PHP Safe Mode - hvad er løsningen?

WordPress DK Forum » Udenfor kategori

PHP Safe Mode - hvad er løsningen?

(14 indlæg) (5 voices)

Startet for 10 months siden af biberkopf
Seneste svar fra John
This topic is not a support question

Tags:

biberkopf

Nyt medlem
Joined: jul '10
Posts:
Reputation:

Har brugt WP siden 2005, men har stort set navigeret uden om dette tilbagevendende spørgsmål: Safe Mode ON/OFF? Nu skal jeg skifte udbyder og vil gerne til bunds i det. Mon ikke også andre end mig har døjet med dette spørgsmål? Derfor dette oplæg til en fælles erfaringsopsamling:

Jeg begyndte med WP Codex, hvor man kan læse følgende lakoniske melding:

Will Wordpress run in PHP Safe Mode?

Most definitely! There are no known issues with any version of WordPress when PHP is running in Safe Mode.

(Fra codex.wordpress.org's FAQ)

Men hvor kommer så alle de rapporterede problemer fra. Denne her artikel kommer vist tæt på en god forklaring. Hvis jeg skal forsøge at opsummere:

• PHP's safe mode tillader kun en bruger/proces at arbejde med filer, som den ejer 'personligt' eller har delte grupperettigheder til.
• Sikkerheden slækkes ofte ved tildeling af '777' (mapper) eller '666' (filer) rettigheder.
• Svaret er manuel oprydning af rodet gennem SSH-adgang og vha chmod, chgrp, .htaccess mm.

Så langt er jeg sådan set med, og jeg har også jævnligt bedrevet den slags oprydning. Men tilbage står spørgsmålet:

Hvordan forebygger man overhovedet disse forkerte tildelinger af ejerskab og rettigheder?

Jeg kan se at, der kan opstå rod, når man sommetider uploader filer/plugins/updateringer inde fra WordPress' GUI, andre gange benytter en eller anden mere eller mindre tilfældig ftp-adgang, og andre gange igen måske benytter en terminal-adgang.

Men er svaret simpelthen så enkelt? Og findes der måske et plugin, der let kan hjælpe med at afsløre, rapportere og løse fejlene? :-)

Kan det virkelig passe, at man skal rydde op efter sig, efter hver eneste fil-upload?
Kan nogen pege på en konkret "best practice" med do's and dont's?

Hjælper det fx at automatisere updateringen vha fx Subversion eller lign?

Jeg har forstået, at Safemode-problemet er på vej til at uddø med PHP6. Men hvad gør man så længe for at undgå problemer? Skal man bare gå uden om 1-click-installationer, eller ...?

[ Jeg beklager, hvis jeg har brugt forkerte eller upræcise begreber, men håber alligevel, at min pointer trænger igennem. ]

Skrevet 10 months siden #
Frank

Supermedlem
Joined: mar '07
Posts:
Reputation:

Hvis du har et hotel med safemode=on, er den vel ikke så meget længere...?
Mange lever med safemode=on, nogle påstås endda at være glade for disse begrænsninger.
Personligt vil jeg opfordre dig til at prøve et hotel med safemode=off, og så mærke forskellen. Nogle hoteller reklamerer med 30 dages returret, så det er næsten gratis at prøve :-)
Safemode=on er ikke til for at gøre dig mere sikker, men udelukkende for at begrænse skaden, hvis dit eller andres installation er usikker. Dvs. hvis naboens installation er usikker, bliver du måske ramt... Men hvis webhotellet tør slå safemode fra, har de nok tænkt (som de burde) over hvordan de opnår samme sikkerhed med safemode=off.
Hvis du alligevel skal afprøve et hotel, så se efter om der også er fornuftige ressourcer og muligheder, som gør Wordpress glad. Her tænker jeg på RAM, nye versioner af PHP og MySql, og måske mulighed for selv at ændre php.ini.
Hvis du ikke har et ledigt domæne at lege med, kan du f.eks. pege et subdomæne over på webhotellet, du vil teste. Tag backup med PhpMyAdmin og FTP, importer på nyt hotel med samme værktøjer, og tilret wpconfig.ini til subdomæne mv. Så er du kørende. Eller installer Wordpress i nyeste version og tænk ud af boksen, eksperimenter. Måske med multisite... Prøv det!

Skrevet 10 months siden #
Morten Knudsen

Supermedlem
Joined: okt '09
Posts:
Reputation:

safe-mode er et gammel "teknologi" som ikke har nogen form for eksistensberettigelse mere.

