Uprawnienia do plików WordPress: przewodnik po konfiguracji bezpiecznych uprawnień witryny i serwera WWW

WordPress może działać w dowolnym systemie operacyjnym z PHP. Jednak zdecydowana większość witryn WordPress działa w systemie Linux. Dlatego ważne jest, aby rozumieć uprawnienia do plików w systemie Linux.

Bardzo ważne jest uzyskanie odpowiednich uprawnień do plików. Ustawienie nieprawidłowych uprawnień do plików może narazić Twoją witrynę na atak. Nieprawidłowe uprawnienia do plików mogą umożliwić nieautoryzowanym użytkownikom dostęp do potencjalnie wrażliwych plików i danych. Takie dane można następnie wykorzystać jako odskocznię do większego ataku.

Jako administrator WordPressa uprawnienia do plików mogą wydawać się nieco zniechęcające, zwłaszcza jeśli jesteś nowy w Linuksie. Nie bój się! Ten przewodnik wyjaśnia, jakie uprawnienia do plików w systemie Linux są od podstaw. Wyjaśnia również, w jaki sposób uprawnienia do plików systemu Linux mają zastosowanie do Twojej witryny WordPress.

Spis treści

• Co to są uprawnienia do plików?
  • Grupy uprawnień
  • Rodzaje uprawnień
• Reprezentacja uprawnień
• Zalecane uprawnienia do plików WordPress
• Jak naprawić uprawnienia do plików WordPress
  • W usłudze hostingu współdzielonego
  • przez FTP
  • przez SSH
• Dodatkowa wskazówka: bezpieczeństwo poza uprawnieniami do plików

Co to są uprawnienia do plików?

Grupy uprawnień

Wszystko zaczyna się od tego , kto . Jak każdy inny system operacyjny, Linux ma koncepcję użytkowników i grup . Podczas określania , kto ma dostęp do pliku, każdy plik i katalog w systemie Linux ma trzy grupy uprawnień.

• Właściciel
  • Każdy plik lub katalog ma właściciela.
  • Uprawnienia właściciela dotyczą tylko właściciela pliku lub katalogu. Nie będą miały wpływu na działania innych użytkowników.
• Grupa
  • Do każdego pliku lub katalogu można przypisać grupę użytkowników, którzy mają do niego dostęp.
  • Uprawnienia grupy dotyczą tylko grupy, która została przypisana do pliku lub katalogu. Nie będą miały wpływu na działania innych użytkowników.
• Inny
  • Każdy plik lub katalog może określać, jakie uprawnienia mają „wszyscy inni”. Czyli oprócz właściciela lub grupy , którą ustawiliśmy.
  • Pozostałe uprawnienia dotyczą wszystkich innych użytkowników w systemie. Jest to grupa uprawnień, którą chcesz najbardziej obserwować, ponieważ możesz nieświadomie zezwolić na dostęp wszystkim.

Rodzaje uprawnień

Teraz, gdy wiemy, jak określić , kto ma dostęp do pliku lub katalogu, musimy wybrać rodzaj uprawnień, które nadajemy każdemu właścicielowi , grupie i innym plikom lub katalogom. Poniżej przedstawiono typy uprawnień , które możemy nadać grupie uprawnień ( właściciel , grupa , inne ):

• Czytać
  • Typ uprawnienia do odczytu odnosi się do możliwości odczytu zawartości pliku przez użytkownika.
• Pisać
  • Uprawnienie do zapisu odnosi się do możliwości pisania i/lub modyfikowania zawartości pliku przez użytkownika.
  • Możliwe jest umożliwienie użytkownikowi zapisu do pliku bez możliwości odczytania jego zawartości.
• Wykonać
  • Uprawnienie do wykonywania wpływa na zdolność użytkownika do uruchomienia pliku, na przykład skryptu.
  • Uprawnienie do wykonywania umożliwia również użytkownikowi przeglądanie zawartości katalogu.

Reprezentacja uprawnień

Teraz, gdy już rozumiemy, jak działają uprawnienia, przyjrzyjmy się, jak rzeczywiście byłyby reprezentowane uprawnienia Linuksa. Uprawnienia do plików są przechowywane jako seria 3 liczb. Jednak mogą być również reprezentowane jako litery, dzięki czemu są nieco łatwiejsze do odczytania. Najpierw zrozummy, co oznaczają te liczby.

