1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

User-Berechtigung/-Vorkehrungen vor einer Jobvergabe einer bestehenden WP Seite?

Dieses Thema im Forum "Jobbörse" wurde erstellt von Buonaventura, 8. Juni 2017.

  1. Buonaventura

    Buonaventura Member

    Registriert seit:
    3. Januar 2017
    Beiträge:
    18
    Zustimmungen:
    0
    Hallo zusammen,

    ich möchte einen Job von meiner bestehenden WP-Seite vergeben.

    Nun mache ich mir Gedanken bezüglich der Sicherheit.
    Welche User-Berechtigung/-Vorkehrungen sollten vor einer Jobvergabe an einen externen Dienstleister getroffen werden?

    Sorry, ich habe null Ahnung :)

    Thx
    Rob
     
  2. Hille

    Hille Well-Known Member

    Registriert seit:
    22. Januar 2012
    Beiträge:
    7.965
    Zustimmungen:
    8
    Das hängt davon ab, was der Dienstleister machen soll bzw worauf er Zugriff haben soll [emoji6]
     
  3. JABA-Hosting

    JABA-Hosting Well-Known Member

    Registriert seit:
    29. März 2016
    Beiträge:
    2.503
    Zustimmungen:
    102
    Grundsätzlich kannst du bei einer Firma nichts falsch machen, da du weiß mit wem du es zu tun hast.

    Bei anonymen Angeboten sollte man immer vorsichtig sein.
     
  4. SirEctor

    SirEctor Well-Known Member
    Ehrenmitglied

    Registriert seit:
    28. Oktober 2008
    Beiträge:
    12.310
    Zustimmungen:
    410
    Wie Jaba geschrieben hat, würde ich bei einem seriösen Angebot Admin-Rechte vergeben. Wie sonst soll der Dienstleister sonst arbeiten?

    Mach vorher ein Backup inkl. Datenbank, dann kann nichts schief gehen.
     
  5. Thielo

    Thielo Member

    Registriert seit:
    22. Juli 2010
    Beiträge:
    20
    Zustimmungen:
    0
    Und sagen wir es mal so: sobald du dem Entwickler FTP-Zugang gibst, kann er locker flockig die Datenbank abändern und sich einen eigenen Admin-Account erstellen. ;)
    Dann hilft es dir auch nicht Rechte für einen Admin zu vergeben,
     
  6. JABA-Hosting

    JABA-Hosting Well-Known Member

    Registriert seit:
    29. März 2016
    Beiträge:
    2.503
    Zustimmungen:
    102
    Da gehört noch bisschen mehr dazu als nur ein FTP Zugang ;)
     
  7. SirEctor

    SirEctor Well-Known Member
    Ehrenmitglied

    Registriert seit:
    28. Oktober 2008
    Beiträge:
    12.310
    Zustimmungen:
    410
    Nein, per FTP kannst du Admin-Zugriff erlangen.
     
  8. KaiFoe

    KaiFoe Well-Known Member

    Registriert seit:
    15. Juni 2015
    Beiträge:
    90
    Zustimmungen:
    0
    Naja Zugriff auf die DB wird er schon brauchen. Die bekommst du nicht zwingend mit nem FTP-Zugang.
     
  9. SirEctor

    SirEctor Well-Known Member
    Ehrenmitglied

    Registriert seit:
    28. Oktober 2008
    Beiträge:
    12.310
    Zustimmungen:
    410
    Wenn du den Username kennst, kannst du das Passwort einfach per FTP ändern. Und den Namen bekommt man oft leicht raus.
     
  10. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    7.322
    Zustimmungen:
    731
    Sobald FTP-Zugang vorhanden ist, hat der Entwickler:

    1.) Zugriff auf die Datenbank (Zugangsdaten in wp-config.php oder via entspr. DB_xxx Konstanten, und ein phpMyAdmin für mehr Konfort ist gleich hochgeladen)

    2.) Administrator-Zugang (am einfachsten legt man einfach einen neuen Account an)

    Gleiches gilt für zugelieferte Plugins oder Themes, die natürlich ebenfalls Admin-Accounts anlegen können...

    Ergebnis: Wenn man einem externen Entwickler nicht vertrauen kann/will, dann beauftragt man ihn nicht.
     
    #10 b3317133, 9. Juni 2017
    Zuletzt bearbeitet: 9. Juni 2017
  11. JABA-Hosting

    JABA-Hosting Well-Known Member

    Registriert seit:
    29. März 2016
    Beiträge:
    2.503
    Zustimmungen:
    102
    Punkt 1, funktioniert nicht bei jedem Hoster.
     
  12. Buonaventura

    Buonaventura Member

    Registriert seit:
    3. Januar 2017
    Beiträge:
    18
    Zustimmungen:
    0
    Meine Seite steht zu 90% - es fehlen noch ein paar optische Anpassungen, aber sonst passt Sie für ich ganz gut.
    Für die Jobvergabe war ich mir nicht sicher ob WP-Adminrechte ausreichen oder auch noch FTP- oder DB-Logindaten benötigt werden.

