正確設置WordPress的文件權限

  在各式各樣的網絡攻擊手段層出不窮的今天,如何將惡意攻擊者拒之門外,保證Web服務器的安全便成了網站能夠穩定地提供服務的最基本保障。當然,網絡與服務器安全是一個很大的話題,相對而言,一般性的博客網站也很難成為網絡攻擊者的目標,但若由此便掉以輕心則顯然是不智的,畢竟,如今網絡攻擊的門檻越來越低,即使一個懵懵懂懂的小P孩使用隨處可以找到的攻擊工具也可能對我們的網站帶來事實上的傷害。

  那么,應如何保證我們基于WordPress博客的安全呢?

  這一方面要求我們在為博客選虛擬主機時考慮主機商的硬件設備與技術能力,確定其是否能夠穩定地抵御絕大多數的網絡攻擊,另一方面,也需要我們正確地設置Web服務器中的目錄/文件權限,不給惡意攻擊者可乘之機。

  從理論上來說,要保證Web服務器的安全,最簡單的辦法便是賦予文件最低的操作權限,比如說所有文件均為只讀,而不可寫不可執行,這樣,攻擊者便會無從下手。但在實際應用中,情況并非這么簡單,以使用WordPress搭建的博客網站來說,必須賦予某些文件的可寫、可執行權限,因為WordPress自身在運行過程中需要存取、修改某些文件才能實現網站的服務功能。

  對Wordpress目錄/文件權限的設置,實際上就是在網站的可用性、易用性與安全性之間尋得一個恰當的平衡。下面我們具體來討論一下(以Linux/Apache平臺、WordPress位于網站根目錄為例):

  •  “/wp-admin/”: WordPress管理目錄,其中的所有文件應該只賦予所有者可寫權限;
  •  “/wp-includes/”:WordPress 支持庫目錄,其中的所有文件應該只賦予所有者可寫權限;
  • “/wp-content/”:這個目錄下的文件權限設置相對復雜了些,讓我們分別來看:
    • “/wp-content/themes/”:對于WordPress主題目錄下的文件,如果您從不使用WordPress內置的主題編輯器,那么可以簡單地設置其僅允許所有者可寫;當然,對大部分朋友來說,可能常常需要修改主題如css、模板文件等,這就應賦予這些文件Apache運行用戶(一般為nobody)所在組的可寫權限。
    • 而“/wp-content/plugins/”目錄下存放的插件文件,同樣也需視情況而定,一般而言,大部分插件可以只賦予所有者可寫權限,但同樣也存在部分插件需賦予Apache運行用戶(一般為nobody)所在組的可寫權限。
    • 而如果要使用WordPress內置的Database Backup插件,則需要將整個“/wp-content/”目錄賦予可寫的權限,一般為755,在某些主機設置中甚至可能需要更高的777。
  • “/”:WordPress根目錄,應該只賦予所有者可寫權限;不過,如果您的博客使用Permalinks,需要WordPress來自動生成、應用rewrite規則,則必須賦予Apache 對“.htaccess”的操作權限。此外,如其中內含連接wordpress 數據庫的用戶名與密碼的“wp-config.php”,則應賦予更嚴格的操作控制,禁止遍歷,極端情況下可直接將其設為600。

發表評論

 




 

哈努曼与假面五骑士
广东麻将推倒胡 重庆时时诈骗最新案 爱彩乐四川快乐12遗漏查询 全国联网排列5走势图 香港最快开奖现场直墦2008 四川快乐12走势图工具网 云南快点十分开奖结果 二分pk拾是假的吗 江西时时二千万 2o19年白小姐oo1期买什么肖 吉林快三走势图带线 云南时时中心 手机app赌博的骗局 新疆时时直播 北京赛pk10软件 香港跑马