All-inkl.com – FTP User und PHP User und wie man beide umgeht

Wenn man wie ich beim deutschen Webhoster all-inklusive ein Paket gebucht hat, gerät man schon mal mit der Rechteverwaltung bei seinen Dateien aneinander. Vor allem, wenn WordPress ins Spiel kommt.

All-inkl kennt von Haus aus zwei Benutzer (Datei-Besitzer) auf dem Server:

  • den PHP Nutzer
  • und den FTP Nutzer

Der PHP Nutzer kommt immer dann ins Spiel, wenn Dateien von den Skripten des Webservers angelegt werden.

Ein Beispiel:

Wenn man ein Plugin über das WordPress-Backend installieren lässt oder eine Datei durch WordPress angelegt wird.
Dann ist der PHP Nutzer der Besitzer dieser Datei.
Lade ich besagtes Plugin allerdings mittels FTP Client (z.B. Filezilla) in den Plugin-Ordner von WordPress, wird der FTP Nutzer zum Besitzer.

Das könnte euch eigentlich piepegal sein, wenn es sich nicht durch störrisches Verhalten bemerkbar macht. Versucht mal, ein von WordPress angelegtes/installiertes Theme durch einen FTP Upload zu überschreiben. Oder werft mal die automatische Update Funktion im Backend an. Jedes Mal müsst ihr den FTP Nutzer angeben, damit das Update auch durchläuft. Nervig, oder?

SO nervig das auch sein mag, es hat alles seinen (sicherheitstechnischen) Sinn. Warum das so ist und was die Dateireichte damit zu tun haben, lest ihr im Beitrag von Ernesto Ruge nach.

Kurze Abhilfe schafft die Funktion Tools > Besitzrechte im KAS von all-inkl. Ihr wählt dort ein Verzeichnis auf eurem Webspace aus, das ihr dann dem anderen Besitzer zuweist. Das geht auch rekursiv für die ganzen nachfolgenden Unterverzeichnisse. Die Änderung wird ein paar Minuten später übernommen und die Änderung könnt ihr dann in Filezilla auch nachvollziehen. Allerdings wollt ihr das nicht jedes Mal machen müssen und so richtig komfortabel ist das auch nicht.

Von Esther Nowack habe ich den Tip erhalten, in all-inkl das PHP als Fast-CGI ausführen zu lassen. Um das zu erreichen, schreibt ihr

AddHandler php-fastcgi .php

an den Beginn der .htaccess Datei.
Damit umgeht ihr die Frage, welchem Nutzer die Dateien gehören. PHP wird damit zum alleinigen Besitzer aller Dateien. Der Vorteil liegt im Geschwindigkeitsvorsprung, den eure Seite damit hat und im Wegfall der Zugangsdatenabfrage bei Installationen von Themes/Plugins und Updates.
Der Nachteil liegt darin, dass euer WordPress nun anfälliger für Sicherheitslücken bei schlecht programmierten Themes und Plugins ist.

Eine andere Möglichkeit bestände in der Abänderung der Konfigurationsdatei wp-config.php. In meinem Artikel darüber erfahrt ihr, was es alles für Einstellungsmöglichkeiten gibt – auch für den direkten FTP Zugang.
Wenn ihr aber solche tiefgreifenden Änderungen an der wp-config.php durchführt, schliesst diese wenigstens vor den Augen neugieriger Mitmenschen aus. Dazu schreibt ihr in die .htaccess den folgenden Anweisungsblock:

# Absicherung der wp-config.php
<files wp-config.php>
Order deny,allow
deny from all
</files>

Da ihr damit die Zugangsdaten eures FTP-Accounts aufs Spiel setzt, rate ich (bei allen gefühlten Sicherheitsvorkehrungen) von diese Methode dennoch ab.

All Inklusive bietet euch auch einen .htaccess Generator, den ihr euch mal ansehen solltet. Nutzt diesen Service aber nur, wenn ihr wisst, was ihr dort tut.

7 Kommentare:

  1. Die Idee mit dem FastCGI Handler ist schon ganz nett. V.a. weil dann FS_METHOD direct Calls ausgeführt werden können. Muss man auch erstmal drauf kommen.

    Aber das verstecken der wp-config.php blicke ich noch nicht: die ist doch auch so nicht abrufbar, oder?

  2. Das mit dem PHP-Ausführen als FastCGI funktioniert deshalb so gut, weil ab dem Moment praktisch FTP-User gleich PHP-User ist.
    Im FastCGI-Modus werden nämlich PHP-Skripte mit den Rechten des jeweiligen FTP-Users ausgeführt und damit dürfen die ab dem Moment alles (innerhalb des Webspace) was der FTP-User auch darf (Dateien hochladen, anlegen oder löschen, Verzeichnisse anlegen oder löschen). 🙂

  3. Hallo Lars,
    ich habe einen Artikel zu All-Inkl.com und Pagespeed verfasst. Es würde mich freuen, wenn Du ihn am Ende Deines Beitrags weiter empfehlen würdest.

    Gruß

    Bernhard

  4. Danke für diesen super Tipp.

  5. Der Vorteil liegt im Geschwindigkeitsvorsprung, den eure Seite damit hat […]

    Gibt es wirklich einen Geschwindigkeitsvorteil von FastCGI gegenüber PHP als Apache-Modul? Und falls ja, woraus resultiert der?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.