WordPress & rechten bij het updaten van themes, plugins en de WordPress core

Eerder deze week beschreef ik mijn eerste stappen in de dubbele rol van WordPressbeheerder en systeembeheerder. En vooral over de beveiligingsuitdagingen die daarbij komen kijken. Specifiek ging ik in op de concessies die ik moest maken om afbeeldingen en andere attachments toe te kunnen voegen aan mijn posts. In dit artikel ga ik dieper in op manieren waarop WordPress, plugins en themes veilig geüpdated kunnen worden. Continue reading “WordPress & rechten bij het updaten van themes, plugins en de WordPress core”

WordPress & rechten, uploads en beveiliging

Sinds november beheer ik niet alleen de site arnecoomans.nl, maar ook de server waar de site op draait. Dat houdt in dat ik naast WordPress-gebruiker nu ook beheerder ben van het onderliggende systeem. En dus ook voor de beveiliging van het geheel. Al snel werd ik geconfronteerd met keuzes in het systeem die onherroepelijk gevolgen zal hebben voor het gemak waarmee WordPress gebruikt wordt. Ik ontdekte hoe makkelijker WordPress gebruikt kan worden, hoe groter de beveiligingsrisico’s. Alles wat ik makkelijk als WordPress-beheerder kan, kan het systeem ook mogelijk als het gehackt wordt.

De uitdaging

Als WordPress-beheerder zijn de belangen anders. Dan moet het snel, efficiënt en zonder onnodige formulieren en vertragingen werken.

Als serverbeheerder wil je WordPress zo veel mogelijk onmogelijk maken iets zelfstandig uit te voeren op de server. Want de kans dat het mis gaat is groot.

Waarom is dat zo moeilijk?

Twee kapteins op één schip?

Op mijn server heb ik een eigen gebruiker: arne. Met deze gebruiker kan ik inloggen via ssh en sftp en kan ik alle web-content bewerken. Dat is wel zo veilig en er kan minder mis gaan.

Maar mijn websites (specifieker gezegd php) draait onder systeemgebruiker www-data. Om te zorgen dat mijn website toch getoond kan worden delen ze een groep. Php mag dus alle bestanden in mijn document-root lezen en gebruiken. Continue reading “WordPress & rechten, uploads en beveiliging”