【发布时间】:2011-05-05 12:44:14
【问题描述】:
我有一个网络服务器并在上面安装了 wordpress。我想知道保护我的网站所需的文件权限。 (上次XSS发生在我的网站上,他们写在我所有的index.php文件和其他一些文件中。我不知道他们是怎么做到的。)
什么是最好的文件权限?
【问题讨论】:
标签: php linux wordpress file-permissions
【发布时间】:2011-05-05 12:44:14
【问题描述】:
脚本必须至少具有所有者读取和执行权限。这里脚本设置为 755(只有脚本的所有者有读、写和执行权限;其他用户和组只有读和执行权限)。
请注意,您将文件的所有者设置为 apache 用户(通常是 apache 或 www-data 或类似的东西)。
【讨论】:
-
其实php通过mod_php不需要执行权限。
网络服务器用户可读,任何人都不可写。当然,确切的细节取决于你在做什么,但从那里开始。如果可以的话,尽量呆在那里。
【讨论】:
我认为在保护 Wordpress 时将您链接到我觉得很方便的博客文章可能更容易。它不仅有你感兴趣的东西,而且非常方便。
http://www.smashingmagazine.com/2010/07/01/10-useful-wordpress-security-tweaks/
您会对 3、5 和 7 感兴趣。
与您的配置文件直接相关,您可以使用 shell 命令保护它,如下所示:
chmod 750 wp-config.php
【讨论】:
如果您的环境允许,基本文件为 400,目录为 500。这意味着只读。 如果要启用上传,则应为其设置适当的写入权限,600。
一些托管服务提供商在一个共享用户上运行他们的所有网站,比如“apache”,但 FTP 使用“youruser”。在这种情况下,您需要 440 个文件和 550 个目录。
任何可写的目录或文件都可能降低您的安装安全性,但您必须平衡可用性和安全性。
【讨论】:
在外壳类型中:
chown apache:apache 文件名
或
chown root:root 文件名 , 这取决于您的超级管理员用户名是什么
之后:
chmod 0755 文件名
【讨论】: