Eine Schwachstelle im WordPress-Code ermöglicht autorisierten Angreifern unter bestimmten Umständen das Löschen beliebiger Dateien aus der Ferne […] Handelt es sich dabei beispielsweise um die WordPress-Datei wp-config.php, verliert WordPress den Zugang zur eigenen Datenbank und der Installationsprozess wird beim nächsten Aufruf der Seite geladen. Der Angreifer könnte anschließend eigene Admin-Zugangsdaten setzen und letztlich beliebigen Code auf dem Server starten
Seht ihr, das ist der grund dafür, warum die PHP-dateien von wördpress niemals mit den rechten des websörvers schreibbar sein sollten. Das gilt natürlich auch für die konfigurazjon. Dafür hat man ein berechtigungssystem. Es muss einfach nur benutzt werden. Der einzige ordner, in dem wördpress schreibrechte benötigt, ist der ordner wp-content, denn dort landen hochgeladene dateien, plugins, themes und ein eventueller cache. Wer richtig paranoid ist, legt im wp-content/uploads-verzeichnis noch eine .htaccess mit folgendem inhalt an…
php_flag engine off
AddType text/plain .html .htm .shtml .php .php3 .phtml .phtm .pl .py .cgi
…so dass niemand dort (zum beispiel über eine der immer wieder entdeckten sicherheitslücken) kohd hochladen und ausführen kann.
Wer davon überfordert ist, mit chmod die rechte zu vergeben (oder sie beim hochladen über FTP oder SFTP klicke-di-klick mit einer klickesoftwäjhr zu setzen), sollte besser gar nicht erst über ein selbstgehostetes wördpress nachdenken. Und natürlich muss die wp-config.php, wenn sie von wördpress generiert wurde, hinterher auch neu gesetzte rechte bekommen und sollte nicht dem websörver gehören. Es ist übrigens wirklich nicht schwierig, diese datei selbst in einem texteditor zu erstellen, und ich habe das immer so gemacht. Dann hat man nach dem hochladen nur einen schritt für die absicherung im dateisystem… und ein bisschen faul war ich auch schon immer. 😉
Schwerdtfegr (beta) 