Ubuntu-Forum & Kubuntu-Forum | www.Ubuntu-Forum.de

Ich tendiere dazu etwas nervös zu werden wenn jemand ein so oft geknacktes System wie Wordpress verwenden will und grundlegende Wissenslücken hat.

Zeig' uns bitte einmal die momentan gesetzten Rechte für den htdocs-Ordner.

Zitat

Ich möchte Wordpress ausprobieren, weil ich es zukünftig für meinen Beruf brauchen werde (wenn sich nicht wieder alles umdreht). Grundlegene Wissenslücken - vielleicht bezogen auf Linux, aber deswegen will ich das ja lernen und mehr erfahren. Ich lerne am besten mit ausprobieren und testen, deswegen hab ich mir ein Testsystem eingerichtet.

Solange besagtes Testsystem in keinster Weise über das Internet erreicht werden kann ist alles in bester Ordnung.

Zitat

Ich möchte hier keine Diskussion lostreten, aber ALLE Systeme sind zu knacken, Wordpress wird von vielen verwendet, deswegen liest man auch negative Beiträge.
Außerdem wird auf Windows und OS X Xampp und Wordpress gleich installiert, da gibt es allerdings weniger (eigentlich keine) Probleme mit Rechten. Zumindest OS X ist für mich als Anwender genau so sicher wie Linux, obwohl ich die Rechte habe.

Da steckt viel Halbwahrheit drinnen, aber du hast Recht. Lassen wir das.

Was ich vielleicht noch hätte fragen sollen: Welche Art von Problemen macht er dir? Zeigt er Dinge nicht richtig an? Oder lässt er dich gar nicht zugreifen?

Navigiere bitte via Terminal in das entsprechende Verzeichnis und poste die Ausgabe von ls -la. Besitzer www-data ist eigentlich korrekt, auch wenn ich lange keine LAMP mehr benutzt habe.

Zitat von »macci«

allerdings macht er mir mit den Rechten Probleme für den htdocs Ordner

Wo liegt der? In deinem home-Verzeichnis kannst du eigentlich keine Probleme haben. Du wirst doch nicht als User in Systembereichen rangieren wollen?
Sonst hätten wir wieder die regelmäßige Frage "wie bekomme ich Schreibrechte außerhalb meines Verzeichnisses, damit ich die volle Kontrolle habe und gleich auch mein ganzes System weichklopfen kann". Weil das immer schon so eine abgefahrene Idee unter Noobs war, haben die Apache-Jungs ein geiles Modul geschrieben und sogar ein fettes Manual zum ganzen Webserver.

Also von den Rechten her sollten eigentlich die Verzeichnisse 755 und die Datein 644 haben.
Es wäre übrigens noch interessant wie die Rechte im Ordner wp-content und natürlich wp-content/themes sind, diese sind in deinem "Wordpress-Installationsverzeichnis" zu finden.
Auch bitte wiederum ein "ls -al"

@.not gibt es zu deiner Behauptung

Zitat

so oft geknacktes System wie Wordpress

irgendwo Zahlen?

Ich kann nicht mit wissenschaftlichen Statistiken oder Whitepaper-Analysen dienen - aber eine oberflächliche Google-Suche führt mich beispielsweise zu diesem oder diesem Artikel. Und wenn man sich die Exploit-Datenbanken, bei denen Zerodays gar nicht aufscheinen, ansieht findet man hunderte Schwachstellen, von denen noch nicht alle bereinigt wurden.

Ansonsten kann ich nur das wiedergeben was ich auf Nachrichtenseiten immer wieder lese oder was mir tagtäglich in der Arbeit begegnet. Wordpress ist ein unglaublich populäres CMS, aufgrund des Bedienkomforts und der Zuschneidbarkeit absolut verständlich. Leider sind aber genau diese zwei Eigenschaften ziemlich gefährlich. Der Bedienkomfort sorgt dafür, dass jeder Mensch ohne gröbere technische Kenntnisse sich einen Blog aufsetzen kann. Und dieser aufgesetzte Blog wird dann mit allerlei Plugins erweitert. Nachdem das geschehen ist wird der Blog liegen gelassen, technisch betrachtet. Man schreibt seine Artikel, generiert Inhalte, aber aktualisiert wird nichts mehr.

