我有一个wordpress网络(在共享主机上)运行,除了安全困境之外,我非常满意。
当我第一次安装这个应用程序时,我是通过一个pleskCpanel完成的。后来,当我开始添加插件时,我意识到服务器使用了safe_mode On。我要求主机删除它,他们照做了,但在此之前,我确实通过FTP安装了大部分插件,因为safe_mode On设置存在权限问题。
但现在我似乎遇到了一个不同的设置,这限制了我。因为我通过FTP安装插件,所以我的FTP用户是文件的所有者。现在,当我尝试通过正常的wordpress例程进行更新时,它对流文件夹没有足够的权限,当我将其设置为777时,它没有足够的插件文件夹权限,因为apache不是文件夹和文件的所有者。
我不想把我所有的文件夹都设置为777(775也不起作用),更改所有者(我通过Wordpress插件创建文件夹进行了测试)是可行的,但是http://codex.wordpress.org/Changing_File_Permissions告诉我不应该让apache成为我的文件和文件夹的所有者。
你能给我建议一下吗:
- 关于让apache成为我的文件和文件夹的所有者的安全问题
- 777权限的安全问题(我认为这显然是一个安全风险,但也许我忽略了一些东西)
- 我还能做些什么来使wordpress正常工作吗
如果您需要有关共享主机的更多信息,请告诉我。
我过去也遇到过类似的问题。
最终,我发现自己仔细阅读了WordPress.org上的强化WordPress文章,并特别注意这一部分:http://codex.wordpress.org/Hardening_WordPress#File_Permissions其推荐755和644的混合物。
你可能想运行递归更改(以确保它们与下面的文件夹相呼应),然后打开类似WordPress防火墙2的东西作为安全插件。
最终,共享托管环境只能在一定程度上得到保护(因为它是共享的),但这两者都是一个良好的开端。