Kommentare

Gewusst wie: All-Inkl – Updates bei sicheren Dateirechten — 27 Kommentare

  1. Liebe Michaela,

    ich habe meine Website nicht bei All-Inkl, sondern bei Webhostone gehostet. Doch im Prinzip gehe ich genauso vor wie in deiner Anleitung beschrieben und freute mich zu erfahren, dass du das genauso machst. Bei Webhostone geht es, wie ich finde, sogar noch ein bisschen einfacher.

    Du könntest vielleicht noch auf das sehr hilfreiche Tool chmod-test.php, das Ernesto Ruge zur Verfügung stellt, hinweisen. Damit kann man ganz schnell checken, ob die Dateirechte alle richtig eingestellt sind. Ich habe gerade am Anfang, nach der Umstellung der Dateirechte damit oft gecheckt, ob alles geschützt ist.

    • Hallo Karin,

      vielen Dank für Deinen Kommentar und Deinen Hinweis auf das von Ernesto empfohlene Tool.

      Herzliche Grüße
      Michaela

  2. Erstmal danke für den hilfreichen Artikel. Auch ich hoste alle meine Websites und die meine Kunden bei all-inkl. Allerdings hatte ich noch niemals irgendwelche Schwierigkeiten bei der Installation von WordPress auf den Servern von all-inkl.com. Ganz im Gegenteil: jede Installation, und ich verwende ausschließlich WordPress, verlief glatt und sauber. Plugins der verschiedensten Arten laufen reibungslos, so dass ich den Satz „Allerdings macht er es WordPress-Einsteigern nicht immer ganz leicht.“ nicht ganz nachvollziehen kann. All-Inkl ist der für mich am besten geeignetste Provider.
    Lieben Gruß
    Sigi

    • Hallo Siegfried,

      wenn man die One-Click-Installation von All-Inkl verwendet ist diese nach meiner Erfahrung tatsächlich so angepasst dass die Trennung der Besitzrechte nicht mehr zu den oben geschilderten Problemen führt.

      Bei einer klassischen WordPress-Installation (ich mag keine OneClick-Installationen) kommt die Trennung der Besitzrechte aber zum Tragen wie im oben verlinkten Beitrag von Ernesto Ruge beschrieben, was ich für absolut sinnvoll halte.

      Herzliche Grüße
      Michaela

  3. Hallo Michaela,

    ich verstehe nicht, warum Du so vorgehst. Ich habe alle meine Domains in verschiedenen Accounts bei all-inkl. Wenn ich PHP als CGI einsetze, dann kann ich alles auf den FTP-User setzen und konfiguriere in der WP-Config den FTP-User.

    Lasse ich es als Apache-Modul laufen, so hat lediglich der Ordner Uploads den Besitzer www-data alles andere ist gleich.

    *grübel*

    Robert

    • Hallo Robert,

      ich gehe so vor, weil ich die Sicherheitseinstellungen von All-Inkl mit der Trennung der Besitzrechte nach PHP- und FTP-User absolut sinnvoll finde und daran nichts ändern möchte.

      Außerdem mag ich den FTP-User nicht in der wp-config.php konfigurieren. Mich persönlich gruselt bei dem Gedanken, die FTP-Zugangsdaten irgendwo reinzuschreiben wo sie nicht unbedingt stehen müssen 🙂

      Herzliche Grüße
      Michaela

      • Hallo Michaela,

        ich stand vorgestern vor dem gleichen Problem, so fand ich auch deine Anleitung.

        Aber ich wählte dann doch die einfachere Variante und befragte all-inkl-Support. Die Lösung ist mehr als simpel. Hinzu kommt: man hebelt KEINE Sicherheitsmechanismen aus.

        Ich zitiere:
        „Bitte loggen Sie sich dazu in das KAS (https://kas.all-inkl.com/) ein. Steuern Sie dann auf Menüpunkt „Domain“ und klicken Sie auf das Symbol für „Bearbeiten“. Wählen Sie als PHP-Version die 5.6 als CGI/FPM Variante aus. Den Punkt bei Besitzrechte setzen Sie auf anpassen. Speichern Sie abschließend den Vorgang.

