• Homepage
  • Articoli
  • Tema
  • Guida all'impostazione delle autorizzazioni e della proprietà dei file corrette per WordPress

Guida all'impostazione delle autorizzazioni e della proprietà dei file corrette per WordPress

Pubblicato: 2021-10-18

autorizzazione del file
Quando si tratta di migliorare la sicurezza di un sito Web WordPress, l'installazione di plug-in di sicurezza è generalmente considerata la migliore pratica che ogni sito Web WordPress deve seguire. Tuttavia, le persone non prestano molta attenzione alla configurazione delle autorizzazioni dei file e alla proprietà di un sito WordPress.

Ma ricorda che le autorizzazioni e la proprietà dei file sono elementi cruciali che aiutano a garantire la sicurezza generale di un sito web. Inoltre, non impostarli correttamente può causare errori irreversibili e può compromettere la sicurezza del tuo sito e renderlo suscettibile ad attacchi.

Attraverso questo post, fornirò una panoramica dettagliata sull'impostazione di autorizzazioni e proprietà dei file corrette in un sito WordPress: cosa intendiamo esattamente per autorizzazioni e proprietà dei file e come configurarle correttamente.

Condividerò anche con te i diversi tipi di configurazioni dei file di WordPress e come differiscono l'una dall'altra.

Utilizzo del terminale per modificare le autorizzazioni e le proprietà sul client FTP

Mentre leggi questo post, in diverse sezioni, scoprirai che il terminale viene utilizzato per modificare autorizzazioni e proprietà.

Ma probabilmente alcuni di voi potrebbero chiedersi perché non è possibile utilizzare un client FTP per soddisfare una tale esigenza? Il motivo per cui non utilizzeremo il client FTP è che presenta alcune limitazioni.

Ti chiedi cosa?

Sebbene sia vero che il client FTP può aiutare a trasferire file e modificare i permessi di file e cartelle, ma impedisce agli utenti di modificare le impostazioni di proprietà.

Ora, prima di iniziare a configurare le autorizzazioni e le proprietà dei file, assicurati di accedere al tuo server utilizzando il comando "SSH".

Se non hai dimestichezza con l'uso dei comandi di Linux, puoi avere una migliore comprensione degli stessi andando nell'articolo: “ Introduzione ai comandi di Linux. "

Comprendere la differenza tra gruppi e utenti

Un concetto importante con cui devi acquisire familiarità prima di passare a qualsiasi aspetto tecnico è la differenza tra utenti o gruppi.

Questo perché sia ​​gli utenti che i gruppi sono strettamente correlati e vengono utilizzati per definire le autorizzazioni.

L'utente è fondamentalmente un account che ha accesso a un sistema informatico, mentre un gruppo che aiuta a identificare un insieme di utenti.

Ciò significa che ogni volta che devi trasferire i tuoi file utilizzando un client FTP, dovrai accedere al tuo server principale, utilizzando il tuo account utente. E in base a come il tuo host web ha impostato il tuo account utente, potresti far parte di uno o più gruppi.

In sostanza, puoi considerare "Utenti" e "Gruppi" proprio come i ruoli degli utenti di WordPress. Entrambi questi concetti sono gli stessi in modo contestuale, tuttavia, il primo viene utilizzato sul server.

Ciò che rende importanti utenti e gruppi è che aiutano a riconoscere i privilegi di identificazione di file e cartelle.

Qualsiasi utente, che è il proprietario, di un particolare file di solito ha privilegi completi su quel file; pochi altri utenti appartenenti allo stesso gruppo del proprietario avranno privilegi minori sul file. Infine, tutti gli altri non avranno alcun privilegio sul file.

Cosa significano esattamente le autorizzazioni dei file?

Quindi, ora che hai imparato a conoscere alcuni aspetti di base delle autorizzazioni e delle proprietà dei file, parliamo ora di cosa intendiamo esattamente per autorizzazioni dei file di WordPress.