Ich habe jeden Tag mindestens drei Mails vom lokalen CERT in meinem Postfach, weil irgendjemand eine Seite defaced hat. Und nicht selten sind das Kunden die Wordpress verwenden. Nicht, dass das falsch rüberkommt, ich mag Wordpress sehr gerne, nutze es ja auch. Aber ich will die Gefahren nicht verharmlosen die vorhanden sind wenn man selbstständig hostet.

Was kann der user dafür, wenn der Hersteller zu blöd/dumm/faul oder gar unfähig ist, die Bugs etc zu stopfen?? Siehe aktuell mal wieder und ständig Java.

Nichts. Aber der User kann sehr wohl was für falsche Konfigurationen, nicht aktualisierte Software und andere Probleme dieser Kategorie.

Zitat von »macci«

Hätte ich Xampp in mein Homeverzeichnis installieren sollen

Wenn das möglich ist, wäre es bestimmt die reibungsloseste Variante für einen lokalen Testbetrieb. Käme dann auch nicht mit systemweiten Paketen/Diensten in Konflikt und ließe sich bei Bedarf spurlos wieder entfernen.

Bei systemweiter Installation wäre eine Zusammenstellung der benötigten Komponenten aus Ubuntu-Quellen noch besser, wenn man sich Support in einem Ubuntu-Forum wünscht. Für Xamp-Support wäre eher ein Xamp-Forum zuständig

Inwiefern sich nämlich das von mir erwähnte UserDir-Modul unter Xamp einbinden und konfigurieren lässt, entzieht sich zumindest meiner Kenntnis (und es muss mich auch nicht interessieren, da es ja unter Debian/Ubuntu einen geradlinigen Weg gibt).

Zitat von »macci«

Ich weiß nicht warum man hier ständig angegriffen wird?!

Wie meinst du das?
Niemand greift hier wen an.
Es geht lediglich darum, dich auf schwachstellen hinzuweisen.
Ich meine, du willst doch auch nicht, dass irgendwer über deine Webseite problemlos deinen Server hacken kann, oder? Ich zumindest würde das nicht wollen...

Und zum anderen: xampp ist ein Programm, das hauptsächlich unter windows gebraucht wird, afaik.
Ubuntu hat aber einen eigenen webserver, der vielfach sogar vorinstalliert ist. er nennt sich LAMPP (Linux Apache Mysql Php Perl).
Ich meine, du holst für eine Frage zu einem Autoradio von einem x-beliebigen Hersteller auch keinen Support in einem Audi-Forum (Wenn du einen Audi fährst). Nur so als vergleich...

Gruss Manu

Zitat

Käme dann auch nicht mit systemweiten Paketen/Diensten in Konflikt und ließe sich bei Bedarf spurlos wieder entfernen.

Das ganze kommt definitiv nicht in die Querre mit Ubuntu-Paketen, da das Verzeichnis "/opt" für solche "optionalen Anwenderprogramme" ist. Wie das ganze ja schon in FHS definiert ist, dort haben Ubuntupakete nichts verloren.
Und entfernen lässt es sich auch zu 100% da alles in einem Verzeichnis ist, es werden nicht mal Startskripte generiert. Es muss also immer "von Hand" gestartet werden.

Zitat

Inwiefern sich nämlich das von mir erwähnte UserDir-Modul unter Xamp
einbinden und konfigurieren lässt, entzieht sich zumindest meiner
Kenntnis

dieses Modul interessiert hier eigentlich niemand. Der Threadersteller möchte gerne Wordpress ausprobieren, und will nicht zunächt eine 2-3 jährige Server-Administrator-Prüfung machen.
Es ist klar, dass Xampp (respektive alter Name Lampp) nicht für Sicherheit gemacht ist, sondern für Laien, welche auch gerne in nützlicher Zeit einen funktionierenden Server haben. Das ganze ist zum Ausprobieren gedacht.