Vælg et anerkendt webhotel der kører med safe mode off. Vælg et webhotel der kører med et kontrolpanel der understøtter - ja sådan noget som Frank også nævner - jeg kan anbefale dig at kigge efter et webhotel der har f.eks. det meget anerkendte/udbredte kontrolpanel cPanel installeret (eller kører med et "skin" ovenpå sådan et system)....

hvis du er privat bruger, synes jeg du skal kigge forbi http://meebox.net f.eks. til 10 kroner om måneden - de kører med deres eget skin ovenpå cPanel, leverer cloud hosting i høj kvalitet.

Jeg selv kører på en managed VPS løsning på et engelsk datacenter fra http://site5.com til 300 kroner om måneden (de har også Amsterdam nu om dage)... Så det er jo også lidt om hvilke behov man har.

Men der er mange leverandører derude - og lige så mange meninger om dem.

God jagt på det helt rigtige webhotel for dig.

/Morten

WordPress løsninger til vestjyske virksomheder og foreninger - http://MortenKnudsen.dk
Gået i stå? - skal du have flyttet din side? Eller har du andre problemer? - http://wpguru.dk

Skrevet 10 months siden #
John

Administrator
Joined: okt '09
Posts:
Reputation:

Wordpress spiller fint med og uden Safe mode on/off

Mvh John
http://www.wordpresstema.dk

Skrevet 10 months siden #
Morten Knudsen

Supermedlem
Joined: okt '09
Posts:
Reputation:

9 ud af 10 gange hvor wordpress eller for den sags skyld joomla, drupal, typo3 osv. har problemer i forhold til CHMOD/CHOWN, installation af plugins osv. er der tale om webhoteller med safemode=on og nogle underlige opsætninger af ejerskab når man er via FTP kontra når WordPress skriver til disken, typisk webhoteller i den lave ende prismæssigt. den sidste 1/10 er på grund af php memory limit (i forhold til installation, eksekvering).

Der er INGEN grund til at vælge et webhotel der kører med safemode=on, hvis man kan vælge et anerkendt webhotel med safemode=off + en rimelig PHP memorylimit og som med sikkerhed ikke giver problemer, hverken med CHMOD/CHOWN eller i forhold til installation/eksekvering af diverse plugins.

Skrevet 10 months siden #
Bambo

Medlem
Joined: nov '09
Posts:
Reputation:

Dvs. så er det dumt at vælge UnoEuro? modsat hvad der bliver anbefalet fra højre og venstre? ;)

UnoEuro siger her https://www.unoeuro.com/support/faq/7/2/

UnoEuro's servere er opsat på en speciel måde der især gør det nemt at undgå gængse problemer med safe_mode Det er derfor sandsynligt at PHP projekter der normalt ville have safe_mode problemer, virker uden problemer hos os. Du vil f.eks. ikke få problemer med billedupload eller fil-ejerskab hos os.

Om det er korrekt eller ej er vel mere interessant end at konkludere ud fra en gammel artikel?

Skrevet 10 months siden #
John

Administrator
Joined: okt '09
Posts:
Reputation:

Dvs. så er det dumt at vælge UnoEuro? modsat hvad der bliver anbefalet fra højre og venstre? ;)

Det styrer du selv om det er dumt.
Et webhotel hos dem koster vel 1 pizza og 2 l Cola om året, og er man ikke tilfreds kan man vælge andet.
Fakta er at Safemode on eller off er totalt ligegyldigt for afvikling af Wordpress.

Om der er enkelte plugins hentet fra knapt så seriøse sider der kræver Safe mode off skal jeg ikke kunne sige.
Henter mine plugins hos Wordpress ;-)

Man kan snilt få et webhotel hos anden udbyder der kan tilbyde akkurat det samme og intet mere for tidobbelt pris og mere.
Brugte på et tidspunkt Wannafind, som er Unoeuros moderselskab, og har ikke mærket forskel efter at jeg valgte at spare 100% ;-)

ps har haft Unoeuro næsten siden de startede og aldrig haft problemer.
Men der findes da andre gode WP Hostere, så ingen grund til at satse på Unoeuro hvis man tvivler.

Skrevet 10 months siden #
Bambo

Medlem
Joined: nov '09
Posts:
Reputation:

Nu var det også mere et forslag til solsikkehaven om at uddybe hvad der er noget lort end at pege på UnoEuros som værende håbløs pga. deres safe mode ide.

En del ville nok brokke sig om det var så galt.

Tror nu ikke det med krav om Safe mode off nødvendigvis peger på skod plugin. De laver jo nok ikke kun plugins til brug på hosts som UnoEuro. Hvis det er et krav er det nok tydeligt angivet og begrundet.

Måske safe mode kan sammenlignes med suhosin. Også håbløst hvis forkert sat op men kan fikses.

