · 14. Dezember 2011

..irgendwie is das doppelt hier gelandet... sorry

backbone · 14. Dezember 2011

Wouw, das nennt man, glaube ich, ne ausführliche Antwort; Vielen Dank dafür!

Ich betreibe keinen (dedizierten) Server und bin mit den Einstellungen meines Anbieters voll auf zufrieden (bisher). Von daher kommt das für mich eigentlich nicht in Frage.
Da ich aber gerne auf Nummer sicher gehe, schaue ich mir das mal näher an und halte Rücksprache mit meinen Anbieter.

Danke nochmals!!!

WPDE.org

Rechte von Datenbanknutzern

backbone Member

mcdaniels Well-Known Member

mcdaniels Well-Known Member

backbone Member

Nützliche Suchen

Rechte von Datenbanknutzern

backbone Member

mcdaniels Well-Known Member

mcdaniels Well-Known Member

backbone Member