Filrettigheter på nettserver: en rolig grunninnføring for WordPress-eiere

Når et nettsted blir hacket, handler det ofte om mer enn svake passord. Feil filrettigheter på webhotellet gjør det mye enklere for angripere å endre filer, legge inn skadevare eller stenge deg ute fra din egen side.

Det høres teknisk ut, men du trenger ikke være utvikler for å få god kontroll på filrettigheter. Med noen få prinsipper kan du redusere risikoen betydelig og gjøre opprydding enklere hvis noe går galt.

Hva er filrettigheter, egentlig?

På en Linux-basert nettserver, som de fleste webhotell bruker, har hver fil og mappe regler for hvem som kan lese, skrive og kjøre den. Dette kalles filrettigheter. De bestemmer blant annet hva nettsiden din, andre brukere på samme server og webserver-programmet får lov til å gjøre.

Ser du tall som644eller755i kontrollpanelet eller FTP-klienten, er det filrettighetene du ser. Tallet beskriver en kombinasjon av lesing, skriving og kjøring for tre grupper: eier, gruppe og andre.

Hvorfor filrettigheter er viktige for nettsikkerhet

Feil innstillinger kan gi to typer problemer: for stramme rettigheter gjør at ting slutter å fungere, for åpne rettigheter gjør det lett å misbruke nettstedet. Mange velger den enkle veien og gir alt full tilgang, men da lever du farlig.

Hvis skadevare først havner på webhotellet via et hull i et tema, en plugin eller et annet nettsted på samme server, kan åpne filrettigheter gjøre at angrepet sprer seg raskere og setter dypere spor.

De trygge standardene for WordPress

For de fleste WordPress-installasjoner kan du forholde deg til noen enkle hovedregler. De fungerer ofte bra på vanlige delte webhotell, men sjekk dokumentasjonen til leverandøren hvis du er usikker.

En typisk startkonfigurasjon ser slik ut:

• Mapper:755
• Filer:644
• wp-config.php:600 eller 640 (litt strengere siden den inneholder databaseopplysninger)

Disse tallene gir eieren (deg) god kontroll, lar webserveren gjøre jobben sin og begrenser samtidig hva andre på samme server kan gjøre med filene dine.

Hva betyr tallene i praksis?

Hvert siffer i for eksempel 755 består av summen av tre verdier: 4 for lesing, 2 for skriving og 1 for kjøring. Første siffer er eier, andre er gruppe, tredje er andre. Slik kan du lese dem:

• 644:Eier kan lese og skrive, gruppe og andre kan bare lese.
• 755:Eier kan lese, skrive og kjøre, gruppe og andre kan lese og kjøre.
• 600:Eier kan lese og skrive, ingen andre har tilgang.

Mapper trenger ofte kjøre-rettighet for at innholdet skal kunne listes opp, derfor er mapper vanligvis 755, mens vanlige filer kan være 644.

Slik sjekker du filrettigheter på webhotellet

Du kan se og justere filrettigheter på flere måter, men for de fleste er kontrollpanelet hos webhotell eller en FTP-klient mest aktuelt. Bruk det du allerede har tilgang til og er komfortabel med.

Typisk fremgangsmåte gjennom filbehandler i kontrollpanelet:

1. Logg inn på webhotellets kontrollpanel.
2. Åpne filbehandleren og finn mappen der WordPress ligger, oftepublic_htmleller tilsvarende.
3. Høyreklikk på en fil eller mappe og se etter noe som heter “Permissions”, “Chmod” eller “Rettigheter”.

Justering av rettigheter uten å skape trøbbel

Det er fristende å merke alt og sette samme tall overalt, men det kan gi feil resultat. Ta deg tid til å skille mellom mapper og filer. Mange filbehandlere og FTP-klienter lar deg endre rettigheter rekursivt og velge om det bare gjelder mapper eller bare filer.

En trygg fremgangsmåte kan være:

1. Sett alle mapper i WordPress-installasjonen til 755.
2. Sett alle filer til 644.
3. Settwp-config.phptil 600 eller 640 hvis serveren støtter det.

Når ting slutter å fungere etter endring

Noen ganger kan et tema, en plugin eller en spesiell serverkonfigurasjon kreve litt andre rettigheter. Hvis du får feilmeldinger etter at du har strammet inn, bør du først notere hvilke endringer du gjorde, slik at du lett kan rulle tilbake.

Test hovedfunksjonene på nettstedet etter endring: innlogging til WordPress, opplasting av medier, installasjon eller oppdatering av utvidelser og visning av forsiden. Hvis en funksjon svikter, kan det være nok å justere rettighetene for en enkelt mappe, for eksempelwp-content/uploads.

Typiske feil å unngå

Noen innstillinger gir en kortsiktig følelse av at “alt bare virker”, men lager store hull i forsvarsverket ditt. Noen eksempler som bør unngås hvis mulig:

• 777 på mapper:Gir alle full tilgang til å lese, skrive og kjøre. Dette øker risikoen for uautorisert endring betydelig.
• Endre eierskap ukritisk:Hvis du har SSH-tilgang og brukerchownuten å vite konsekvensene, kan webserveren miste tilgangen den trenger eller få for mye makt.
• Automatiserte “fix”-verktøy uten forståelse:Noen plugins lover ett-klikk-løsning på rettigheter. Bruk slike med varsomhet og ha alltid backup først.

Kombiner filrettigheter med andre tiltak

Gode filrettigheter er ett lag i forsvaret, men løser ikke alt alene. De bør kombineres med sikkerhetskopier, oppdaterte temaer og plugins samt ryddige brukerkontoer. Tanken er å bygge flere barrierer som gjør det mer krevende å lykkes med et angrep.

En grei rytme er å sjekke rettigheter når du gjør større endringer: bytter webhotell, migrerer siden, gjenoppretter fra backup eller har ryddet etter et sikkerhetsproblem. Da vet du at grunninnstillingene er på plass.

En enkel sjekkliste du kan bruke jevnlig

Til slutt kan det være nyttig med en kort sjekkliste du kan gå gjennom et par ganger i året, eller når du uansett er inne i filbehandleren:

• Er mapper i WordPress satt til 755, med mindre webhotellet anbefaler noe annet?
• Er filer satt til 644, uten 777 på “problemmapper” som midlertidige løsninger?
• Harwp-config.phpstrengere rettigheter enn andre filer der det er mulig?
• Har du en fersk backup før du endrer noe som helst i filstrukturen?

Ved å gjøre dette til en naturlig del av nettstedsdriften, reduserer du risikoen for at små feil vokser seg til store kriser, samtidig som du beholder kontrollen uten å drukne i tekniske detaljer.