«

»

Aug 17

Dateiberechtigungen im WordPress-Web

Ein wichtiger Aspekt zur WordPress – Sicherheit im Blog oder im Profi-Blog sind die Dateirechte und die Verzeichnisrechte (Directories)

Unter Linux können Sie mit folgenden Befehlen sowohl die Rechte für die Dateien als auch die für die Verzeichnisse korrekt setzen:

find . -type f -exec chmod 644 {} \;

find . -type d -exec chmod 755 {} \;

Wichtig: Diese beiden Befehle setzen voraus, daß Sic sich im aktuellen WordPress-Root-Verzeichnis befinden!

Mit diesen Dateirechten soltlen auch die WordPress-Updates problemlos laufen.

Sollte das – abhängig von der Serverkponfiguration – bei WordPrss-Upgrades noch zu Fehlermeldungen führen, lassen sich die Datei- und Verzeichnisberechtigungen auch einfach mit dem ftp-Client (z.B. FileZilla) setzen.
Hier eine komplette Übersicht der notwendigen Berechtigungen:

wp-admin/ rekursiv 755
/wp-admin/index.php 644
/wp-includes/ rekursiv 755
/wp-content/ 755
/wp-content/themes/ rekursiv 777 wenn Editor benutzt wird, sonst 755.
/wp-content/plugins/ rekursiv 777 wenn automatische Installation gewünscht.
/wp-content/upgrade 777
/wp-content/uploads 777
/wp-content/cache bei Einsatz des WP-Super Cache Plugins 777
./wp-cache-config.php 777
/wp-content/backup/ bei Einsatz des WordPress Backup Plugins rekursiv 777
/wp-content/ rekursiv je nach Plugin 755 oder 777

Weitere Informationen für die Sicherheit von WordPress:

http://codex.wordpress.org/Hardening_WordPress

8 Kommentare

Zum Kommentar-Formular springen

  1. Linux Fachwissen vom Profi

    Danke für die Hilfreichen Einzeiller,
    diese helfen sehr gut um unsaubere Dateinrechte in einer WordPress Installation und damit evtl. Sicherheitslücken zu finden 😉

    *hust* gut sind die User / Admins die auf ihre Gesampte Installation ein chmod 777 /pfard/zum/wwwdoc/wordpress loslassen und sich dan wundern warum es Malware Schaft ihren Mühevoll Aufgebauten Blog zu Kompromentieren.

    1. Haareraufend

      Ich fürchte den feinen Sarkasmus in dem Kommentar von „Linux Fachwissen vom Profi“ hat der Autor nicht verstanden..

      Leider ist diese Art der Anleitung gerade für den Einsatz von WP kein Einzelfall bzw. eher die Regel. Mir als Admin stehen die Haare zu Berge, wenn sich Möchtegern-Admins nict darüber im Klaren sind, wie Rechtevergabe auf einem Linuxserver im Zusammenspiel mit Apache funktioniert.

      Hauptsache, man hat schnell mal ein WP aufgesetzt, aber wehe es funktioniert nicht richtig.. Das erinnert mich irgendwie daran, dass jemand nicht weiß, wie er mit dem Schlüssel sein Auto aufbekommt und als „Workaround“ das Auto offen lässt 🙁

      Ich empfehle die Einarbeitung in https://codex.wordpress.org/Changing_File_Permissions

      Und insbesondere dieses hier: https://codex.wordpress.org/Changing_File_Permissions#The_dangers_of_777

      1. Fritz Raddatz

        Wozu Rechtevergabe wenn der Benutzer des Pc’s der einziege ist der in der Wohnung lebt und in seiner Familie auch Exot ist der Linux benutzt.

        Die Geschwister von Mir haben einen Heiden-Respeckt vor dem unheimlichen Linux.

        Also wozu muss ich mich um die Rechtvergabe scheren?

