Posts by Netaction

    Installier es selbst aus offiziellen Quellen und gut ist.

    Ja, ich lese aber nicht alle Mailing Listen, mache tägliche Updates und gehe Checklisten aller Sicherheitsfunktionen durch, daher nehme ich lieber Plesk als gar nichts.


    Achtung Download Manager und "Download Manager Pro" sind zwei unterschiedliche Dinge... Haben ja auch andere Versionsnummern.

    Klingt logisch, isch 'abe aber gar keinen Download Manager Pro. Aber ja, kann sein, dass Plesk hier ein Plugin sieht, das gar nicht existiert.

    Ich bin gerade in allen Plugin-Verzeichnissen die Haupt-PHP-Dateien durchgegangen. Oben in den Kommentar mit den Meta-Daten steht wie erwartet bei keinem Download Manager Pro.

    Dieser Bug ist aber für mich eher nebensächlich, vielleicht bekomme ich den selbst noch in den Griff. Schlimmer ist das hier:


    Für die erste Meldung gibt es noch kein Update. Denke deswegen wird die auch bleiben.

    Doch natürlich. Es der Bug ist mit Wordpress 6.2.1 längst gefixt. Trotzdem meldet Plesk diese Warnung bei allen acht Wordpress-Seiten, die ich habe. Der Screenshot zeigt das:

    Screenshot 2023-05-17 171508.png


    Denn wenn du in Plesk als Admin über den Menüpunkt Erweiterungen diese Pakete immer aktuell hältst, bekommst du solche Meldungen auch nicht mehr.

    Ich habe bei allen Seiten erzwungene Updates für Core, Themes und Plugins an.

    Ihr habt ja hammer coole Lösungen. Dass der Thread sich so entwickelt, hätte ich nie gedacht.


    Vielen Dank für den Hinweis zur Storage Box, die habe ich mir gerade bestellt. Wobei Netcup auch bei Helzner wohnt, oder? Das ist also nicht 100% redundant.


    Servern, die hinter dem heimischen Router stehen

    Mein Problem ist unter anderem, dass Plesk einen Timeout nach einer gewissen Übertragungszeit hat. Da meine Bandbreite mit 12MBit feststeht, ändert ein Raspi nichts. Die Lösung war, in Plesk das Backup in viele kleine 2GB-Blöcke zu teilen. Die Option heißt: "Backup über mehrere Datenträger erstellen, Datenträgergröße (MB)"



    damit bleiben mir dann auch alle möglichkeiten zum sichern offen

    Das heißt, du sicherst auf dem selben Webspace-Paket über FTP? Und dann kann SCP darauf zugreifen? Klingt bis auf den doppelten Datenverbrauch auch sehr schlau.


    Viele Grüße

    Thomas

    Hi!


    Wahrscheinlich bin ich im falschen Forum. Und vielleicht ist auch meine Frage blöd, aber ich finde keine Antwort.

    Ich administriere leider drei Reseller-Pakete bei Netcup für verschiedene Organisationen.


    Wo lasst ihr Plesk die Backups speichern? Man kann ja nur FTP als Protokoll einstellen, also scheiden Dropbox und Co aus. Ein Backup auf die heimische Fritzbox geht, ist aber hakelig.


    Viele Grüße

    Thomas

    Hallo!


    Ich habe ein paar Kunden, die ein Gefühl bekommen wollen, welche Seiten besonders oft besucht werden und wie viele Besuche es generell gibt. Sie wollen dafür keine unnötigen Daten erfassen. Netcup hat im Hosting bereits AWStats und Webalizer eingebaut. Die Probleme damit sind: Man braucht das SSH-Passwort zum Zugriff, und für alle Ewigkeit stehen IP-Adressen in der Auswertung.


    Was kann einem Kunden statt dessen gegeben werden? Netcup speichert ja immer die Zugriffe der aktuellen Woche und der letzten Woche, also für 7-14 Tage. Ist es schlau, die Files für eine kleine Auswertung zu parsen? Wäre ein PHP-Script besser, das auf AWStats oder Webalizer zugreift und die wichtigsten Diagramme rausholt? Das Problem gab es bestimmt schon hundertmal, deshalb wollte ich hier fragen.


    Alternativ könnte ein Javascript von einem Mini-Matomo geholt werden. Hat jemand so etwas im Einsatz für PHP oder als Wordpress-Plugin?


    Viele Grüße

    Thomas

    Hi!

    Lässt sich im Plesk des Webhosting Seafile installieren? Ich habe ein Reseller-Webhosting und damit auch Python. Ich weiß, das Python und Nodejs in Plesk ist fast nicht zu gebrauchen, aber vielleicht hat es doch schon jemand probiert.

    Viele Grüße

    Thomas

    Mir wird gerade klar, dass ich den Reseller-Webspace ausprobieren sollte.

    Dann werden die Projekte in Plesk verwaltet, und dort sind sie mit Namen aufgelistet.

    Ich weiß wirklich nicht, warum ich das jetzt erst merke.

    Mir fällt auch gerade auf, dass die Pakete auch in den Mails immer mit dem ganzen Text "…Webhosting 4000…" bezeichnet werden und nicht nur der Nummer. Der lässt sich doch bestimmt ändern.


    Komisch, dass der Support nie hier antwortet.

    Ich habe eine erstaunliche Information vom Support bekommen: PHP mail() soll gar nicht verwendet werden, sondern SMTP an einen richtigen Mailserver. Die Webserver sind für Mail nicht besonders geeignet. Gut zu wissen!