Zitat

Es tut mir leid das ich Ubuntu verwende, es tut mir leid das ich Xampp verwende und es tut mir leid das ich Wordpress brauche.

Das muss/darf dir nie leid tun. Die Reaktionen sind schon etwas am kochen. Man soll niemand zur Verwendung von irgendwelchen Programmen/Software zwingen, man darfs erwähnen und gut ists.
Schlussendlich darf jeder machen was er will. Und ich glaube auch nicht, dass macci vor hat in nächster Zeit mit seinem eigenen Server 24/7 Live zu gehen, falls ja bitte melden.

Zitat

Und zum anderen: xampp ist ein Programm, das hauptsächlich unter windows gebraucht wird, afaik.

afaik lol Für schnell etwas auszuprobieren, immer noch eines der am schnellsten zusammengestellten lampp-Systemen. Hab doch keine Lust wenn ich nur 2-3 Sachen probieren will, einen ganzen lampp zu konfigurieren.
Besonders wenn man vielleicht eine alte PHP-Version auch noch probieren sollte...
Und viele Privatleute brauchen gar nicht mehr, da sie vielleicht ihre Website auf einem x-beliebigen Hoster betreiben (welcher Php, Mysql und Apache verwendet und auch schaut, dass diese sicher sind).

Zitat

Ich meine, du holst für eine Frage zu einem Autoradio von einem x-beliebigen Hersteller auch keinen Support in einem Audi-Forum

Rechteprobleme sind in diesem Forum schon zu x-beliebigen Programmen diskutiert worden.

Und hey wenn man keine Antwort hat auf das Problem oder keine Lust hat, man muss nicht antworten.

PS: Er hat keine Windows-Frage in einem Linux-Forum gestellt. Rechteprobleme sind halt für Anfänger immer zunächst nicht einfach.

Nja ich finde schon, dass der Ton hier gerade etwas rau ist. Das passiert schnell, wenn es um Serverthemen geht... Ich finde das vom Prinzip her nachvollziehbar, weil wir alle mehr Ärger damit haben, wenn jemand eine unabgesicherte Webanwendung zur Verfügung stellt, aber im gegebenen Fall hilft das doch auch nicht weiter. So wie ich Macci verstehe, möchte er einen nur lokal erreichbaren Webserver installieren, um damit ein ebenfalls nur lokal erreichbares Wordpress zu testen. Als Testumgebung finde ich Xampp auch durchaus geeignet, man sollte sich nur eben dessen bewusst sein, dass Xampp bitte nicht als Produktivsystem eingesetzt werden möchte. Der meines Erachtens schon teilweise recht scharfe Gesprächston führt aber wohl eher dazu, dass Macci sich hier zurückzieht, als dass er etwas daraus lernt.

Wenn ihr meint, dass Macci einen richtigen Apache/MySQL aufsetzen soll, erklärt ihm bitte auch gleich dazu, wie er die Anwendungen korrekt konfigurieren soll. Meines Wissens ist Xampp z.B. standardmäßig nur lokal erreichbar (man möge mich korrigieren, falls ich falsch liege), was ja hier gerade förderlich ist. Dem Apache müsste man das erst von Hand beibringen.

Zum Rechte-Problem: Macci, ich sehe kein Problem darin, dass Xampp in /opt liegt. Du kannst dir eine Verknüpfung zu dem Verzeichnis, das die Website enthalten soll, in dein Home-Verzeichnis legen und deinem Benutzer darauf Zugriffsrechte geben. Beachte dabei aber bitte, dass diese Konfiguration nur zum Testen geeignet ist. Für ein Produktivsystem wäre diese Herangehensweise nicht sicher genug.

Wie wird deine angestrebte berufliche Tätigkeit aussehen? Sollst du nur "inhaltlich" mit Wordpress arbeiten oder sollst du auch die Software selbst und/oder den Server betreuen, auf dem es liegt?