        Fritz Raddatz

        1. Rudolf Fiedler

          Wer diesen Blog aufmerksam verfolgt merkt sehr schnell, dass es hier um die Dateirechte innerhalb eines WordPress-Blogs geht. Dabei spielt es natürlich keine Rolle, wer in seiner Wohnung lebt, und welches Betriebssystem man auf seinem Home-Rechner verwendet. Das sollte selbst einem Linux-User bekannt sein. (Gerade deshalb weil Linux-User meist technisch versiert sind)

  2. Rudolf Fiedler

    Welche Hilfen sind denn für welche User die richtigen? Manch ein WordPress-User, der seine Installation z.B. über One-Click-Pakete eingerichtet hat, ist noch nie in die Situation gekommen, einen ftp-client zu verwenden, geschweige denn, mit diesen Programmen die Rechte der vorhandenen Dateien und Verzeichnisse zu prüfen oder zu ändern.
    Für den sind sicherlich die angebotenen Hilfen auch nicht hilfreich. Mit den englischen Beiträgen seiten WordPress kommen diese User auch nicht weiter. Hier ist dann (zur Beruhigung aller Admins) angesagt, dass sich diese user dazu durchringen, etwas Geld in die Hand zu nehmen, und sich von Profis weiter helfen lassen.
    Es lässt sich in der Praxis leider nicht vermeiden, dass Beiträge nur von solchen Usern gelesen werden, die auch über das vorausgesetzte Fachwissen verfügen.

    1. Fritz Raddatz

      Was versteht denn der Herr unter etwas Geld in die Hand nehmen?

      Ich bin Rentner und hab nur 700,- Euro zur Verfügung, ******Von der Redaktion entfernt*************

      1. Rudolf Fiedler

        Wenn jemand ein Geschäft betreibt, und seine Werkzeuge nicht selber pflegen kann, muss er dazu entweder jemand zu Hilfe holen, der das kann, oder es lassen. Wenn ich ein Auto habe, dass kaputt ist und ich kann es nicht selbst reparieren, muss ich auch zum Profi gehen, der dann Geld kostet. Das sollte einer im Rentenalter unabhängig vom Einkommen auch begreifen. Auch wenn er offensichtlich noch nie etwas von einer „Netiquette“ gehört hat.

  3. Tobias Heyl

    Ich arbeite gerade für einen Freund an einer aktuellen WordPress-Installation (v 4.6.1).

    Nun habe ich mich selber länger nicht mehr mit der Installation selbst beschäftigt, weil bei den meisten Anbietern eine „One-Click“-Installation bereits möglich ist — nicht so bei Host Europe, wie ich feststellen musste.

    Nun habe ich mit allerlei Aufwand versucht, die Dateiberechtigungen zu setzen, wie es hier geschrieben steht (wobei einiges davon m.M.n. so nicht nötig wäre mit den 777er-Berechtigungen), allerdings bin ich immer wieder auf die Nase gefallen; es ließen sich keine Plug-ins installieren und auch nicht deinstallieren, sogar für diesen Prozess fragte mich WP plötzlich nach den FTP-Daten.

    Nach viel hin und her konnte ich herausfinden, dass es daran lag, dass das ganze mit den Berechtigungen des FTP-Users geschehen war (klar, damit habe ich die Dateien hochgeladen). Host Europe bietet allerdings einen recht unkomfortablen Dateimanager per Browser an, mit dem ich dann rekursiv über alle Verzeichnisse den Besitzer der Dateien / Ordner auf den WEB-User geändert habe — und siehe da, es klappte. Ich habe bei keinem Ordner 777 als Berechtigung gesetzt und kann dennoch Themes instalieren (in diesem Fall auch lokal eine .zip-Datei hochladen).

    Wer dasselbe Problem hat, der findet die Einstellungen dazu im sog. KIS (Kunden-Informations-System):
    Produktverwaltung > Webhosting > Webspace & Nutzer > Dateiverwaltung (den richtigen Account ausgewählt, falls man mehrere Domains nutzt).

    Viel Spaß & Erfolg – mich hat das gerade ganz schön abgenervt!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>