Wenn Sie ein Hosting-Paket bei einem Anbieter wie all-inkl.com buchen, kann es vorkommen, dass Sie aufgrund der Rechteverwaltung Schwierigkeiten mit den Dateien haben. Insbesondere WordPress-Nutzer sollten sich mit dem Prinzip der Dateirechte auseinandersetzen. In diesem Artikel werde ich Ihnen erklären, was es mit Benutzern, Dateien und Berechtigungen auf einem Server auf sich hat.
All-inkl.com stellt standardmäßig zwei Benutzer (Datei-Besitzer) für Shared-Hosting-Pakete zur Verfügung:
- den PHP-Nutzer/Webserver
- und den FTP-Nutzer.
Der PHP-Nutzer ist für Dateien verantwortlich, die von den Skripten des Webservers erstellt werden. Zum Beispiel wird der PHP-Nutzer zum Besitzer einer Datei, wenn ein Plugin über das WordPress-Backend installiert wird oder wenn eine Datei durch WordPress angelegt wird.
Wenn Sie jedoch besagtes Plugin über einen FTP-Client wie Filezilla in den Plugin-Ordner von WordPress hochladen, wird der FTP-Nutzer zum Besitzer. Dies kann zu Problemen führen, wenn Sie versuchen, ein von WordPress angelegtes oder installiertes Theme durch einen FTP-Upload zu überschreiben oder die automatische Update-Funktion im Backend zu verwenden. Jedes Mal müssen Sie den FTP-Nutzer angeben, damit das Update erfolgreich durchgeführt werden kann, was lästig sein kann.
Obwohl es lästig sein mag, hat die Unterscheidung zwischen dem PHP-Nutzer und dem FTP-Nutzer einen (sicherheitstechnischen) Sinn. Ernesto Ruge erklärt in seinem Beitrag, warum dies der Fall ist und welche Auswirkungen dies auf die Dateirechte hat.
Um vorübergehend Abhilfe zu schaffen, bietet all-inkl.com eine Funktion namens „Besitzrechte“ unter „Tools“ an. Sie können ein Verzeichnis auf Ihrem Webspace auswählen und es dem anderen Besitzer zuweisen. Diese Änderung wird in ein paar Minuten wirksam und kann in Filezilla nachverfolgt werden. Allerdings ist dies keine dauerhafte und bequeme Lösung.
Esther Nowack schlägt vor, in all-inkl.com PHP als Fast-CGI ausführen zu lassen. Sie können dies erreichen, indem Sie eine entsprechende Anweisung an den Beginn der .htaccess-Datei setzen:
AddHandler php-fastcgi .php
Auf diese Weise umgehen Sie die Frage, welchem Nutzer die Dateien gehören. PHP wird dann der alleinige Besitzer aller Dateien. Der Vorteil besteht darin, dass Ihre Website dadurch schneller wird und Sie bei Installationen von Themes/Plugins und Updates keine Zugangsdatenabfrage mehr benötigen. Der Nachteil besteht darin, dass Ihr WordPress nun anfälliger für Sicherheitslücken bei schlecht programmierten Themes und Plugins ist.
Eine weitere Möglichkeit besteht darin, die Konfigurationsdatei wp-config.php zu ändern. In meinem Artikel erfahren Sie, welche Einstellungsmöglichkeiten es gibt, einschließlich des direkten FTP-Zugangs.
Da ihr damit die Zugangsdaten eures FTP-Accounts in eine Datei schreibt, die zumindest theoretisch von außen erreichbar ist, solltet ihr das folgende Snippet in eure .htaccess schreiben:
# Absicherung der wp-config.php
<files wp-config.php>
Order deny,allow
deny from all
</files>
Schlussendlich bleibt es jedem selbst überlassen, wie er seine Dateien und Verzeichnisse mit den zur Verfügung stehenden Server-Nutzer organisiert. Die „Umgehungen“ sind verlockend und bequem, wäre mir aber zu risikobehaftet.
Fazit
Zusammenfassend lässt sich sagen, dass die Rechteverwaltung bei Webservern wichtig für die Sicherheit und den reibungslosen Betrieb von Webseiten ist. Insbesondere WordPress-Nutzer sollten sich mit dem Thema auseinandersetzen, um Probleme bei Installationen von Plugins, Themes und Updates zu vermeiden. All-inkl bietet verschiedene Möglichkeiten, um die Dateirechte effektiv zu verwalten und den FTP-Zugang zu sichern. Es ist jedoch wichtig, sich vor der Nutzung dieser Funktionen über die Auswirkungen und Risiken zu informieren. Der .htaccess Generator von All-inkl kann eine nützliche Hilfe sein, sollte aber nur von erfahrenen Nutzern verwendet werden.
Die Idee mit dem FastCGI Handler ist schon ganz nett. V.a. weil dann FS_METHOD direct Calls ausgeführt werden können. Muss man auch erstmal drauf kommen.
Aber das verstecken der wp-config.php blicke ich noch nicht: die ist doch auch so nicht abrufbar, oder?
Die ist so lange „unsichtbar“, bis aus irgendeinem Grunde das PHP Modul nicht aktiv ist und die Datei im Quelltext vom Browser ausgeliefert wird.
Das mit dem PHP-Ausführen als FastCGI funktioniert deshalb so gut, weil ab dem Moment praktisch FTP-User gleich PHP-User ist.
Im FastCGI-Modus werden nämlich PHP-Skripte mit den Rechten des jeweiligen FTP-Users ausgeführt und damit dürfen die ab dem Moment alles (innerhalb des Webspace) was der FTP-User auch darf (Dateien hochladen, anlegen oder löschen, Verzeichnisse anlegen oder löschen). 🙂
Das ist richtig. Weshalb ich einige Leute kenne, die davon (aus Sicherheitsgründen) strikt abraten.
Hallo Lars,
ich habe einen Artikel zu All-Inkl.com und Pagespeed verfasst. Es würde mich freuen, wenn Du ihn am Ende Deines Beitrags weiter empfehlen würdest.
Gruß
Bernhard
Danke für diesen super Tipp.
Gibt es wirklich einen Geschwindigkeitsvorteil von FastCGI gegenüber PHP als Apache-Modul? Und falls ja, woraus resultiert der?
Top Hilfestellung 🙂 Danke du hast mir einen mühsamen Tag erspart