Edit: Ihr habt fleißig geschrieben, während ich getippt habe. Hier noch eine kleine Ergänzung:

Zitat

Xampp ist Lampp soweit ich informiert bin. Das X steht nur für beliebiges OS. Unter Linux heißt es Lampp unter Windows Wampp und unter OS X Mampp.

Wenn einer vorinstalliert ist, dann bitte ich mir Informationen zukommen zu lassen. Das wusste ich nicht, dann erspare ich mir die Xampp Geschichte und kann gleich mit Wordpress und dem integrierten Lampp loslegen?

Genau, Xampp ist Lampp. Und meines Wissens ist es nicht vorinstalliert. (Wäre auch ein schönes Ding, sowas standardmäßig aufgenötigt zu bekommen finde ich. )

Also hab mal mit der neusten Xampp-Version aka 1.8.1 getestet. Das ganze ist restriktiver Konfiguriert als früher, er lässt dich z. B. nicht mehr ans phpmyadmin ohne was zu ändern
Zu der Wordpress-Geschichte bei mir sind die Permissions so:


Also mehr oder weniger gleich wie bei dir, nur das ich beim Ordner "htdocs" den Benutzer "nobody" habe. Du hast "www-data" als Besitzer gut im Prinzip ist es egal (Vielleicht eine andere/ältere Version).
Du musst alle Dateien im Verzeichnis "wordpress" dem "www-data" als Besitzer geben, also das wäre dann so zu machen:

unter Annahme, dass du wordpress in dieses Verzeichnis installiert hast!
Anschliessend solltest du alles Installiern/Schreiben können im Wordpress, falls du schon das FTP-Zeugs von Wordpress eingestellt haben solltest, würde ich es wieder entfernen, da dies nicht wirklich gut funktioniert!

Zitat von »maettu«

Das ganze kommt definitiv nicht in die Querre mit Ubuntu-Paketen, da das Verzeichnis "/opt" für solche "optionalen Anwenderprogramme" ist.

A) sprach ich auch von Diensten und ich würde gerne sehen, wie sich ein anderer, vielleicht später installierter Webserver und dieses Sorglos-Paket ohne weiteres Zutun friedlich einen Port teilen.
B) sagst du völlig richtig, daß /opt für Programme vorgesehen ist. Wenn du genau hinschaust, möchte der TE aber auch seine Webinhalte dort rein bekommen.

Zitat von »maettu«

dieses Modul interessiert hier eigentlich niemand.

Das ist leider ein alter Hut. Es wäre nämlich immer schon der einfachste Weg, die Spielwiesen der User völlig unproblematisch für den Webserver zur Verfügung zu stellen. Ganz ohne Rechteprobleme. Aber schön, daß du bestimmst, wen hier was zu interessieren hat.

Zitat von »maettu«

Der Threadersteller möchte gerne Wordpress ausprobieren, und will nicht zunächt eine 2-3 jährige Server-Administrator-Prüfung machen.

Das hat er schon gesagt. Deshalb hat er sich auch ein >80MB Paket heruntergeladen, mit dem er jetzt nicht weiter weiß. Aber es könnte alles können, von HTTP über IMAP bis LDAP.
Die Alternative wäre, das Paket wordpress aus den Repos zu installieren, dann wird genau Apache, Mysql und PHP als Abhängigkeit mit installiert. Samt Download und Konfiguration hat das laut "time" satte 14 Minuten auf einem leeren System gedauert, bis die fertige Wordpress-Seite auf localhost erschien. Und es gab kein einziges Rechte-Problem, weil die von Ubuntu wissen wo alles hingehört.
Ich habe übrigens auch keine 2-3 jährige Server-Administrator-Prüfung gemacht und auch noch nie Wordpress installiert. Den Apache installiere und verwende ich normal auch nicht.

Zitat von »maettu«

Man soll niemand zur Verwendung von irgendwelchen Programmen/Software zwingen, man darfs erwähnen und gut ists.

