Filrettigheter på Wordpress filer

[kongen]

Hvilke filrettigheter skal det være på Wordpress filer for å unngå at noen skriver over, legger inn suspekt kode osv? Er det 555?

Hva mede config-filen? 511?

 

[Jan W.]

644.

Hardening WordPress WordPress Codex

 

[kongen]

Trenger virkelig noen filer være skrivbare?
Har fått flere filer med 644 hacket (hos Domeneshop)

 

[Pong]

Hadde vel vært kjekt å kunne overskrive filer med din egen brukerid, f.eks. med en upgrade?
644 = owner lese +skrive, resten kun lese.

 

[Jan W.]

Om du oppgraderer via ftp, kan du fjerne skriverettigheter også for "brukeren"

Hvilke filrettigheter skal det være på Wordpress filer for å unngå at noen skriver over, legger inn suspekt kode osv? Er det 555?

Ja en 555 burde gjøre susen.
555 = lese og kjørerettigheter for alle. (bruker, gruppe og andre)

Om du er virkelig paranoid kan du sette config-fila til 444. (Kun leseretigheter)

Har akkurat skrevet en guide om filrettigheter. Her finner du de forskjellige kombinasjonene, og hva de gjør.

 

[kongen]

Om du er virkelig paranoid kan du sette config-fila til 444. (Kun leseretigheter)

400 mener du kanskje, 444 gir alle leserettigheter og da kan jo hvem som helst lese brukernavn/passord til mysql-databasen.

 

[kongen]

Hadde vel vært kjekt å kunne overskrive filer med din egen brukerid, f.eks. med en upgrade?
644 = owner lese +skrive, resten kun lese.

Det er greit å kunne overskrive med en upgrade ja, men problemet er at jeg har fått hacket filer med kun owner-skriver-rettigheter for mange ganger hos Domeneshop.

 

[Jan W.]

400 mener du kanskje, 444 gir alle leserettigheter og da kan jo hvem som helst lese brukernavn/passord til mysql-databasen.

Ja 400. Ingen kan lese php-filene dine uansett, ikke om serveren er riktig satt opp.
Om det ikke går med 0400, kan du prøve med 444. Serveroppsettet avgjør dette.

Nå er vi vel litt ekstreme vel?

 

[allegretto]

Om du får hacket filer så er det vel ikke nødvendigvis owner-skriver-rettigheter som er problemet. Jeg ville ha sett på andre løsninger ( som hosting, serveroppsett bl.a. )

 

[Tonny Kluften]

Hvis Wordpress er hacket så er det vel sql-injection. Har ofte vært det tidligere.

 

[kongen]

Hvis Wordpress er hacket så er det vel sql-injection. Har ofte vært det tidligere.

Filene jeg har fått hacket til nå er vanlige html og php filer (uten noe database brukt på sidene) med owner-skriver-rettighet. Disse sidene (index-filen) har blit overskrevet med en ny fil som sier noe ala "hacked by en-tyrkisk-idiot".

Det jeg vil forsikre meg mot nå er at ikke noen av de Wordpress sidene jeg skal sette opp blir hacket. Kan se for meg det blir mye unødvendig ekstraarbeid hvis databaser er involvert hvis sidene blir hacket.

Skulle ønske man kunne sette filene til 644 (med owner-skriver-rettigheter for update) for så å "låse" nettstedet totalt med et passord for skriverrettigheter, for så å "låse opp" til normale rettigheter når man trenger det (f.eks. update) uten å måtte låse opp alle filene enkeltvis. Finnes det noe slikt?