        Danach entfällt die Eingabe von den FTP-Daten.“

        Ich weiß nicht wie lange du für das Video gebraucht hast, aber alleine schon um das Video anzusehen, benötige ich 4 Minuten. So scheint mir die Support-Anleitung auf jeden Fall sinnvoller … und schneller.:-) Das hat auch problemlos geklappt.

        Frohes neues Jahr & Gruß
        Xenia

        • Hallo Xenia,

          vielen Dank für Deinen Kommentar. Ja, man kann das theoretisch auch so machen, dadurch werden aber die Sicherheitsmechanismen, die durch die strikte Trennung von FTP- und PHP-Nutzer gesetzt werden, ausgehebelt. Nicht jeder möchte das 🙂

          Herzliche Grüße
          Michaela

          • Hallo Michaela,
            danke! Ich versuche es zu verstehen, aber für mich ist das leider nicht nachvollziehbar was genau ausgehebelt wird, wenn ich durch die Einstellungen FTP aus der Geschichte außen vor lasse?
            Und wieso bekommt man dann vom all-inkl-Support Tipps, die Sicherheitsmechanismen aushebeln?! Das erscheint mir äußerst fahrlässig und macht mich besorgt, wenn es wahr ist.
            Magst du mir/uns das erklären, bitte?

            Viele Grüße
            Xenia (…denkt schon über einen Providerwechsel nach 🙁 )

        • Hallo Xenia, nein, Du musst definitiv nicht über einen Provider-Wechsel nachdenken 🙂 … All-Inkl. ist schon eine sehr gute Wahl.

          Schau mal, oben im Beitrag habe ich den Beitrag von Ernesto Ruge verlinkt, der erklärt, was es mit den sicheren Dateirechten auf sich hat.

          Bei den meisten Webhostern muss man diese sicheren Dateirechte explizit einstellen, bei All-Inkl. war es zumindest in der Vergangenheit so, dass die sicheren Dateirechte der Standard waren – das CGI-Modul als Standard-Einstellung bei All-Inkl. gibt es m.W. noch nicht soo lange.

          Im Prinzip bedeutet diese sichere Trennung von FTP- und PHP-Nutzer dass jemand entweder Dateien hochladen oder ausführen kann – aber nicht beides gleichzeitig. Das macht es Angreifern extrem schwer, auf die Seiten zuzugreifen, aber auch die Updates etwas komplizierter (das Procedere, das ich in meinem Video beschreibe).

          Dass der All-Inkl-Support Dir vorschlägt auf CGi umzustellen ist im Prinzip nur ein Hinweis, wie Du Dir das Leben leichter machen kannst – nämlich durch den Verzicht auf sichere Dateirechte, der bei den meisten Webhostern Standard ist.

          Wer aber diese sichere Trennung beibehalten möchte, der bleibt beim Apache-Modul und geht dann den etwas komplizierten Weg beim Updates für das Quäntchen Plus an Sicherheit 🙂

          Herzliche Grüße
          Michaela

        • Hallo Xenia,

          das war der entscheidende Tipp. Ich hatte aus versehen die PHP-Version auf das Apache-Modul umgestellt. Nach Änderung auf CGI/FPM läuft wieder alles.

  4. Hallo Michaela,

    mir hat das Tutorial sehr geholfen, weil ich endlich gesehen habe, wo ich ansetzen kann, um dieses verdammte Update hinzubekommen.

    Leider hat es bei mir erst geklappt, nachdem ich meinen kompletten Ordner auf Besitzrechte für PHP.user gestellt habe. Also quasi das Gegenteil von dem, was du beschrieben hast.

    Ich verwalte bei All-inkl mehrere Domains, alle problemlos, bis auf mein Hauptblog, der hat bisher immer Probleme bereitet. Hoffentlich war das jetzt die Lösung.

    Lieben Dank für’s Tutorial und für die immer wieder hilfreichen Artikel. Daniela

  5. Ja genau die beschriebene Problematik habe ich nun nach einen Webhosterumzug. Von 1&1 zu Allinkl.

    Ich hatte erst die Vermutung, das das mit dem Umzug zu tun hatte.
    Die WP Seite ist noch Recht frisch und noch nicht auf die Menschheit losgelassen…:)
    Gestern noch probiert über UpdraftPlus ne Sicherung zu ziehen und siehe da fehlerhafte Schreibrechte auf dem Ordner.

