Wordpress: kako da izbegnem chmod 777 za upload folder

[ljtruba]

Pozdrav,
vise puta sam haknut preko foldera koji su bili u 777 rezimu.

Kako to da izbegnem za Wordpress?
Hvala

[mangia]

recimo mod_fcgid koji omogućava da se svaki sajt vrti pod userom koji je vlasnik fajlova.

Tako možeš na sve fajlove koji sadrže passworde staviti chmod 600 i koji su čitljivi samo tvom useru. Takođe dir koji je tebi writable, može ostati zabranjen za sve druge. I nikada nećeš imati problem sa permisijama.

[centaur]

777 je ludost. Promeni vlasnika direktorijuma.
Takodje, dodaj .htaccess i zabrani da moze da "izadje" bilo sta sto je recimo .php, .sh...
Ako recimo imas samo slike, dozvoli da moze samo .png, .jpg, .gif i relativno si miran.

I ako si haknut, reinstaliraj server i dobro proveri fajlove koje postavljas. Moguce je da su "hakeri" ostavili neki backdoor.

[miks]

Moze li neko objasnjenje kako se to dogodilo? Osim upload foldera (i eventualno cache foldera, mozda je upravo ovde problem u kesiranju) nijedan folder nebi trebalo da ima write permission, osim ako neces autoupdate i online edit fajlova i ostalog, mada i tu postoji opcija sa FTP-om.

[ivanhoe]

1) Upload folderu ne moras da dajes 777, vec samo apache treba da ima pristup njemu, a obicno je na hostingu apache dodat u grupu usera, pa ce i 770 resiti problem.

2) Treba uvek dodati u .htaccess:

Kôd:

RewriteCond %{REQUEST_FILENAME} !\.[jpg|jpeg|gif|png]$
RewriteRule  /upload/putanja/.   -   [F,L]

U sustini ovo zabranjuje pristup spolja bilo cemu u upload dir-u, osim slikama i to je onda prilicno sigurno (ako vec apache ne moze da radi pod tvojim userom). Ako je potrebno uploadovati neke druge vrste fajlova samo dodas te ekstenzije razdvojene sa | iza png...

[ljtruba]

Koliko saveta, a nista skoor ne razumem...

Dakle imam uploads folder kojem po pravilima WP treba da dam 777, a to ne zelim, vec 755

Ovo sto je ivanhoe napisao mi je najlogicnije, samo pitanjce... koja je putanja?
Ako je .htaccess u tom folderu, sta onda treba da pise?
hvala

[ljtruba]

Stavio sam ovo u htaccess

<Files ^(*.jpeg|*.jpg|*.png|*.gif)>
order deny,allow
deny from all
</Files>

i ostavio za sada 777...

[centaur]

Folder mora da ima dozvolu za pisanje za apache usera, a nikako da bude 777.
Znaci, treba apache (ili kako god da se zove) da bude vlasnik direktorijuma i da ima 700 ili eventualno 770 (recimo ako radis rsync na neki server pa jos neko treba da pristupa fajlovima ili bilo koji slicni scenario).
Svi fajlovi u tom direktorijumu treba da budu 600 (ili opet eventualno 660).
Uz to i ovaj .htaccess koji si dodao, relativno si siguran (bar po tom pitanju).

[ljtruba]

pitao sam provajdera, kaze sve moze, ali najbolji je suPHP
sta god to znacilo

[Nemanja Avramović]

suPHP menja UID procesa koji izvršava skripu tako da se skripte izvršavaju pod onim korisnikom koji je njihov vlasnik, tako da skripta može i da piše u fajlove koji imaju chmod 644 i foldere koji imaju 755 npr (ako je owner isti kao owner skripte). Ja ga koristim na serveru i super vrši posao, a pritom i sprečava malware da pređe sa nekog sajta na tom serveru na drugi sajt na istom serveru