22.5 Verzeichnis- und Dateirechte prüfen
Falls mal ein Bild-Upload scheitert oder eine neu installierte Erweiterung über fehlende Schreibrechte klagt, wird z. B. in Forendiskussionen gelegentlich empfohlen, die Rechte der betreffenden Dateien und Verzeichnisse doch auf 777 zu setzen. Dieser Zahlencode für eine Rechteeinstellung unter Linux ist aus Sicherheitsperspektiven äußerst bedenklich, denn damit erhält jeder, der in der Lage ist, sich auf den Server Ihres Webspaces einzuloggen, Lese-, Schreib- und Ausführungsrechte. Gerade wenn Sie sich einen Webserver mit vielen anderen Kunden des Webhosters teilen, sehr häufig bei Webhosting-Paketen im unteren Preissegment der Fall, ist Ihre Website verwundbar. Als mögliche Folge lassen sich beliebige PHP-Scripts unterjubeln und ausführen, die den Server missbrauchen oder sensible Benutzerdaten auslesen.
777-Berechtigungen einzusetzen resultiert nicht sofort in einer Hackerübernahme Ihrer Website, reduziert aber die Zahl der Sicherheitsmechanismen. Kein einzelner Mechanismus kann alle Angriffe abwehren, darum baut Sicherheit auf den Einsatz vieler einzelner Bestandteile. Die ordnungsgemäße Rechtevergabe von Datei- und Verzeichnisrechten gehört dazu.
Für Joomla!-Websites gelten diese Empfehlungen für die Verzeichnis- und Dateirechte:
-
Dateien: 644
-
Verzeichnisse: 755
-
configuration.php: 444 (ausschließlich Leserechte)
Diese Rechte setzen Sie entweder mühevoll per FTP (z. B. über FileZilla, Rechtsklick-Kontextmenü auf ein Verzeichnis oder eine Datei, dann Dateiattribute…), oder Sie behelfen sich mit der Erweiterung Admin Tools, die durch einen einzelnen Buttonklick alle Rechte der gesamten Joomla!-Installation auf die empfohlenen Werte setzt. Mehr zu diesem Tool lesen Sie in Abschnitt 16.3, »Mehr Sicherheit mit Admin Tools«.
Hintergrund: Einen einfach zu bedienenden Umrechner für die Zahlencodes der Rechteeinstellungen finden Sie unter http://permissions-calculator.org. Über den Reiter Octal setzen Sie Berechtigungshäkchen, um den Zahlencode zu erhalten, im Reiter Decode Octal dechiffrieren Sie einen Zahlencode in lesbare Rechtebezeichnungen.