    Für mich ist WP eine neue Welt :) aber ich denke die WP-Adminrechte sollten für meine Jobvergabe ausreichen.
    Oder gibt es aus Sicht der Sicherheit Punkte die man beim Aufsetezen von WP im FTP und DB falsch aufsetzen könnte und von einem Profi geprüft werden müssten?

    ps. Bezgl. BackUps setze ich UpdraftPlus ein, funzt ganz gut.
     
  13. JABA-Hosting

    JABA-Hosting Well-Known Member

    Registriert seit:
    29. März 2016
    Beiträge:
    2.503
    Zustimmungen:
    102
    Wenn dein Projekt wichtig ist und damit dein Geld verdienst, solltest du dich um ein Managed Wordpress umschauen.

    Dort kümmert sich der Hoster um die Sicherheit etc...
     
  14. SirEctor

    SirEctor Well-Known Member
    Ehrenmitglied

    Registriert seit:
    28. Oktober 2008
    Beiträge:
    12.310
    Zustimmungen:
    410
    Ich stimme JABA indirekt zu und würde den Satz auf "Dort kümmert sich ein guter Hoster um die Sicherheit etc" ändern. Leider ist das nicht überall so. Managed bedeutet bei manchen leider nur Updates einspielen.

    Was ich bei vielen Projekten unter anderem mache:

    • 403-Status-Code bei fehlerhaften Login-Versuchen
    • Unterdrückung von Original-Fehlerhinweisen auf der Login-Seite
    • Umleitung von möglichen Authoren-Links auf die Startseite
    • Entfernung von Kommentar-Autoren-Klasse
    • Lade CF7-Dateien nur if is singular und wenn benötigt
    • Disable Emojicons
    • Disable XML-RPC
    • Hide Login-URL
    • Rest-API deaktivieren
    Einiges könnte man sicher auch bei dir noch prüfen bzw. umsetzen.
     
  15. danielgoehr

    danielgoehr Well-Known Member

    Registriert seit:
    13. Juli 2016
    Beiträge:
    2.449
    Zustimmungen:
    64
    Ist jetzt leider OT, aber mich interessiert gerade, wie das technisch gelöst werden könnte (ich habe nämlich auch noch nie erlebt, dass es nicht möglich ist):
    Wie lässt sich das denn verhindern?

    Letztendlich kommt man ja zwangsläufig über die wp-config.php an die Zugangsdaten der Datenbank. Und da Wordpress selbst ja auf die Datenbank zugreifen können muss, kann man die Datenbank ja sogesehen nicht für Skripte "sperren", die auf dem jeweiligen Webspace laufen. Somit laufen ja zwangsläufig auch z.B. Adminer oder phpmyadmin. Oder wo ist mein Denkfehler?
     
  16. Buonaventura

    Buonaventura Member

    Registriert seit:
    3. Januar 2017
    Beiträge:
    18
    Zustimmungen:
    0
    Antwort an JABA :)

    War zwar keine Antwort auf meine Frage:
    Oder gibt es aus Sicht der Sicherheit Punkte die man beim Aufsetezen von WP im FTP und DB falsch aufsetzen könnte und von einem Profi geprüft werden müssten?

    WP kenne ich erst seit kurzem und ich liebe es - ich möchte so viel ich kann selber Umsetzen, weil es mir spass macht.
    Ich lebe nicht von dieser Seite, daher wäre es mir auch egal wenn Sie mal Offline geht und ich via BackUps sie wieder aufsetzen kann.
    Wiederum ist mir auch klar, dass ich mir einen Dienstleister suchen werde der mich auf meinem Weg betreuen möchte.
     
    #16 Buonaventura, 9. Juni 2017
    Zuletzt bearbeitet: 9. Juni 2017
  17. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    7.322
    Zustimmungen:
    731
    Aha, das musst Du aber mal genauer erklären. Bleibe dabei, sobald eine einzige .php Datei hochgeladen oder bearbeitet werden kann, ist Zugriff auf die Datenbank vorhanden.
     
  18. Hille

    Hille Well-Known Member

    Registriert seit:
    22. Januar 2012
    Beiträge:
    7.965
    Zustimmungen:
    8
    Sehe ich genauso
     
  19. JABA-Hosting

    JABA-Hosting Well-Known Member

    Registriert seit:
    29. März 2016
    Beiträge:
    2.503
    Zustimmungen:
    102
    Dann bist du genau der Kunde, der kein Managed WordPress benötigt. Wenn du gefallen daran hast und die Zeit, dann gibt es keinen Grund warum du die Arbeit abgeben solltest.

    WordPress ist so sicher, wie man auch regelmäßig sein WordPress updated! Ansonsten kannst du gerne bei unseren Blog vorbei schauen, da stehen so ein paar nützliche Tipps drin.
     
  20. r23

    r23 Well-Known Member

    Registriert seit:
    9. Dezember 2006
    Beiträge:
    4.862
    Zustimmungen:
    103
    Optische Anpassungen sind in der Regel Änderungen an den CSS Dateien notwendig. Für die Übertragung der Änderungen ist in der Regel FTP Zugang nötig.


    Da bei 90% fast fertig - in der Regel billiger fertig Schrott gekauft wurde - können grauhige CSS Befehle auch in der Datenbank eingetragen worde sein - dafür ist dann Admin-Zugang notwendig.

    passt schon - einfach selber machen und sich keinen Deinstleister suchen.
     
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden