Una guida per principianti alle autorizzazioni dei file di WordPress

Fidati di noi quando diciamo che non vuoi un free-for-all sul tuo sito Web WordPress. Un server aperto e una gerarchia di file è come il sangue di uno squalo per gli utenti malintenzionati. Naturalmente, il tuo server è (nella maggior parte dei casi) sano e salvo. Nel frattempo, i permessi dei file di WordPress si prendono cura delle cartelle e dei file all'interno.

In effetti, ogni file ospitato sul Web ha una manciata di autorizzazioni impostate. Questo aiuta a tenerli a debita distanza da chiunque non sia autorizzato a usarli. Questo include anche altri server. Li gestisci utilizzando uno dei pochi strumenti diversi. La buona notizia è che probabilmente avrai un client SFTP (Secure File Transfer Protocol) o un file manager nel tuo pannello di controllo dell'hosting. In quanto tale, puoi gestire i tuoi permessi sui file.

In questo post, esamineremo i permessi dei file di WordPress. Spiegheremo cosa significano i numeri, quali autorizzazioni sono giuste per determinati file e cartelle e anche come cambiarli. Innanzitutto, esaminiamo quali sono i permessi dei file.

Che cosa sono i permessi dei file

In senso pratico, chiunque utilizzi Internet può accedere a ogni file, cartella e risorsa su qualsiasi server esistente. È possibile attraverso le varie connessioni e protocolli che compongono il world wide web. Anche se, in realtà, non è così. Ci sono molti file a cui non possiamo accedere, e per una buona ragione.

Le autorizzazioni dei file determinano chi (o cosa) può accedere ad altri server e ai file all'interno. Li vedi ovunque senza accorgertene in molti casi. Molti dei codici di stato HTTP di errore del client nell'intervallo 400–499 riguardano l'accesso "proibito" e non autorizzato. 401 Non autorizzato, 403 Proibito e 451 Non disponibile per motivi legali limitano tutti i permessi sul server o sui file stessi.

Scoprirai spesso che i permessi dei file vengono visualizzati come numeri a tre cifre o una stringa di lettere e caratteri. È raro vedere solo i valori espliciti denominati. Sebbene sia importante capire cosa significano, parleremo di più del formato e di come leggere i numeri di autorizzazione dei file in seguito.

Perché abbiamo bisogno di autorizzazioni per i file

A questo punto, dovrebbe essere ovvio il motivo per cui abbiamo bisogno di autorizzazioni per i file a livello principale. Tuttavia, per ribadire, proteggono server, file e cartelle da accessi indesiderati. Tuttavia, questo non è solo correlato agli utenti malintenzionati, sebbene questo sia un aspetto valido e importante.

Ci sono molte altre ragioni più vicine a casa per cui sono necessarie le autorizzazioni dei file:

• Gli utenti con accesso al server, ma con un ruolo utente troppo potente, potrebbero devastare un server con un errore.
• Quegli stessi utenti (ora con i ruoli e le autorizzazioni corretti) ottengono protezione dagli hacker grazie alle autorizzazioni dei file impostate.

Questi sono solo due dei tanti, ma il concetto è chiaro: i permessi sui file aiutano tutti a rimanere al sicuro, indipendentemente dal fatto che si tratti di utenti malintenzionati, gestione dei ruoli utente lassista e degli utenti stessi.

Come leggere i permessi dei file

Ora arriviamo alle cose divertenti: imparare a leggere i permessi dei file. Ci sono due blocchi per ogni schema di autorizzazione dei file: privilegi e utenti. Innanzitutto, i privilegi determinano cosa può fare un "client" con un file:

• Leggere. Con questo attivo, il client può leggere tutto all'interno del file, ma non può lavorarci in alcun modo. In altre parole, è un classico file di sola lettura.
• Scrivere. Ciò consente al client di salvare le modifiche al file. Questo entra in un territorio pericoloso, quindi la concessione delle autorizzazioni di scrittura non avviene così spesso.
• Eseguire. Quando è attivo, un client può "utilizzare" il file. In senso tecnico, scrivere su un file lo sta usando. Qui, si riferisce all'esecuzione del file, dato che la maggior parte di Internet viene eseguita su codice con script.

Insieme a questo, hai un blocco di utenti che possono accedere a un file:

• Proprietario. Ogni file e cartella ha un utente assegnato, simile a una sorta di amministratore.
• Gruppo. Ciò fornisce a un gruppo di utenti i privilegi che hai impostato, anziché a una sola persona. Tuttavia, non è esclusivo e puoi impostare sia gli utenti del proprietario che del gruppo su un file.
• Pubblico. Potresti vedere questo utente chiamato "Altro" o nomi simili. In breve, determina cosa possono fare tutti gli altri. È il ruolo utente più pericoloso, perché qualunque privilegio imposti si applica a tutti in senso letterale.

Per darti altro a cui pensare, ci sono due modi in cui puoi visualizzare un'autorizzazione per un file.

Come leggere diversi formati di autorizzazione file

Abbiamo già accennato a come ci sono un paio di modi per presentare i permessi dei file. Il primo è un numero a tre cifre, chiamato anche modalità di autorizzazione. I numeri coinvolti corrispondono alle autorizzazioni del singolo utente. Per esempio:

• La prima cifra indica cosa può fare un proprietario con un file.
• La seconda cifra si riferisce ai privilegi di gruppo.
• Gli utenti pubblici dispongono di autorizzazioni basate sulla terza cifra.

I numeri stessi comportano delle addizioni, perché a ciascuna delle azioni che puoi intraprendere è assegnato un numero:

• Leggi: 4
• Scrivi: 2
• Eseguire: 1

Per farti un esempio, la modalità più permissiva è 777 . Ecco come si rompe:

• Il Titolare può leggere, scrivere ed eseguire il file.
• Il gruppo può anche leggere, scrivere ed eseguire.
• Con un permesso spaventoso, il pubblico può anche leggere, scrivere ed eseguire.

Ovviamente, 777 significa che un file è il più aperto possibile. Questa non è una modalità di autorizzazione che useresti in tutti i casi tranne nel più estremo.

In altri casi, non vedrai i numeri. Vedrai invece una stringa di lettere e trattini, come rwxrwxrwx . Proprio come le modalità di autorizzazione numerate, c'è un codice da scoprire:

• Leggi: r
• Scrivi: w
• Esegui: x
• Nessuna autorizzazione: –

Se conti, vedrai nove lettere nella modalità di autorizzazione sopra. Ce ne sono tre ciascuno per i ruoli Proprietario, Gruppo e Pubblico. Se decidi di "craccare" la stringa di nove caratteri, vedrai che è la stessa della modalità di autorizzazione 777.

Se desideri giocare con le modalità di autorizzazione, ci sono alcuni fantastici "calcolatori chmod" che ti consentono di spuntare le caselle e vedere i risultati:

Indipendentemente da ciò, non è necessaria una conoscenza approfondita per impostare i permessi dei file di WordPress, come ti mostreremo in seguito.

Permessi per i file di WordPress: i numeri di cui hai bisogno

Ora stiamo entrando nel modo in cui i permessi dei file si riferiscono a WordPress. Nonostante i formati complessi e le relative spiegazioni, non sono necessarie autorizzazioni diverse per ogni file e cartella. Invece, separi i file di WordPress in gruppi e applichi le giuste autorizzazioni a tutti loro.

Ecco la ripartizione generale:

• I file PHP (cioè ogni file con estensione .php ) dovrebbero essere 644. I proprietari dei file possono leggere e scrivere, mentre tutti gli altri possono solo leggere. Alcuni proprietari di siti imposteranno anche il file index.php su 444. Questo ti dà più sicurezza, ma potrebbe non funzionare bene con determinate azioni all'interno di WordPress. Puoi impostare questa autorizzazione, ma tieni d'occhio gli errori all'interno di WordPress.
• Le cartelle dovrebbero essere 755. Questo dà al proprietario la licenza per leggere, scrivere ed eseguire. Tutti gli altri possono leggere ed eseguire.
• Il file wp-config.php ha permessi diversi a seconda di come desideri impostare le cose. Vengono visualizzate autorizzazioni che vanno da 400 o 440, fino a 600 e 644. A un'estremità, quasi nessuno ha autorizzazioni. Ti consigliamo di iniziare da qui e di aprire il file se necessario.

Pertanto, non è necessario impostare le autorizzazioni in base al file. Inoltre, i permessi dei file di WordPress spesso non necessitano di modifiche. Tuttavia, se desideri controllarli dalla dashboard di WordPress, la soluzione migliore qui è iThemes Security:

Dopo aver installato e attivato il plugin, vai alla pagina Sicurezza > Impostazioni :

Da qui, cerca il pannello Autorizzazioni file , quindi fai clic su Mostra dettagli :

Nella schermata successiva, fai clic sul pulsante Carica dettagli autorizzazione file e vedrai i dettagli:

Vedrai se le autorizzazioni sono sicure e puoi utilizzare i seguenti due passaggi per modificare le eventuali preoccupazioni.

Come modificare le autorizzazioni dei file di WordPress

Abbiamo due modi diversi per modificare i permessi dei file di WordPress. Diamo una rapida panoramica:

• Accedi al tuo server tramite Secure File Transfer Protocol (SFTP) e modifica le autorizzazioni dei file lì.
• Fai lo stesso, ma usando il pannello di controllo del tuo host web.

Ti mostriamo prima il metodo più comune: SFTP.

1. Usa Secure File Transfer Protocol (SFTP)

Il metodo più comune consiste nell'utilizzare SFTP, accedere al server e modificare i permessi dei file necessari. Prima di iniziare, ci sono alcuni elementi di cui hai bisogno. Ne tratteremo in un altro articolo sul sito, ma in breve, hai bisogno di un client SFTP adatto e delle tue credenziali di accesso.

Ti consigliamo inoltre di eseguire un backup completo del tuo sito, anche se non farai troppi danni se imposti un'autorizzazione errata. Lo scenario peggiore a nostro avviso è che tornerai indietro e annullerai le modifiche.

Quando sei pronto e hai effettuato l'accesso, seleziona il blocco di file per cui desideri modificare le autorizzazioni. Successivamente, è necessario accedere alla schermata dei permessi dei file per apportare le modifiche. Questo varia a seconda del tuo cliente, ma spesso è disponibile un'opzione esplicita. Questo è vero per FileZilla e altri, ma Cyberduck inserisce le impostazioni dei permessi nel suo menu Info:

Indipendentemente da ciò, quando accedi al menu, vedrai le caselle di controllo per impostare vari permessi, un posto dove inserire valori numerici e altro a seconda del tuo cliente:

Una volta salvate le modifiche, le nuove autorizzazioni avranno effetto.

2. Usa il pannello di controllo del tuo host web

L'uso del file manager del tuo host web per modificare le autorizzazioni è una proposta simile a SFTP. Questa volta, utilizzi un'interfaccia utente grafica (GUI) basata sul Web per lavorare con i tuoi file.

In cPanel, questo è in File > File Manager :

All'interno di questa schermata, sarai in grado di vedere le autorizzazioni del file corrente come una delle colonne predefinite. Tuttavia, se fai clic con il pulsante destro del mouse su un file o una cartella, puoi selezionare l'opzione Modifica autorizzazioni :

Questa sarà una schermata familiare ormai. Mostra le caselle di controllo e la possibilità di utilizzare le impostazioni numeriche per modificare i permessi:

Una volta apportate le modifiche, fai clic sul pulsante Modifica autorizzazioni e cPanel le applicherà immediatamente.

Avvolgendo

Senza un modo per impedire agli utenti di accedere a determinati file di sistema, il tuo sito è in una brutta situazione. Invece, ci sono autorizzazioni di file per ogni cartella e file sul tuo server. Questo aiuta a consentire l'accesso solo a coloro che ne hanno bisogno. È una configurazione semplice, con un'implementazione complessa sotto il cofano.

In breve, devi impostare se il proprietario, il gruppo o il pubblico possono leggere, scrivere o eseguire il file. La maggior parte dei file ha privilegi riservati e puoi verificarli utilizzando SFTP o all'interno di cPanel. Una volta capito come leggere i permessi dei file e crearli, il processo è semplice. Inoltre, le autorizzazioni per i file di WordPress utilizzano principalmente 644 o 755. Se utilizzi un programma di installazione automatica per WordPress, le autorizzazioni per i file sono già in atto.

Hai mai bisogno di modificare i permessi dei file di WordPress e questo articolo ti aiuterà? Fatecelo sapere nella sezione commenti qui sotto!