In parole povere, il permesso è qualcosa che autorizza gli utenti a leggere, scrivere, modificare e accedere a diversi file e directory, appartenenti a un sito web.

In WordPress, l'autorizzazione è normalmente evidenziata da un insieme di numeri diversi, ad esempio: 644 o 777. Questi numeri sono anche indicati come "modalità di autorizzazione".

Se sei un programmatore e hai già lavorato su file e plugin di WordPress, molto probabilmente ti saresti imbattuto in una situazione in cui: un determinato programma chiede di modificare i permessi associati ad alcuni file e directory specifici, poiché non possono essere configurati da un plug-in.

In parole povere, per dare al tuo server web la possibilità di accedere a qualsiasi cosa da un file, devi cambiare l'autorizzazione del file.

Spesso, la modalità di autorizzazione in WordPress viene indicata come un'affermazione: "chi può fare cosa", in cui ogni singolo valore numerico (della modalità di autorizzazione) rappresenta la parte "chi" di tale affermazione.

  • Il primo valore numerico corrisponde a cosa può fare un account utente che possiede la proprietà del file.
  • Il secondo numerico
    il valore corrisponde a ciò che tutti gli altri account utente, che fanno parte del gruppo proprietario del file, possono fare.
  • Il terzo valore numerico rappresenta
    cosa possono fare gli account utente rimanenti.

Successivamente, nella modalità di autorizzazione i numeri rappresentano
la parte "cosa" dell'istruzione di programmazione, ed è fondamentalmente la "somma delle combinazioni" delle seguenti cifre:

  • 4: Leggere un file, o i molti nomi diversi dei file inseriti in una particolare cartella
  • 2: Scrivi un file o modificalo, oppure consenti di modificare il contenuto di una cartella specifica.
  • 1: esegue un file o lo esegue, o aiuta a fornire l'accesso ai file all'interno di una cartella particolare.


Le cifre sopra menzionate sono in realtà i privilegi associati alla parte "chi" della modalità di autorizzazione.
Nota: le autorizzazioni possono variare da un host all'altro.

Capire come modificare le modalità di autorizzazione

Un client FTP fornisce un'interfaccia che consente di modificare i permessi di tutti i file e le cartelle in modo estremamente conveniente. L'interfaccia del client FTP è simile a:
leggere

Puoi persino apportare modifiche alla modalità di autorizzazione dei file del tuo sito Web WordPress utilizzando il terminale del server, ma devi avere accesso al terminale. Oltre ad avere accesso al terminale, puoi anche utilizzare il comando "chmod" per apportare le modifiche desiderate alle modalità di autorizzazione di un determinato file:

sudo chmod 644

Ora, per apportare modifiche a tutti i file (e cartelle) del tuo sito, dovrai utilizzare il comando chmod insieme al comando find, come segue:

sudo trova. -tipo f -exec chmod 644 {} +

Uno sguardo alle configurazioni del server di WordPress

Prima di iniziare ad apportare modifiche alle autorizzazioni dei file di WordPress, è molto importante acquisire familiarità con il processo di configurazione del server.

Puoi trovare molte diverse configurazioni del server che richiedono un insieme distinto di modalità di autorizzazione per far funzionare un sito WordPress in modo corretto e sicuro.

Ma condividerò solo due delle configurazioni più importanti e comunemente utilizzate e come è possibile impostare i permessi dei file appropriati per tali configurazioni.

1. Configurazione server standard: questa configurazione di WordPress non ha alcuna relazione tra l'account utente e il server web.

Questo perché la configurazione richiede che il server Web debba essere eseguito come qualsiasi altro account utente.

Prima di iniziare con il processo di impostazione delle autorizzazioni per i file per la configurazione del server standard, è necessario apportare alcune modifiche alle proprietà di file e cartelle tenendo conto delle seguenti considerazioni:

  • il tuo account utente deve possedere tutti i file e le cartelle di un'installazione di WordPress.
  • il tuo account utente e un altro account utente del tuo server web dovrebbero far parte dello stesso gruppo.