Falls du damit mich meinst: Ich wüsste nicht, wann ich jemanden zu irgendwas gezwungen hätte. Ein nützliches Modul zu erwähnen gestattest du ja selbst.

Zitat von »maettu«

Für schnell etwas auszuprobieren, immer noch eines der am schnellsten zusammengestellten lampp-Systemen. Hab doch keine Lust wenn ich nur 2-3 Sachen probieren will, einen ganzen lampp zu konfigurieren.

Siehe oben.
Wird alles von der Paketverwaltung nachgezogen. Dafür ist sie da.

Zitat

XAMPP Linux 1.8.1 81 MB Apache 2.4.3, MySQL 5.5.27, PHP 5.4.7 & PEAR + SQLite 2.8.17/3.6.16 + multibyte (mbstring) support, Perl 5.14.2, ProFTPD 1.3.4a, phpMyAdmin 3.5.2.2, OpenSSL 1.0.1c, GD 2.0.1, Freetype2 2.1.7, libjpeg 6b, libpng 1.2.12, gdbm 1.8.0, zlib 1.2.3, expat 1.2, Sablotron 1.0, libxml 2.7.6, Ming 0.4.2, Webalizer 2.21-02, pdf class 009e, ncurses 5.3, mod_perl 2.0.5, FreeTDS 0.63, gettext 0.17, IMAP C-Client 2007e, OpenLDAP (client) 2.3.11, mcrypt 2.5.7, mhash 0.8.18, eAccelerator 0.9.5.3, cURL 7.19.6, libxslt 1.1.26, libapreq 2.12, FPDF 1.6, XAMPP Control Panel 0.8, bzip 1.0.5, PBXT 1.0.09-rc, PBMS 0.5.08-alpha, ICU4C Library 4.2.1, APR (1.4.6), APR-utils (1.4.1)

Das sind aber nur die Programme, nicht die mitgezogenen Pakete. Umsonst sind es ja auch keine 80MB.

Zitat von »maettu«

Rechteprobleme sind halt für Anfänger immer zunächst nicht einfach.

Das Problem ist aber allgemeiner Natur. Gerade deshalb ist es gut, daß man normalerweise kaum damit in Berührung kommt, wenn man sich innerhalb der Distribution bewegt.

Zitat von »maettu«

Das ganze ist restriktiver Konfiguriert als früher, er lässt dich z. B. nicht mehr ans phpmyadmin ohne was zu ändern

Tja...

Zitat von »macci«

Ich weiß nicht warum man hier ständig angegriffen wird?!

Von dir würde ich gerne wissen, von wem und wodurch du dich hier angegriffen fühlst, von mir etwa? Wenn ja, dann tut es mir leid, daß ich dir einen von vielen Wegen zeigen wollte, wie du das ganze selbst gebaute Problem nicht nur lösen, sondern umgehen kannst. Denn wie du selbst sagst:

Zitat von »macci«

Irgendwo und Irgendwann muss man lernen Anfangen.

Jetzt fängst du eben bei den Rechten außerhalb des $HOME zu lernen an. Deine Entscheidung, und ich rede dir bestimmt nicht drein.

Zitat von »macci«

Im Mercedes Forum gibt man auch Hilfe zu Navi Geräten, die nicht Mercedes sind.

Da wäre ich aber gespannt, wie man in so einem Waldorf-Forum reagiert, wenn man reinpostet:

Zitat

Ich persönlich sehe für mich das Problem schon bei Mercedes. Wie gesagt, wird Teil XY eingebaut wo es anschließend nicht funktioniert. Ich hab Teil XY im Audi, BMW und jetzt Mercedes eingebaut. Nur Mercedes macht Probleme damit - deswegen ein Mercedes Forum.

Ich sehe aber nicht, daß dir hier im Forum zu deinem Problem keine Hilfen angeboten worden wären. Ein Hinweis, daß du dich mit einem Fremdpaket nicht glücklich machen wirst, wenn es eine hauseigene Alternative gäbe, ist ja immerhin auch eine Hilfestellung, oder nicht? Zumindest war es so gemeint.

Ich bin raus.