Skrevet 10 months siden #
John

Administrator
Joined: okt '09
Posts:
Reputation:

Som sagt er det uden betydning overhovedet, når vi snakker WP, så jeg ville modsat sige at der ingen grund er til at vælge et webhotel med Safe mode off ;-)
Har tiltro til at min Host vægter sikkerhed.

Og sådan kunne vi blive ved.

Skrevet 10 months siden #
Morten Knudsen

Supermedlem
Joined: okt '09
Posts:
Reputation:

Will Wordpress run in PHP Safe Mode?

Most definitely! There are no known issues with any version of WordPress when PHP is running in Safe Mode.

.......

Det er ikke spørgsmålet om WordPress i sig selv kan køre på et webhotel med safemode=on vi diskuterer, men hele spørgsmålet om, at når man har et webhotel med safemode=on og dertil hørende restriktioner på grund af en (uddateret) måde at have et webhost setup på kontra at have et webhotel med safemode=off, ingen basedir problematikker og som sørger for sikkerheden på deres setup på en mere konstruktiv måde til samme lave pris.

one.com beskriver safe mode her (de har længe kørt med safe mode=on, men har nu "besindet sig" og opdateret deres setup:
"At køre PHP i safe mode er en udbredt sikkerhedsforanstaltning hos webhostingudbydere. Safe mode resulterer dog ofte i alvorlige begrænsninger og nedsat ydelse. Vi ønsker at tilbyde vores kunder så meget af funktionaliteten i PHP som muligt og samtidig prioritere sikkerhed højt. One.coms servere kører med safe mode slået fra"
(til gengæld kører one.com med basedir restriktioner, som har andre implikationer, desværre).

Sådan kan vi blive ved. Jeg kender situationen fra de sidste 7 år i Joomla verdenen - hver gang der er et webhost relateret problem, er det *næsten* sikkert at det er en webhost med safemode=on.

Jeg siger bare: Hvorfor vælge noget der eventuelt kan give problemer, frem for at vælge noget der virker. Hver gang. ?

Men det er nok en diskussion vi kan have i årevis fremover og det er jo også OK at være uenige, når vi bare stadig kan dele en øl, når vi mødes til WordCamp :-)

Skrevet 10 months siden #
John

Administrator
Joined: okt '09
Posts:
Reputation:

Jeg siger bare: Hvorfor vælge noget der eventuelt kan give problemer, frem for at vælge noget der virker. Hver gang. ?

Jeps derfor valgte jeg Unoeuro.dk ;-)

Kører perfekt, og ja det er Wordpress vi snakker om og ikke Joomla eller andet.

Ingen grund til at fremhæve one.com det er en af de Host der giver størst problemer jfr mange tråde om PHP Mem bla.

Det er så en anden snik snak

ps jfr: spørgeren skriver

Will Wordpress run in PHP Safe Mode?

Skrevet 10 months siden #
Morten Knudsen

Supermedlem
Joined: okt '09
Posts:
Reputation:

jeg skal nok lige pointere meget kraftigt til nogen, som måtte læse tråden en anden gang - jeg fremhæver IKKE one.com - dette webhotel kan ikke anbefales til nogen, til noget behov, til noget som helst.

Skrevet 10 months siden #
Bambo

Medlem
Joined: nov '09
Posts:
Reputation:

solsikkenhaven, hvilke problemer giver det UnoEuro og deres brugere at de kører med Safe Mode ON? Hvilke restriktioner har man der men ikke andre steder? Det er det der er interessant, ikke hvad du kan læse dig til. Hvis det er så sikkert der er problemer med safe mode on må det vel være til at få lavet en liste baseret på praktisk hosting?

Skrevet 10 months siden #
John

Administrator
Joined: okt '09
Posts:
Reputation:

@solsikkehaven

Ok fair nok men det var dig selv der fremhævede/skrev om one.com

one.com beskriver safe mode her (de har længe kørt med safe mode=on, men har nu "besindet sig" og opdateret deres setup:

For at gøre one.com færdig, så er der en del brugere der er yderst tilfreds med dem og visa versa.

De er lidt fedtede med deres PHP mem og efter en kontakt til dem oplyser de at de ikke vil hæve den mere end nuværende, vistnok 64mb hvilket vel også er nok langt hen af vejen.

9 ud af 10 gange hvor wordpress eller for den sags skyld joomla, drupal, typo3 osv. har problemer i forhold til CHMOD/CHOWN, installation af plugins osv. er der tale om webhoteller med safemode=on

Sorry kan desværre ikke genkende ovenstående. Vi snakker stadig Wordpress ;-)

Skrevet 10 months siden #

RSS feed for this topic

Svar

Du skal være logget ind for at skrive.