    Also zur Ausgangsfrage: Der Fehler liegt bei Wordpress, das PHP mail() für eine gute Idee hält. Wir können aber ganz einfach in der wp_config.php über den Hook phpmailer_init SMTP konfigurieren.


    Thomas

    die Mail, die Du übergibst, den Wert bereits gesetzt hat?

    Es gibt tatsächlich ein Wordpress-Plugin mit 10 Zeilen, das genau das macht und den Return-Path setzt. (Quellcode)


    Ist das hier ein Bug in Wordpress, und alle Netcup-Kunden müssen das Plugin installieren, oder ist der Fehler doch bei Netcup? Ich habe eben mit All-Incl und Domainfactory verglichen, die setzen schlauere Header.


    Aus Sicht von SPF steht fest, dass einer der beiden kaputt ist und falsche Daten liefert.

    Hallo!


    Wordpress setzt in ausgehenden Mails keinen SENDER, sondern nur FROM.

    Die Mails gehen über PHP mail() und Phpmailer an den Mailserver.

    Phpmailer nimmt die From-Einstellung für den From: Header und die Sender-Einstellung für den MAIL FROM: Header. Im Falle von Wordpress gibt es MAIL FROM also nicht.

    Die Mail geht weiter zum Postfix, wo aus MAIL FROM der Header Return-Path: wird.


    Das ist alles so weit richtig, aber: Wordpress setzt ja am Anfang keinen SENDER, und am Ende kommt der Unix-Username als Return-Path raus. So kommt eine Mail von Wordpress an:



    Gibt es irgend ein Argument für diesen Return-Path? Ich habe viele andere Mailserver verglichen, die setzen alle FROM als Return-Path oder den Domainnamen der Webseite.


    Ein Problem mit dieser Konfiguration entsteht in Spam-Filtern. SPF geht nach dem Return-Path, und da ergibt so eine Domain keinen Sinn. Hier ein Beispiel von Google Mail.

    Code
    spf=neutral (google.com: 188.68.61.102 is neither permitted nor denied by best guess record for domain of hosting106351@hosting106351.a2f21.netcup.net) smtp.mailfrom=hosting106351@hosting106351.a2f21.netcup.net;


    Ich könnte es verstehen, wenn Return-Path auf einen festgelegten Wert gesetzt wird, z.B. info@domainname. Aber wo lässt sich dieser Wert festlegen?


    Mir ist bekannt, dass es im Customercontrolpanel eine Option für PHP mail() gibt und Wordpress über den Hook phpmailer_init den Wert setzen kann. Aber das sind Workarounds für einen fragwürdig konfigurierten Mailserver.


    Viele Grüße

    Thomas

    Ich sehe, dass seit meinem letzten Post die Einstellungsoptionen nachgebessert wurden. Es gibt jetzt zwei Möglichkeiten:


    Default (unsicher)


    open_basedir: {WEBSPACEROOT}{/}{:}{TMP}{/}{:}{/}var{/}lib{/}php5{/}sessions

    upload_tmp_dir: {WEBSPACEROOT}{/}tmp

    Uploads gehen hierhin:

    /var/www/vhosts/hosting106xxx.xxxxx.netcup.net/tmp/php9P7L2K

    Einstellbar (schon besser)


    open_basedir: {DOCROOT}{/}{:}{TMP}{/}{:}{/}var{/}lib{/}php5{/}sessions{:}{WEBSPACEROOT}{/}tmp

    upload_tmp_dir: {DOCROOT}{/}tmp

    Uploads gehen hierhin:

    /var/www/vhosts/hosting106xxx.xxxxx.netcup.net/domains/pflaume/tmp/phpfvP0wy


    Die beiden TMP-Verzeichnisse und standardmäßige Session-Pfad können leer gehalten werden, damit sieht dieser Aspekt jetzt so weit in Ordnung aus.



    Die ursprüngliche Frage, welche Einstellungen optimal sind, bleibt weiterhin offen. Es gibt ja Angreifer, die bei einem gehackten Wordpress

    Privilege escalations automatisiert suchen. Das Thema sollte schon umfassend geklärt sein.

    Ich stelle gerade fest, dass upload_tmp_dir nicht innerhalb von open_basedir = {DOCROOT}{/}{:}{TMP}{/} liegt. Das ist laut PHP-Doku erlaubt:


    Wenn das hier angegebene Verzeichnis nicht beschreibbar ist, nutzt PHP stattdessen das Standardverzeichnis für temporöre Dateien.


    Nur leider scheint das Standardverzeichnis falsch gesetzt zu sein, es ist nämlich nicht das erlaubte /tmp. Dateien landen vielmehr hier:


    /var/www/vhosts/hosting106xxx.xxxxx.netcup.net/tmp/phpox46IS

    /var/www/vhosts/hosting106xxx.xxxxx.netcup.net/tmp/phpJbU5Oe

    /var/www/vhosts/hosting106xxx.xxxxx.netcup.net/tmp/phpR8q4zZ


    Bei mir sind also PHP-Uploads nur möglich, wenn die Domain Vollzugriff auf alle Domains hat.

    Danke für die Einschätzung.


    Das heißt, selbst wenn komplexe Privilege Escalations wie über mail() blockiert wären, wäre der Abschottung nicht zu trauen?


    Sonst habe ich Lücken bei Hostern gefunden. Ihr sagt von euch aus, dass die Domains nicht richtig getrennt sind. Find ich gut! :thumbup:

    Einzelne Pakete buchen ist ja kein Problem.