Filrettigheter på nettserver forklart: slik hindrer du at små feil blir store sikkerhetshull

Feil filrettigheter på en nettserver kan være som å glemme å låse ytterdøren. Det ser greit ut helt til noen prøver seg, og da kan skaden bli stor på kort tid.

Heldigvis trenger du ikke være systemadministrator for å få grunnleggende kontroll. Med noen få prinsipper og konkrete innstillinger kan du redusere risikoen betydelig, særlig på nettsteder som WordPress og lignende publiseringsløsninger.

Hva betyr egentlig filrettigheter?

Filrettigheter bestemmer hvem som kan lese, endre eller kjøre en fil eller mappe på serveren din. På Linux-baserte webhotell, som mange bruker, styres dette ofte med tall som 644, 755 eller 777.

Det kan se teknisk ut, men i bunn og grunn handler det om tre ting: eier, gruppe og andre. Hver av disse kan få rettigheter til å lese (r), skrive (w) og kjøre (x) filer.

Den korte forklaringen på 644, 755 og 777

Tallene du ser, som 644 og 755, er en kortform for hvilke rettigheter de tre gruppene har. Hvert siffer er en sum av verdier: lesing er 4, skriving er 2 og kjøring er 1.

Eksempel: 6 betyr 4+2, altså lese og skrive. 5 betyr 4+1, lese og kjøre. 7 betyr 4+2+1, lese, skrive og kjøre. Slik leses et vanlig eksempel som 755:

• 7for eier: lese, skrive, kjøre
• 5for gruppe: lese, kjøre
• 5for andre: lese, kjøre

Hvorfor filrettigheter betyr mye for nettside-sikkerhet

En typisk webserver kjører mange nettsteder på samme maskin. Hvis filer er for åpne, kan andre brukere på samme server eller automatiske skript få mulighet til å lese eller endre innholdet ditt.

En angriper som finner en sårbarhet i et tema, et plugin eller et eget skript, får større handlingsrom hvis filrettighetene er for vide. Da kan de for eksempel laste opp skadevare, endre PHP-filer eller legge inn skjulte omdirigeringer.

Trygge standardverdier for nettsider

For et typisk PHP-basert nettsted, som WordPress, er det noen utgangspunkt som ofte anbefales. Det er lurt å sjekke dokumentasjonen til din løsning og webhost, men en vanlig, forsiktig standard ser slik ut:

• Filer:644 (eier kan lese og skrive, andre kan lese)
• Mapper:755 (eier kan lese, skrive og kjøre, andre kan lese og kjøre)
• Konfigurasjonsfiler:strammere, for eksempel 640 eller 600 der det er mulig

Poenget er at eieren (kontoen du logger inn med via FTP eller filbehandler) får det som trengs for drift, mens «andre» kun får lese det som serveren må kunne levere offentlig.

Hva du bør unngå: 777 og «alt åpent»

Rettigheten 777 betyr at alle kan lese, skrive og kjøre filen eller mappen. Det er praktisk for en kort test, men svært risikabelt på en nettside som står åpen mot internett.

Noen instruksjoner på nettet ber deg sette 777 for å «løse» et rettighetsproblem. Det kan fungere midlertidig, men åpner ofte for misbruk, spesielt hvis det er mapper for opplastinger eller PHP-kode.

Hvordan justere filrettigheter i praksis

De fleste webhotell gir deg to enkle veier: filbehandler i kontrollpanelet eller FTP/SFTP-klient på egen maskin. I begge tilfeller kan du vanligvis høyreklikke en fil eller mappe og velge noe som ligner «Permissions» eller «Rettigheter».

Der kan du enten hake av for lese, skrive og kjøre for eier, gruppe og andre, eller skrive inn tallverdier som 644 og 755. Mange filbehandlere lar deg også bruke «Apply to subdirectories» for å sette rettigheter rekursivt i en mappe.

Et trygt utgangspunkt for en typisk WordPress-installasjon

Dette er et generelt oppsett som ofte fungerer godt på delte webhotell, men kontroller gjerne mot veiledning fra ditt webhotell før du gjør større endringer:

• Alle filer:644
• Alle mapper:755
• wp-config.php:600 eller 640, hvis serveren tillater det
• Opplastingsmappe (for eksempel wp-content/uploads):755 på mapper, 644 på filer

Hvis noe slutter å fungere etter en endring, kan webhotellets støtte ofte gi deg konkrete tall som passer akkurat deres oppsett.

Slik oppdager du at rettighetene er feil

Noen tegn går igjen: du får feilmeldinger om at WordPress ikke kan oppdatere seg selv, du kan ikke laste opp bilder, eller temaer og utvidelser nekter å installere. I andre tilfeller kan du merke uvanlig atferd som plutselige endringer i filer uten at du har gjort noe.

Ser du mistenkelige PHP-filer, ukjente mapper i opplastingsområder eller kodeinjeksjoner i eksisterende filer, kan feil filrettigheter ha gjort det lettere å endre innholdet. Da bør du kombinere opprydding med strammere rettigheter og gjerne ekstra sikkerhetstiltak.

En liten sjekkliste du kan bruke jevnlig

• Sjekk at det ikke ligger mapper eller filer med 777 i webrot eller underkataloger.
• Kontroller at konfigurasjonsfiler ikke har mer enn nødvendig rettigheter.
• Hold temaer, plugins og CMS oppdatert for å redusere sjansen for at sårbarheter utnyttes.
• Be webhotell-leverandøren sjekke eierskap og standardrettigheter hvis noe virker ulogisk.

Du trenger ikke forstå alle detaljer for å ha god effekt. Bare det å rydde bort 777, følge trygge standarder og spørre om hjelp når noe skurrer, gir et stort løft i sikkerhetsnivå.

Når bør du be om profesjonell hjelp?

Hvis du ser tegn til kompromitterte filer, mye ukjent kode eller gjentatte angrep, kan det være klokt å ta kontakt med noen som jobber med nettservere til daglig. De kan ofte kombinere justering av filrettigheter med logganalyse, opprydding og forebyggende tiltak.

For løpende drift holder det for de fleste å forstå hovedprinsippene, unngå altfor åpne innstillinger og jevnlig ta en rask sjekk. Som med låser på huset er målet ikke å gjøre det umulig å bryte seg inn, men så krevende at angripere heller går videre til neste adresse.