Intereting Posts

Какова идеальная настройка для решения проблем безопасности?

Я знаю о требованиях WP для определенных каталогов и файлов для записи. Я также знаю, что разрешение разрешений слишком свободно может открыть дыры в безопасности. Наконец, я знаю, что пользователь, который (вставьте ваш сервер здесь) работает, как на Linux-системах, может быть фактором.

Безопасность в стороне, мне нравится возможность загружать темы и плагины в свой блог и обновлять их, когда это необходимо. Правильные разрешения, похоже, немного расходятся с этими предпочтениями.

Я собрал немного подробностей здесь и там, но я хотел бы получить более окончательный ответ, если таковой есть: какая предпочтительная настройка с кивком в безопасности? Какие разрешения должны быть установлены, какой пользователь должен работать на сайте и т. Д.

Solutions Collecting From Web of "Какова идеальная настройка для решения проблем безопасности?"

Если у вас есть FTP-доступ к вашему серверу, у самой безопасной установки нет ваших файлов тем или плагинов, доступных для записи на вашем веб-сервере, и вместо этого они будут иметь файлы обновления WordPress с использованием FTP. Когда вы перейдете к обновлению плагина, WordPress предложит вам ваши данные FTP.

Метод FTP намного медленнее, чем прямая запись файлов, но он намного более безопасен, поскольку скрипт изгоев не сможет изменять ваши файлы.

Как отметил @ Viper007Bond, обновление вашего ядра, плагинов и тем с помощью встроенных механизмов обновления довольно безопасно, насколько позволяют разрешения на работу с файлами, поскольку они могут использовать ваши фактические учетные данные пользователя. Для обеспечения максимальной безопасности вы хотите убедиться, что у вас установлено расширение PHP SSH2 . Способ установки (если возможно) может отличаться от хоста к хосту, поэтому, если он еще не существует, вам может потребоваться спросить службу хостинга или сделать какой-то Google.

Многие общедоступные хостинговые службы будут использовать suexec в своей настройке Apache, чтобы веб-сервис выполнялся как фактический пользователь. Это устраняет большинство проблем с разрешениями и помогает защитить ваши файлы от других пользователей на сервере. Однако в случаях, когда Apache работает как отдельный пользователь, если вы хотите загружать файлы в WordPress, вам необходимо открыть разрешения для каталога загрузки.

В этом случае вы, вероятно, хотите, чтобы ваш каталог wp-content/uploads имел разрешения 0713 (AKA rwx--x-wx ). Это дает полному разрешению владельца каталога, их группа может читать файлы, если они знают полный путь, а другие (включая веб-сервер) могут читать файлы, которым они знают путь, и могут создавать / записывать файлы.

Некоторые плагины кэширования также ожидают наличия каталога wp-content/cache (или аналогичного), доступного для записи. К этому будут применяться те же рекомендации по разрешениям.

Наконец, для довольно постоянных ссылок WordPress должен иметь возможность изменять файл .htaccess , если вы не планируете его вручную обновлять. В этом случае вам понадобится 0646 для файлового режима. Однако, как только вы заработаете в своей структуре постоянной ссылки, вам, как правило, не придется менять это снова, поэтому вы можете отключить дополнительные права на запись и установить его на 0644 . Случайно, обновление плагина или ядра может потребовать доступа к нему, и вы можете временно включить права на запись для этого, а затем снова отменить его.

Все остальные файлы должны иметь разрешения 0644 . Каталоги должны быть 0711 если вы вне параноидов, но это может помешать любым плагинам, которым необходимо получить список файлов из каталога. В этом случае, или если вы не совсем параноичны, используйте 0755 , что позволит другим читать, но не писать.

Большинство из них в основном вызывает беспокойство, если вы находитесь на общедоступном хостинге. Если у вас есть выделенный сервер (включая VPS), без других пользователей, у которых есть доступ к ssh / ftp, вы можете расслабиться немного больше. Я не имею в виду, что вы должны просто сделать все открыто доступным для записи, но вы, вероятно, можете просто доверять системным дефолтам, которые, вероятно, будут 0755 разрешений для каталогов вместо 0711 .

Если это вариант, получите сертификат SSL, установленный для этого сайта, и как только вы протестируете, что можете получить доступ к своему сайту с помощью https , вы можете принудительно использовать SSL для входа в систему администратора и доступа, добавив эти строки в ваш wp-config.php файл, перед комментарием «Прекратить редактирование»:

 define('FORCE_SSL_ADMIN', true); define('FORCE_SSL_LOGIN', true);