Bei der Installation von WordPress werden automatisch Dateirechte vergeben, die serverseitig konfiguriert sind. In der Regel sind hier keine Anpassungen erforderlich. Je nach serverseitiger Voreinstellung sind jedoch Anpassungen notwendig, beispielsweise wenn die „Permalinks“ für WordPress aktiviert werden.
Bei WordPress sind aus SEO-Sicht Permalinks nicht mehr zwingend erforderlich, weil Google auch mit Seiten, die nur eine Indexziffer aufweisen, umgehen kann. Allerdings sprechen hin und wieder KEYword Gesichtspunkte dafür, nur mit Permalinks zu arbeiten.
Um auf die Installation zurück zu kommen. Wenn der Hosting Provider falsche Nutzerrechte für Dateien vergeben hat, werden bei der Installation beispielsweise zu weitreichende Zugriffsrechte auf eine Datei eingeräumt.
Lt. einer ZDNet.de Meldung ist dies bei einem großen US-Hosting Anbieter passiert. Die sensible Datei wp-config wurde serverseitig mit den Dateirechten (MOD) 755 ausgestattet. Das heisst also, nicht nur das berechtigte WordPress Skript kann auf die Zugriffsdatei zugreifen, sondern auch durch Dritte ist ein Auslesen der Datei ermöglicht. Bekanntlich befindet sich in der o.g. Datei der Accessfile zur MySQL Datenbank. Mit diesen Zugangsdaten haben es Bösewichte leicht, Daten zu manipulieren, beispielsweise die aufgerufene Domain auf eine (Schad-)Seite oder ein Pharma- oder Sexweb usw. usf. zu leiten. Soweit man also neuen Webspace einrichtet, kann es nicht schaden, mittels FTP Zugriff die Dateirechte zu prüfen – denn mit CHMOD 644 für die Konfigurationsdatei ist das WordPress Blog auf der sicheren Seite.
Grundlegende Informationen zu CHMOD gibt es neben vielen anderen Quellen auch bei Wikipedia.
Aktueller Nachtrag, 25.4.2011:
Leider häuft sich die Schadcodeverbreitung bei WordPress Blogs – weitere Infos auch hier: www.providerintern.de/2011/03/finger-weg-defrnezk-co-cc/ – es schadet auch nicht, die Blogstartseite index.php lediglich mit CHMOD 444 zu versehen!
Sehr empfehlenswert ist auch folgendes Plugin für WordPress:
=== AntiVirus ===
Contributors: stalkerX
Tags: antivirus, virus, antispam, spam, scanner
AntiVirus for WordPress is a smart and effective solution to protect your blog against exploits and spam injections
== Description ==
*AntiVirus for WordPress* is a smart and effective solution to protect your blog against exploits and spam injections. AntiVirus protection for your blog.
Documentation AntiVirus for WordPress
Also, soweit ich weiß ist sie nach der Installation standardmäßig auf 644, aber das Prüfen kann nicht schaden 😉
Pingback: providerintern.de» Blogarchiv » Finger weg: defrnezk.co.cc
Pingback: Wordpress als Quelle der Gefahr | Net-Publics.de - Aus dem Leben eines Serviceproviders