Joomla-mapper er unwritable med CHMOD 755

[olafos]

Jeg jobber med to forskjellige nettsteder, begge med Joomla 1.0.15. På begge installasjonene har mapper filrettighetene 755, filer 644.
Når jeg skal installere en ny komponent får jeg i det ene tilfellet gjort dette uten videre, mens jeg på det andre nettstedet får melding om at mappene media/, administrator/components/, components/ og images/stories alle er "unwritable". Jeg forandrer rettighetene på de aktuelle mappene til CHMOD 777 i mitt FTP-program og installerer uten vansker. Etterpå endrer jeg mapperettighetene til 755.
Har jeg et problem? Og i så fall, hvor? Med nettstedet hvor jeg kan installere uten videre, eller på det andre hvor jeg må sette CHMOD til 777 før jeg får installert?
Sist men ikke minst - hvilke tiltak er eventuelt nødvendige?

Vennlig hilsen
Olav

[rued]

Det kunne vært nyttig med informasjon om de forskjellige nettstedene også er på forskjellige servere, hos forskjellige leverandører. Men ut fra det du skriver antar jeg det.

Se tråden i FAQ-forumet angående rettigheter på mapper og filer for hvordan du delvis kan avhjelpe problemet: http://forum.joomla.org/viewtopic.php?f=436&t=32911

[olafos]

Det kunne vært nyttig med informasjon om de forskjellige nettstedene også er på forskjellige servere, hos forskjellige leverandører. Men ut fra det du skriver antar jeg det.

Se tråden i FAQ-forumet angående rettigheter på mapper og filer for hvordan du delvis kan avhjelpe problemet: http://forum.joomla.org/viewtopic.php?f=436&t=32911

Jeg har latt dette ligge i bero lenge, men kjenner det irriterer en smule når jeg ikke får særlig klargjørende svar fra mitt webhotell.
Til spørsmålene fra rued: Det mapperettighetene fungerer utmerket bruker jeg http://www.webhuset.no - på det andre http://www.ServeTheWorld.net.
Jeg hadde en chat med brukerstøtte i dag, og fikk blant annet servert dette:

…..
Olav : Uansett - for den minste endring i Joomla, må jeg åpne en rekke mapper til 777 for i det hele å få gjort noe. Det betyr vel at webserveren har eierrettighetene. Går det an å endre dette?
ServeTheWorld Support: hvis webserveren har eierrettighetene så holder det med 700 Du kan ikke endre eierskap og for filer du eier selv så må webserveren få skriveaksess med mindre du ønsker å gå over til å benytte php i cgi modus
ServeTheWorld Support: Men iom. at Joomla er notorisk for sikkerhetshull så vil jeg anbefale at du gjør dette kun i oppstartsfasen da du åpner siten din for misbruk fra uvedkommende
Olav : at Joomla er notorisk for sikkerhetshull har jeg hørt fra dere tidligere. Bør jeg flytte til annen leverandør for å få rettighetene til å fungere tilfredsstillende?
ServeTheWorld Support: Dette er ikke et rettighetsproblem. Problemet ligger i at vi kjører PHP i sapi modus, noe som gjør at php script sorterer under en annen bruker (webserveren) enn din. Brukerprivilegiene må, som forklart, bli deretter. Du må gjerne kjøre PHP i CGI modus for å omgå dette men da åpner du et vepsebol av andre sikkerhetsproblemer så det blir en avveiing av hva du ønsker å oppnå. Det beste er kanskke å alliere seg med en tekniker eller webdesigner som kan sette opp dette for deg.
ServeTheWorld Support: Og Joomla vil være like usikkert uansett hvilken leverandør du velger
.......

Hvordan kommer jeg meg videre?

Vennlig hilsen
Olav

[rued]

Bytt leverandør, enkelt og greit.

Når en leverandør skylder på sikkerhetproblemer i skriptene skjuler de sin uvitenhet rundt sikker drift av servere bak dette, og har kanskje ikke helt fått med seg at tiden hvor brukerne var fornøyde med statiske html-sider er forbi.

Joomla! i seg selv har ikke sikkerhetsproblemer, og til dags dato har jeg ikke opplevd å få en eneste side hacket. Mulig det skjer meg også en dag, men så langt 0 - og jeg har brukt Joomla! siden det var Mambo ... Men det er kalrt, setter man configuration.php åpen for skriving for hele verden, eller installerer elendig kodede utvidelser som må ha chmod 777 på en hel del filer og mapper for å kunne virke, så er man naturligvis veldig sårbar. Bruker man hodet, oppdaterer når sikkerhetsutgivelser kommer, og har en god leverandør er man rimelig sikker.

Dessverre ser vi stadig at folk ikke forstår behovet av å oppdatere sine skripter (Joomla!, utvideler osv.), og derfor blir hacket. Men dette gjelder alle dynamiske systemer, også på offentlige nettsider, som mange sikkert har fått med seg i nyheter i løpet av året - det er ikke et Joomla!-fenomen.

Men kanskje Joomla! har gjort det for enkelt for både private, og andre å tilby klargjøring av nettsider - uten at man egentlig vet hva man driver med når det kommer til sikkerhet.

Joomlainorge.no kjører på server med suexec hos PROISP, noe som løser rettighetsproblemene du opplever. Andre kjører suPHP hos f.eks Domeneshop og Webhuset som du nevner, men der opplever man til tider trege systemer hos begge.

[olafos]

Tusen takk for raskt svar, Rune!

Tror PROISP er et godt valg, og ser at det heller ikke særlig dyrere enn hotellet jeg bruker i dag.
At en har tilgang til fersk backup, vil heller ikke være en ulempe.
I følge Gulesider, har firmaet adresse i min kommune, og det har vi heller ikke noe i mot!

Ellers har jeg selvsagt oppdatert jevnlig, og kjører selvsagt siste versjon - 1.0.15.
1.5 har jeg ikke våget meg på ennå...

Vennlig hilsen
Olav