1. Pierwsza liczba
   • Uprawnienia udzielone właścicielowi
2. Druga liczba
   • Uprawnienia nadane grupie
3. Trzecia liczba
   • Uprawnienia nadane innym (wszystkim innym oprócz właściciela i grupy )

Każda liczba odpowiada kombinacji jednego lub więcej typów uprawnień , które omówiliśmy wcześniej. Zrozumienie tego jest znacznie łatwiejsze, gdy jest wizualizowane. Każdy typ uprawnień ma wagę , która jest sumowana dla każdej grupy uprawnień .

Zdezorientowany? Może zająć trochę czasu i trochę praktyki, aby owinąć się wokół niego. Tymczasem oto tabela wszystkich możliwych uprawnień do plików, które możesz przypisać do każdej grupy uprawnień .

Aby zobaczyć konkretny przykład, uprawnienie do pliku 644 oznacza:

• uprawnienia właściciela do odczytu i zapisu pliku lub katalogu
• grupa ma uprawnienia do odczytu pliku lub katalogu
• inni mają uprawnienia do odczytu pliku lub katalogu

Zazwyczaj zobaczysz te wartości bez spacji i z dodatkowym – lub d na początku. The – oznacza zwykły plik. d oznacza katalog. Poniżej znajduje się przykład użycia polecenia ls -la w systemie Linux, aby wyświetlić listę plików w katalogu.

 $ ls -la
łącznie 0
drwxr-xr-x 4 grupa użytkowników 128 25 maja 23:25 .
drwxrwxrwt 8 koło korzeniowe 256 25 maja 23:25 ..
drwxr-xr-x 2 grupa użytkowników 64 25 maja 23:25 katalog
-rw-r--r-- 1 grupa użytkowników 0 25 maja 23:25 plik.txt

Zalecane uprawnienia do plików WordPress

Ustawienie nieprawidłowych uprawnień do plików WordPress może spowodować przypadkowe przyznanie dostępu innym użytkownikom, niż chcesz. W najgorszym przypadku może to umożliwić atakującemu zmianę zawartości ważnego pliku, do którego nie powinien mieć dostępu. Może również pozwolić każdemu użytkownikowi w Internecie na odczytywanie poufnych plików w ramach instalacji WordPressa.

Dlatego nigdy nie należy ustawiać uprawnień do plików WordPress na 777 (-rwxrwxrwx). Umożliwiłoby to pełny dostęp do odczytu, zapisu i wykonywania każdemu, kto jest w stanie kontrolować ten plik. Może to być osoba trzecia wprowadzająca zmiany za pośrednictwem FTP lub SSH lub osoba atakująca za pośrednictwem formularza przesyłania.

Z drugiej strony musisz uważać, aby nie było zbyt restrykcyjne, aby WordPress mógł wykonać swoją pracę. Ponieważ sam WordPress, a także motywy i wtyczki często będą musiały bezpiecznie wprowadzać zmiany w kilku plikach. Na przykład, gdy WordPress aktualizuje się automatycznie, aby chronić witrynę przed lukami w zabezpieczeniach.

Tak więc, ze względu na argument, zezwolenie 444 (-r–r–r–) może spowodować nieprawidłowe działanie Twojej witryny WordPress. W przypadku 444 WordPress będzie mógł tylko czytać , więc automatyczne aktualizacje nie powiodą się . Mając to na uwadze, możliwe jest uruchomienie WordPressa z uprawnieniami tylko do odczytu ( 444 lub r–r–r–). To będzie bardzo sucre instalacja. Musisz jednak wziąć pod uwagę powyższe ograniczenia.

Niektórzy zarządzani dostawcy hostingu WordPress obsługują to po wyjęciu z pudełka. Chociaż jeśli chcesz uruchomić WordPressa z takimi uprawnieniami, najpierw wypróbuj go w środowisku pomostowym.

Uprawnienia plików zalecane przez WordPress są następujące.

Jak naprawić uprawnienia do plików WordPress

Chociaż jedno środowisko hostingowe różni się od drugiego, zawsze będziesz mieć możliwość kontrolowania uprawnień do plików WordPress.