    Habe dann probiert via KAS die Rechte für den Ordner hoch zu setzen. 755 restriktiv. (wp-content)

    Leider schlug dieses fehl….Habt Ihr noch eine Idee!?

    Danke

    • Die Trennung der Besitzrechte ist schon absolut sinnvoll. Ich stelle den Besitzer immer nur kurzfristig um wenn es für eine bestimmte Aktion erforderlich ist (z.B. Installation oder Update von Themes oder Plugins) und stelle danach wieder zurück.

  6. Ich habe bei Abgabe eines Kommentars das unterste Häkchen gesetzt, um über weitere Kommentare informiert zu werden. Leider sehe ich keine Möglichkeit, das jetzt wieder abzustellen. Die Option, die in der Benachrichtigung angegeben wird, funktioniert nicht. Jetzt hoffe ich, dass ich auf dem Weg über einen weiteren Kommentar diese Funktion deaktivieren kann.
    Gibt es einen eleganteren Weg?

    Schönen Gruß, Karin

    • Hallo Karin, schreib mir doch einfach eine kurze Mail mit welcher Mail-Adresse Du Dich eingetragen hast, dann lösche ich Dich aus dem Verteiler.

      Es scheint tatsächlich für nicht angemeldete Nutzer keinen „OptOut“-Link zu geben – Das gebe ich mal an den Support von Postmatic weiter.

      Herzliche Grüße
      Michaela

  7. Mit dem Thema Sicherheit hast du natürlich total recht.
    In knapp 1,5 Monaten endet aber ja leider der Support (auch für Sicherheitslücken) von PHP 5.5.
    5.6 oder gar 7 laufen leider nur als CGI.
    Wer also von was aus den neuen Versionen braucht oder gerne supportete Version einsetzt, der wird darauf nicht verzichten müssen. 🙁

  8. Hallo Michaela,

    vielen Dank für das hilfreiche Video. Es hat allerdings nicht ganz ausgereicht, denn WordPress meldet:

    Das Update konnte nicht installiert werden, da wir einige Dateien nicht kopieren konnten. Dies liegt in der Regel an inkonsistenten Dateiberechtigungen.: wp-admin/includes/update-core.php

    Für /includes/ habe ich die gleiche Prozedur gemacht, dann hat es geklappt.

    • Ich glaube, die Tatsache dass es den Umgang mit WordPress doch etwas komplizierter macht, macht dieses Sicherheits-Feature nicht unbedingt attrakiv für Einsteiger.

      Auf dem Blog von Ernesto, den ich oben verlinkt habe, gibt es auch eine Übersicht über alle Hoster, die das anbieten bzw. bei denen sich diese sichere Trennung von Besitzrechten aktivieren lässt.

      Herzliche Grüße
      Michaela

  9. @Lukas: Du kannst den Support von All-Inkl um einen Umzug auf einen Server mit neuerer PHP-Version bitten, dann bekommst Du auch 5.6 oder 7 als Apache-Modul.

    Wenn man WordPress über „Software-Installation“ im KAS installiert, wird automatisch PHP im CGI-Modus eingestellt, was Updates vereinfacht, aber das System leichter angreifbar macht.

  10. erstmal vielen dank für den tipp, ich war schon kurz davor die 777 lösung zu beanspruchen….bei mir musste ich entgegen deines tutorials – damit ich wieder bilder hochladen konnte – die besitzrechte des content folders auf http://www.data ändern, ist das jetzt ein sicherheitsrisiko ?

    • Nein. Eher nicht.
      Ich weiß nicht genau warum, aber ich habe das Phänomen auch in einigen Kunden-Websites schon gehabt. Ich glaube (weiß es ehrlich gesagt aber nicht sicher), dass das etwas damit zu tun hat, ob man die WordPress-Seite per 1Click über All-Inkl. eingerichtet hat (dann muss man den Ordner auf www-data ändern) oder klassisch per Hand installiert (dann muss man auf den FTP-Benutzer ändern).

      Herzliche Grüße
      Michaela

    • Weil es für den Anwender das Leben etwas schwerer macht. Und leider bietet All-Inkl. das seit einer Weile auch nicht mehr aktiv an (der Beitrag hier ist ja schon etwas älter ) – neue Accounts sind immer ohne Trennung der Dateirechte.

      Herzliche Grüße
      Michaela

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

HTML tags allowed in your comment: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>