Wordpress - jogosultságok

Fórumok

Feltettem magamnak egy Wordpress blogmotort, csak azzal a céllal, hogy naplót írjak, magamnak, de ha egyszer úgy gondolom, akkor néhány ember, akivel szeretném megosztani, olvashassa a weben keresztül, a böngészőjébe a http://"gépem IP címe"/blog/ címsort beírva, azonban bárki ne olvashassa.

Ahol most tartok ezzel:

A blog könyvtárat a saját $HOME-omban hoztam létre, majd a webes felület miatt, hogy 127.0.0.1/blog/ címen elérhessem a böngészőmből, létrehoztam egy szimbolikus linket :

$ ln -s $HOME/blog /var/www/blog

So far so good. Természetesen a blogoláshoz csináltam egy külön "blogger" nevű MySQL felhasználót, nem a saját júzernevemen futok. Namármost a Wordpress az olyan, hogy a "blogger" felhasználó jelszavát teljesen kódolatlan formában, egyenesen az ember pofájába, úgy ahogy van, a $HOME/blog/wp-config.php nevű fájlban tárolja, ahol ott van feketén-fehéren, szó szerint, expliciten kiírva. Mégha a $HOME könyvtáramra csak nekem van olvasási jogom, a /var/www/blog szimbolikus linken keresztül akkor is bármely egyéb felhasználó beléphet a blog-könyvtáramba, és elolvashatja a blog/wp-config.php fájlból a "blogger" jelszavát, ezekután tetszőlegesen átírhatja a blogomat, meg még sokminden mást megcsinálhat.

Ezért átállítottam a $HOME/blog könyvtár jogait (és ezzel együtt a szimbolikus linkét is), hogy most

$ ls -l $HOME/blog eredménye: drwx------ .

Ennek viszont az az eredménye, hogy amikor szeretnék a blogommal bármit is csinálni, és beírom a böngészőbe, hogy http://127.0.0.1/blog/, akkor azt kapom, hogy

Error 403 - Forbidden

You don't have permission to access /blog/ on this server.

Ha kiadom a

$ chmod -R a+rx $HOME/blog, azaz a jogok drwxr-xr-x-re változnak, akkor meg minden további nélkül tudom a böngészőből a blogomat birizgálni, viszont bármelyik user a gépemen elolvashatja a $HOME/blog/ könyvtárban lévő összes fájlt, még akkor is, ha az $HOME-ba nem is tud belépni - a /var/www/blog szimbolikus linken keresztül.

Szóval ez a szituáció. Amit én szeretnék:

- A gépen a /var/www/blog (azaz $HOME/blog) tartalmához csak a létrehozója (azaz én) férhessek hozzá.
- Webes felületen keresztül (http://127.0.0.1/blog/) tudjam szerkeszteni a blogomat.
- Általam kijelölt emberek weben keresztül - értelemszerűen a http://"gépem IP címe"/blog/ címsort írva a böngészőjükbe - olvashassák a blogomat, más viszont ne.

Ezt hogy lehetne megoldani? Köszi!

Hozzászólások

Szia,
Az, hogy a blogod bongeszoben latszodjon, a webservice felhasznalojanak kell olvasasi joganak lennie a konyvtaradra. Tehat apache vagy www-data felhasznalo neveben fut (alt.). Ekkor 750 a konyvtarakra, es apache vagy www-data group jog a fajlokra/konyvtarakra.
Vagy valaszthatod, hogy a sajat usereddel fut az apache, de ez sem egy tul szep megoldas (ha finom akarok lenni).

Vegezetul amit javasolnek: ha ennyire tartasz, nyilvan ismerosoktol, hogy feltornek, akkor egy internetes blogmotort hasznalj (pl. blogspot.com), akkor azt csak jelszoval tudjak megtorni, ami mar kevesbe egyszeru. Azt a blogcimet pedig annak adod meg, akinek akarod.

--
Joe

figyusz, van itt egy rakat hülyeség meg kavarodás, szerintem a saját érdekedben olvass utána a webszervertől a WP -ig, mert nem lesz hosszú életű, vagy legalábbis nem marad zárt a blogod..

"Namármost a Wordpress az olyan, hogy a "blogger" felhasználó jelszavát teljesen kódolatlan formában, egyenesen az ember pofájába, úgy ahogy van, a $HOME/blog/wp-config.php nevű fájlban tárolja, ahol ott van feketén-fehéren, szó szerint, expliciten kiírva."

Ez nem csak a WordPressnél van így, hanem a legtöbb CMS-nél is. Ha valaki meghívja közvetlenül a wp-config.php fájlt, akkor csak egy üres lap fog neki bejönni, nem fog látni ott semmilyen jelszavat.

Arra az esetre, ha esetleg valami gebasz van szerver oldalon és emiatt a böngésző le akarja tölteni a .php fájlokat, érdemes egy .htaccess védelmet tenni rá:

<FilesMatch ^wp-config.php$>
Deny from all
</FilesMatch>