Puoi scoprire il gruppo a cui sono associati i tuoi account utente, utilizzando il comando "gruppi" all'interno del terminale del tuo server. E, per capire i gruppi di cui fa parte il tuo server web, usa il seguente script PHP:

echo exec('gruppi');

Se ti imbatti in una situazione in cui il tuo utente e il server web appartengono a un gruppo diverso, puoi aggiungere un utente a qualsiasi gruppo del tuo server web, utilizzando il comando fornito di seguito nel terminale:

sudo usermod -a -G <a-the-group-name> mygroup

Per assicurarti che il tuo account utente abbia accesso a tutte le cose della tua cartella WordPress e appartenga al gruppo condiviso appena creato, esegui semplicemente il comando menzionato di seguito all'interno della cartella di installazione di WordPress:

sudo trova. -exec chown miogruppo:a-nome-gruppo {} +

Rispettare tutti i comandi sopra menzionati assicurerà che tutti i file e le cartelle del tuo sito WordPress abbiano la proprietà corretta.

Infine, tutto ciò che devi fare è apportare modifiche alla modalità di autorizzazione di file e cartelle. Per fare ciò, è necessario tenere a mente i seguenti punti chiave:

  • Tutti i file devono avere la modalità di autorizzazione 664.
  • Tutte le cartelle devono avere la modalità di autorizzazione 775.
  • La modalità di autorizzazione del file wp-config.php dovrebbe essere 660.


Utilizzare un client FTP per modificare le modalità di autorizzazione o semplicemente utilizzare i comandi indicati di seguito all'interno della directory di installazione di WordPress per soddisfare tali esigenze:

sudo trova. -tipo f -exec chmod 664 {} +
sudo trova. -type d -exec chmod 775 {} +
sudo chmod 660 wp-config.php

2. Configurazione del server condiviso (o SuEXEC): rispetto alla configurazione standard del server WordPress, le autorizzazioni per la configurazione del server condiviso possono essere implementate in un modo notevolmente più semplice.

Questo perché non è necessario enfatizzare l'impostazione della proprietà poiché il server Web possiede i file e le cartelle. Ciò significa che sia il nostro account utente che il server web sono i proprietari e hanno gli stessi privilegi.

E quindi, tutto ciò che dobbiamo fare è modificare le modalità di autorizzazione considerando i punti chiave elencati di seguito:

  • tutti i file dovrebbero essere 644.
  • tutte le tue cartelle dovrebbero essere 755.
  • E la modalità di autorizzazione del file wp-config.php dovrebbe essere 600.


Per modificare i permessi di file e cartelle, usa semplicemente i seguenti comandi nella directory del tuo sito Web WordPress:
sudo trova. -tipo f -exec chmod 644 {} +
sudo trova. -type d -exec chmod 755 {} +
sudo chmod 600 wp-config.php

Parole finali

Un'altra cosa importante da considerare è di evitare di utilizzare la modalità di autorizzazione '777' poiché consente a chiunque di accedere all'elenco dei file e consente di apportare modifiche a qualsiasi file nella cartella.

È abbastanza ovvio che concedere a tutti i privilegi di accesso a un file non fa bene alla sicurezza del tuo sito Web, poiché utenti malintenzionati possono inserire codice nel file che può compromettere la sicurezza del tuo sito.

Spero che il post ti farà capire meglio il modo corretto per impostare le autorizzazioni e le proprietà dei file del tuo sito Web WordPress.

Biografia dell'autore:
Jack Calder è un maestro in tecnologie di sviluppo Web. Ha completato con successo così tanti progetti in tempo. In questo momento è un fornitore di servizi di conversione da PSD a WordPress per alcuni potenziali clienti per i temi SKT.