Naprawianie uprawnień do plików WordPress za pośrednictwem udostępnionego panelu sterowania hostingu

Jeśli korzystasz z hostingu współdzielonego, prawdopodobnie będziesz mieć dostęp do niektórych paneli sterowania, takich jak cPanel lub Plesk. W takim przypadku skontaktuj się z dostawcą usług hostingowych, aby dowiedzieć się, jakie kroki należy podjąć, aby zmodyfikować uprawnienia do plików w witrynie WordPress.

Naprawianie uprawnień do plików WordPress przez FTP

Naprawianie uprawnień do plików WordPress można łatwo wykonać za pomocą klienta FTP, takiego jak FileZilla lub Cyberduck. Poniższy zrzut ekranu pochodzi z Cyberduck. Po prostu kliknij prawym przyciskiem myszy plik lub katalog, dla którego chcesz zmienić uprawnienia, kliknij Informacje , a następnie kliknij kartę Uprawnienia .

Proces jest podobny w Filezilli. Kliknij plik prawym przyciskiem myszy, wybierz Uprawnienia do pliku , a pojawi się podobne okno dialogowe.

Naprawianie uprawnień WordPress przez SSH

Jeśli używasz już klienta SSH, możesz wykonać linuksowe polecenie chmod, aby zmienić uprawnienia do plików. Biorąc ten sam przykład co powyżej, aby zmienić uprawnienia wp-config.php z 644 na 600 , użyjemy następujących poleceń:

 # zmień katalog na lokalizację instalacji WordPress
$ cd /var/www/html
# lista szczegółów pliku wp-config.php
$ ls -la wp-config.php
-rw-r--r-- 1 www-dane www-dane 7368 2 września 2019 wp-config.php
# zmień uprawnienia wp-config.php z obecnych 644 na 600
$ chmod 600 wp-config.php
# zweryfikuj swoją zmianę
$ ls -la wp-config.php
-rw------- 1 www-dane www-dane 7368 2 września 2019 wp-config.php

Prawidłowo skonfigurowane uprawnienia do plików WordPress oznaczają bezpieczniejszą stronę internetową

Podsumujmy, co zostało omówione. Widzieliśmy, że uprawnienia do plików pozwalają nam określić, kto iw jaki sposób można uzyskać dostęp do pliku lub katalogu i/lub go modyfikować w systemie Linux. Omówiliśmy również, jak zmienić uprawnienia zarówno za pomocą klienta SFTP, jak i przez SSH. Jednak najważniejszą rzeczą, którą omówiliśmy, jest to, dlaczego powinieneś dbać o prawidłowe ustawienie uprawnień do plików w swojej witrynie WordPress.

Mimo że na początku może to być żmudny proces, nieprawidłowe uprawnienia do plików mogą ujawnić poufne pliki w Twojej witrynie WordPress. Co więcej, mogą one pozwolić napastnikowi na eskalację słabości o niskim stopniu ważności w bardziej niebezpieczną w odpowiednich okolicznościach.

Teraz, gdy lepiej rozumiesz, jak działają uprawnienia do plików w systemie Linux i jak wpływają one na bezpieczeństwo witryny WordPress, użyj tych informacji, aby zwiększyć uprawnienia do plików WordPress, które są zbyt liberalne.

Dodatkowe wskazówki dotyczące bezpieczeństwa: poza uprawnieniami do plików WordPress

Prawidłowe uprawnienia do plików WordPress to świetne miejsce do rozpoczęcia pracy w zakresie bezpieczeństwa WordPress. Jednak nie są jedyną rzeczą, o którą należy się martwić. Inne rzeczy, które powinieneś zrobić, aby poprawić stan bezpieczeństwa swojej witryny WordPress, to:

• Rejestruj wszystko, co dzieje się na Twojej stronie w dzienniku aktywności WordPressa,
• Użyj wtyczki do monitorowania integralności plików WordPress,
• Egzekwuj silne zasady haseł WordPress,
• Dodaj uwierzytelnianie dwuskładnikowe do swojej witryny WordPress,
• Zainstaluj zaporę sieciową WordPress / skorzystaj z usługi zapory internetowej WordPress.