Apache/mod_rewrite/WordPress Probleme

[Marfinho]

Hallo liebe User,

Ich bin ein "Frischling" was Linux und die Einrichtung eines Servers angeht. Ich habe mir einen Root-Server bei Strato gemietet und wollte diesen gern mit Apache, PHP und MySQL ausstatten. Erst einmal rudimentär, der Sicherheitsaspekt steht erst einmal hinten an. Das hat sich soweit geklappt. Bei dem Versuch WordPress auf dem Server laufen zu lassen, geht eigentlich auch alles bis auf das Problem mit den "schönen Links". Ich habe schon das Internet durchforstet und ein paar Denkanstöße gefunden, die mich aber nicht weiter gebracht haben.
Ich habe das Problem, dass ich die Links in den Einstellungen nicht konfigurieren kann. Derzeit ist die Adresse ADRESSE.de/Index.php/Artikel . Wenn ich das zu z.B. ADRESSE.de/Artikel ändere, bekomme ich außerhalb der Startseite nur eine 404-Meldung. Ich habe schon dem User www-Data volle Rechte gegeben, das Modul rewrite aktiviert, FollowSymLink aktiviert und AllowOverride auf All gestellt. Trotzdem funktioniert es nicht.
Hat irgendwer noch Denkanstöße oder den entscheidenden Tipp?

Danke schon einmal im Vorraus,

Sven

P.S. Wenn jemand eine gute Einsteigerseite für die Administration und sichere Einrichtung hat, nehme ich gern diese Info entgegen

[Colttt]

ok, bevor hier jede menge schreiben ohh nein.. hier ein paar links die du lesen solltest..
http://daemonkeeper.net/70/dein-neuer-linux-server/
http://daemonkeeper.net/43/linux-ist-ni ... h-lass-es/
sind zwar beide schon etwas älter, aber die themen sind immer noch top aktuell..

der Sicherheitsaspekt steht erst einmal hinten an

das ist schonmal die völlig falsche herangehensweise.. ich möchte nicht auch noch von deinem Server spam bekommen weil er gekapert worden ist und du es nicht mit bekommst!

ansonsten mal die Doku dazu lesen.. https://codex.wordpress.org/Using_Permalinks

P.S. Wenn jemand eine gute Einsteigerseite für die Administration und sichere Einrichtung hat, nehme ich gern diese Info entgegen

https://debian-handbook.info/browse/stable/
http://openbook.rheinwerk-verlag.de/linux/

[Marfinho]

Hallo,

Danke erstmal für die Antwort

Bezüglich der Sicherheit. Rudimentäre Sachen habe ich ja schon durchgeführt wie Root sperren, fail2ban und so. Was ich meinte sind z.B. TLS Verschlüsselung für den FTP.

Die Dolu von WordPress habe ich mir ja schon zu Gemüte geführt und habe alles so konfiguriert wie dort angegeben. Aber trotzdem keinen Erfolg bisher gehabt.

Ich lese mir nachher mal die Links durch und schaue weiter

Vielen Dank,

Sven

[uname]

Um helfen zu können solltest du Auszüge aus deiner Apache2-Konfiguration und aus .htaccess posten. Die Rewrite-Regeln selbst hast du korrekt angelegt bzw. von Wordpress usw. übernommen? Im übrigen hängt die Sicherheit vor allem von Wordpress ab. Achte darauf, dass es immer aktuell ist. Lese http://codex.wordpress.org/Hardening_WordPress . Niemand wird deinen SSH-Zugang hacken wenn dein Passwort nicht vollkommen dämlich vergeben ist.

[Marfinho]

Hallo,

Die .htaccess ist ja von WordPress selbst erstellt und beinhaltet folgendes:

Code: Alles auswählen

# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /kapitalerfang/
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /kapitalerfang/index.php [L]
</IfModule>

# END WordPress

Was für Auszüge aus der Config sind den aussagekräftig ?
Danke für den Link zum "WordPress härten" Ich werde die entsprechenden Tipps dort umsetzen, sobald die Grundkonfiguration läuft.

Vielen Dank

Sven

[hec_tech]

Bitte besondere Vorsicht bei allen Wordpress Plugins. Die meisten Angriffe kommen über diverse Plugins.

Ich würde Wordpress sowieso nur mit IDS und Reverse Proxy betreiben. Das Ding ist leider durch die extrem anfälligen Plugins nicht sicher zu bekommen - die aber oft benötigt werden bzw Kunden meinen diese zu brauchen.

Aber poste vieleicht mal die Logs vom Apache dann können wir dir auch helfen. Was sagt das rewrite Log bzw Error Log vom Apache?

FTP kannst du dir sparen brauchst du eher nicht da tuts SCP auch.

[Marfinho]

Hallo,

Also, ich habe mal eben ein wenig was zu IDS gelesen. Im Prinzip starte ich eine virtuelle Maschine, in der WordPress läuft. Jeder Netzwerkein- sowie ausgang wird überwacht und kann nicht auf das Hauptsystem zugreifen. Habe ich das soweit richtig verstanden?!

