Tach!

Bei WordPress hilft auch,

• den schreibenden Zugriff auf Dateien und fast alle Verzeichnisse zu unterbinden: chmod -R a-w ./ ; chmod o+w ./wp-upload

Die Angreifer kommen in der Regel durch Lücken im Webauftritt, sind also Owner und können dann weiterhin schreiben.

nach chmod -R a-w ./ kann auch der Owner zunächst nicht scheiben (ich weiß: mit vi könnte er es erzwingen, dass dieses das Schreiben kurz erlaubt) und auch keine neuen Dateien anlegen. Er müsste die (meist in tausende neue und bestehende PHP-Skripte installierte) Webshell benutzen um sich das wieder zu erlauben. Sind die aber weg, dann hat er ein Problem.

Zu Klarstellung: Ich meinte ZUSÄTZLICH. Denn klar ist ja, wenn in wp-uploads wieder PHP-Skripte landen können (der Fehler ist sowas von "asbach"...) dann dürfen die natürlich nicht ausgeführt werden.

Natürlich kann man Wordpress auch als Linux-Paket installieren (landet in /usr/share/) und dann verlinken bzw. in der http-config Aliase setzen. Viele Hoster bieten das auch an, aber dann kann man natürlich nicht ohne weiteres jede shitty Erweiterung nutzen. Aber genau an den Dingern (oft in Templates beigepackt) liegt es auch, dass viele Wordpress- oder Joomla-Installationen nicht mit Updates gepflegt werden.