Teknik, hosting & e-handelsløsninger

Svar: Wordpress sikkerhed

Brian Brandt — Tue, 08 Dec 2009 18:01:54 GMT

Det er altid en god ide at slette admin brugeren og oprette en ny...

Jeg har skrevet et langt indlæg om en masse tiltag du kan gøre for optimal sikkerhed i Wordpress.

Der kan du sikkert finde lidt ekstra godter at sikre dig med... :-)

Svar: Wordpress sikkerhed

martinvandebelt — Tue, 17 Nov 2009 21:03:43 GMT

Hvorfor i alverden skal der public skriverettigheder på dine mapper?

Få Apache (antager at du bruger Apache) til at køre dine sider under samme navn som fil-ejeren, så slipper du for besværet med at chmodde Wordpress-installationer.

Kig på mod_ruid eller Suhosin PHP.

Svar: Wordpress sikkerhed

Tobias — Tue, 17 Nov 2009 19:04:20 GMT

Det skal jeg da lige undersøge nærmere - we live and learn

Svar: Wordpress sikkerhed

Mikkel Mikjær Christensen — Tue, 17 Nov 2009 19:01:20 GMT

Hvis du på _noget_ tidspunkt har behov for at sætte 777 på filer/maper så skyldtes det en fejlopsætning af serveren.

Så måske var det en ide at hive din server-mand lidt i ørene? :o)

Svar: Wordpress sikkerhed

Tobias — Tue, 17 Nov 2009 18:56:10 GMT

OK, tak for info Mikkel. Det giver stof til eftertanke....

Måske man skulle overveje "at lukke" hver gang jeg har haft behov for 777 på en given mappe.

Som situationen er nu står der åbent med 777 rettigheder på de vedrørte mapper sålænge udviklingen finder sted. Men for pokker da det ville være træls hvis der kunne komme snavs ind på andre sites på serveren grundet denne dovenskab.

Svar: Wordpress sikkerhed

Mikkel Mikjær Christensen — Tue, 17 Nov 2009 18:49:17 GMT

Hele sikkerheden i et Unix system er bygget op på privilegie seperation, det betyder at hvis en angriber finder en sårbarhed i dit system så vil angriberen være begrænset til at kunne gøre skade i den del han finder adgang til.

Mange enheder af dit system er designet således at dets sikkerhed er afhængig af dette element, og dermed antager de folk som har bidraget til dit system at den slags ting er sat rigtigt op.

Derfor kan du ikke vide præcis hvilke risici du tager når du laver sådan et nummer, det er dog helt sikkert at du åbner dig selv for langt flere angreb.

For eksempel giver du webserveren adgang til at oprette filer selv ... hvis ikke webserveren havde adgang til det ville 80% af alle orme eller standard angreb ikke kunne komme ind i systemet.

Svar: Wordpress sikkerhed

Tobias — Tue, 17 Nov 2009 18:20:04 GMT

Jeg forstår din holdning, men stadig vil jeg gerne have svar på spørgsmålet.

Jeg kan fortælle at jeg har en dedikeret managed server, så det er "heldigvis" umiddelbart kun mine egne data det går ud over, hvis der skulle ske noget

Men lad mig forklare nærmere så:

Undervejs i udviklingen af nogle WP sites jeg er i gang med, så er det en kæmpe fordel at have 777 på de omtalte mapper grundet nogle plug-ins der kræver dette.

Disse 777 rettigheder ændres naturligvis når siden er færdig. Men udviklingen kan godt tage et par uger, og det er i den periode jeg gerne vil vide hvor stor den potentielle risiko er.

Svar: Wordpress sikkerhed

Mikkel Mikjær Christensen — Tue, 17 Nov 2009 17:32:06 GMT

Tobias Thaastrup-Leth:

Jeg kan leve med risikoen for at de 2 omtalte mappers indhold hackes

NUL!

Der er ingen undskyldning for at ikke at lave den slags ordentligt, _slet_ ikke når det handler om sikkerhed.

Med den attitude kan det ende med at være dig der gør forskellen for om din udbyder og alle hans kunder bliver hacked.

Wordpress sikkerhed

Tobias — Tue, 17 Nov 2009 17:21:07 GMT

Er der nogen sikkerhedsmæssig risiko FOR ALLE ANDRE FILER/MAPPER ved at give chmod777 rettighed på wp-content/uploads og wp-content/gallery mapperne incl undermapper?

Jeg kan leve med risikoen for at de 2 omtalte mappers indhold hackes pga 777. Men kan en dygtig hacker komme ind i andre mapper, eller evt min database, via disse 2 mapper, grundet 777 rettighederne?

En helt anden ting... Jeg har gjort mig det til vane altid at slette brugeren "admin" straks efter installation af WP, og oprette en administratorbruger ved andet navn. Dette er vel et fornuftigt træk, eller er det spild af tid?

På forhånd tak

Tobias