it-swarm.asia

ما هو الإعداد المثالي لمعالجة المخاوف الأمنية؟

أنا على دراية بالمتطلبات WP الخاصة ببعض الأدلة والملفات لتكون قابلة للكتابة. أدرك أيضًا أن جعل الأذونات مفكوكة للغاية يمكن أن يفتح ثغرات أمنية. أخيرًا ، أعلم أن المستخدم (الذي أدخل خادمك هنا) يعمل على أنظمة Linux يمكن أن يكون عاملاً.

بجانب الحماية ، أحب أن أتمكن من تنزيل السمات والإضافات إلى مدونتي الإلكترونية وتحديثها عند الضرورة. يبدو أن الأذونات المناسبة تكون على خلاف مع هذا التفضيل.

لقد جمعت القليل من التفاصيل هنا وهناك ، لكن أود أن أرى إجابة أكثر تحديدًا ، إذا كان هناك إجابة واحدة: ما هو الإعداد المفضل مع إشارة إلى الأمان؟ ما أذونات يجب أن تكون في مكان ، ما المستخدم يجب تشغيل الموقع ، وما إلى ذلك.

8
Grant Palin

إذا كان لديك وصول FTP إلى الخادم الخاص بك ، فإن الإعداد الأكثر أمانًا هو عدم وجود دليل للسمات أو الإضافات الخاصة بك قابل للكتابة بواسطة خادم الويب الخاص بك وبدلاً من ذلك يحتوي على ملفات تحديث WordPress باستخدام FTP. عندما تذهب لتحديث مكون إضافي ، سيطالبك WordPress بتفاصيل FTP الخاصة بك.

تعد طريقة FTP أبطأ بكثير من عمليات كتابة الملفات المباشرة ، لكنها أكثر أمانًا لأن النص المارق لن يكون قادرًا على تعديل ملفاتك.

10
Viper007Bond

كما لاحظ @ Viper007Bond ، فإن تحديث المكونات الأساسية والإضافات والسمات الخاصة بك عن طريق آليات التحديث المدمجة أمر آمن إلى حد كبير ، بقدر ما تسمح أذونات الملفات ، لأنه يمكنهم استخدام بيانات اعتماد المستخدم الفعلي. للحصول على أقصى درجات الأمان ، تريد التأكد من تثبيت SSH2 PHP الامتداد . يمكن أن تختلف طريقة التثبيت (إن أمكن) من مضيف إلى مضيف ، لذلك إذا لم تكن موجودة بالفعل ، فقد تحتاج إلى طلب خدمة الاستضافة أو القيام ببعض غوغل.

ستستخدم العديد من خدمات الاستضافة المشتركة suexec في إعداد Apache ، بحيث تعمل خدمة الويب كمستخدم فعلي. هذا يلغي معظم مشاكل الأذونات ويساعد على حماية ملفاتك من المستخدمين الآخرين على الخادم. ومع ذلك ، في الحالات التي يعمل فيها Apache كمستخدم منفصل ، إذا كنت ترغب في تحميل الملفات إلى WordPress ، فيجب عليك فتح أذونات في دليل التحميل.

في هذه الحالة ، من المحتمل أنك تريد أن يحتوي دليل wp-content/uploads على أذونات 0713 (AKA rwx--x-wx). هذا يمنح مالك الدليل أذونات كاملة ، ويمكن لمجموعته قراءة الملفات إذا يعرفون المسار الكامل ، ويمكن للآخرين (بما في ذلك خادم الويب) قراءة الملفات التي يعرفون بها المسار و يمكن إنشاء/كتابة الملفات.

تتوقع بعض المكونات الإضافية للتخزين المؤقت أيضًا الحصول على دليل wp-content/cache (أو ما شابه) يمكن أن يكتبوا إليه. وتنطبق نفس مشورة الأذونات على ذلك.

أخيرًا ، بالنسبة إلى الروابط الدائمة ، يحتاج WordPress إلى تعديل ملف .htaccess ، إلا إذا كنت تخطط لتحديثه يدويًا. في هذه الحالة ، تريد 0646 لوضع الملف. ومع ذلك ، بمجرد أن تستقر على هيكل الرابط الثابت الخاص بك ، لن تحتاج عادةً إلى تغيير هذا الأمر مرة أخرى ، لذلك يمكنك إيقاف تشغيل أذونات الكتابة الإضافية وتعيينها على 0644. في بعض الأحيان ، قد يتطلب المكون الإضافي أو الترقية الأساسية الوصول إليه ، ويمكنك تشغيل أذونات الكتابة مؤقتًا مرة أخرى لذلك ، ثم إيقاف تشغيله مرة أخرى.

يجب أن يكون لجميع الملفات الأخرى أذونات 0644. يجب أن تكون الدلائل 0711 إذا كنت خائفًا ، لكن قد يتداخل ذلك مع أي مكونات إضافية تحتاج إلى الحصول على قائمة بالملفات من الدليل. في هذه الحالة ، أو إذا لم تكن كذلك بجنون العظمة ، استخدم 0755 ، مما سيسمح للآخرين بالقراءة ، ولكن ليس الكتابة.

معظم هذا مصدر قلق بشكل رئيسي إذا كنت تستخدم استضافة مشتركة. إذا كان لديك خادم مخصص (بما في ذلك VPS) ، مع عدم وجود مستخدمين آخرين لديهم إمكانية الوصول إلى ssh/ftp ، فيمكنك الاسترخاء أكثر من ذلك بقليل. لا أقصد أنه يجب عليك فقط جعل كل شيء قابلاً للكتابة علنًا ، ولكن ربما يمكنك الوثوق في إعدادات النظام الافتراضية ، والتي من المحتمل أن تكون 0755 أذونات في الدلائل بدلاً من 0711.

إذا كان هناك خيار ، فقم بتثبيت شهادة SSL للموقع ، وبمجرد اختبار إمكانية الوصول إلى موقعك عبر https ، يمكنك فرض SSL على تسجيلات دخول المشرف والوصول عن طريق إضافة هذه الخطوط إلى ملف wp-config.php ، مباشرةً قبل تعليق "إيقاف التحرير":

define('FORCE_SSL_ADMIN', true);
define('FORCE_SSL_LOGIN', true);
8
Dougal Campbell