Die /var/log/apache/error.log

Code: Alles auswählen

[Tue Mar 08 15:28:03.981571 2016] [:error] [pid 27934] [client 51.255.65.36:47584] script '/var/www/html/index.php' not found or unable to stat
[Tue Mar 08 15:31:38.710678 2016] [:error] [pid 27934] [client 37.187.94.174:34564] script '/var/www/html/index.php' not found or unable to stat
[Tue Mar 08 15:35:27.894398 2016] [:error] [pid 27936] [client 37.187.94.211:50658] script '/var/www/html/index.php' not found or unable to stat
[Tue Mar 08 15:39:45.437616 2016] [:error] [pid 27936] [client 185.25.151.159:58583] script '/var/www/html/testproxy.php' not found or unable to stat
[Tue Mar 08 15:56:22.832624 2016] [:error] [pid 27956] [client 37.187.94.146:46044] script '/var/www/html/index.php' not found or unable to stat
[Tue Mar 08 16:05:35.813089 2016] [:error] [pid 27931] [client 37.187.95.169:34480] script '/var/www/html/index.php' not found or unable to stat
[Tue Mar 08 16:13:09.521254 2016] [:error] [pid 27934] [client 51.255.65.53:15056] script '/var/www/html/index.php' not found or unable to stat
[Tue Mar 08 16:14:56.563073 2016] [:error] [pid 27961] [client 37.187.95.158:32732] script '/var/www/html/index.php' not found or unable to stat
[Tue Mar 08 16:15:37.508317 2016] [:error] [pid 27931] [client 37.187.94.29:15325] script '/var/www/html/index.php' not found or unable to stat
[Tue Mar 08 17:02:45.137485 2016] [:error] [pid 27961] [client 51.255.65.52:51164] script '/var/www/html/index.php' not found or unable to stat
[Tue Mar 08 17:02:48.459549 2016] [:error] [pid 27933] [client 51.255.65.22:59728] script '/var/www/html/index.php' not found or unable to stat
[Tue Mar 08 17:06:25.524490 2016] [:error] [pid 27932] [client 37.187.94.38:55903] script '/var/www/html/index.php' not found or unable to stat
[Tue Mar 08 17:06:42.078811 2016] [:error] [pid 27961] [client 51.255.65.36:41826] script '/var/www/html/index.php' not found or unable to stat
[Tue Mar 08 17:08:21.244323 2016] [:error] [pid 27961] [client 37.187.95.80:42602] script '/var/www/html/index.php' not found or unable to stat

[hec_tech]

Ein IDS erkennt Angriffsmuster und kann Abwehrmaßnahmen durchführen. Beispiele für IDS: snort und suricata
https://de.wikipedia.org/wiki/Intrusion ... ion_System

Dazu solltest du noch eine Firewall wie arno-iptables oder sonst was laufen haben. Vorsicht beim installieren dass du dich nicht aussperrst

Mach mal ls -la /var/www/html/

[Marfinho]

Okay, auf snort bin ich auch gestoßen.

Ich werde nachher mal nach dem von dir erwähnten iptables schauen, danke!

Mit ls -la gibt mal alle Dateien aus, richtig oder? Ergebnis lässt jedenfalls darauf schließen.

Code: Alles auswählen

ls -la /var/www/html/
insgesamt 24
drwxr-xr-x 3 ftpuser  kapitalerfang  4096 Mär  4 17:14 .
drwxr-xr-x 3 www-data kapitalerfang  4096 Mär  8 17:15 ..
-rw-r--r-- 1 ftpuser  kapitalerfang 11104 Mär  3 16:41 index.html
drwxrwxrwx 5 ftpuser  kapitalerfang  4096 Mär  7 17:56 kapitalerfang
lrwxrwxrwx 1 ftpuser  kapitalerfang    21 Mär  3 20:10 phpmyadmin -> /usr/share/phpmyadmin

Danke für die bisherige Hilfe!

[uname]

Im Prinzip starte ich eine virtuelle Maschine, in der WordPress läuft.

Dieses Schutzsystem bringt dir wahrscheinlich weniger. Es ist wohl so, dass vor allem durch Plugins Wordpress gehackt wird und über den Webserver wird dann Schadcode verteilt. Da Wordpress an Apache2 gekoppelt ist bringt dir hier deine virtuelle Maschine weniger bis nichts. Der Angreifer hat es eher nur auf Webserver mit Wordpress abgesehen und nicht auf deinen root-Account. Vor allem uninteressant wenn dort sowieso fast nur Wordpress läuft

Hier mal ein paar Themen zu Wordpress. Am besten du liest die Sicherheitsthemen mal durch. Dann weißt du was dich erwartet.

http://www.heise.de/thema/Wordpress

Versuche auf Plugins zu verzichten, nutze nur stabile Versionen und kümmere dich um regelmäßige Updates. Lese evtl. auch in Foren mit oder trage dich in irgendwelche Security-Mailverteiler ein.

[hec_tech]

Es existiert in dem Verzeichnis keine index.php. Das ist der Fehler da dürften die ganze Pfade nicht passen.

Und bitte keine 777 bei Workpress das ist Harakiri mit Anlauf!!!

Was sich auch sehr bewährt hat ist täglich die Checksummen über alles was in Wordpress liegt zu fahren und mit diff zum Vortag zu schaun was sich geändert hat. Damit finde ich zumindest recht schnell wo sich etwas verändert hat. Natürlich muss man dazu auch wissen welche Dateien sich ändern dürfen und welche nicht.

[Colttt]

Ganz doofe Frage, aber muss es wordpress sein? Warum nicht Drupal? Das ist nicht ganz so unsicher.

[uname]

Warum nicht gleich ein Flat-File CMS? Da gibt es auch keine Sicherheitsprobleme beim Zugriff auf die Datenbank

http://trendschau.net/blog/uebersicht-flat-file-cms