首页
学习
活动
专区
工具
TVP
发布
社区首页 >问答首页 >WordPress的正确文件权限

WordPress的正确文件权限
EN

Stack Overflow用户
提问于 2013-08-21 16:39:58
回答 15查看 739.2K关注 0票数 399

我在here上看了看,但没有找到任何关于最佳文件权限的细节。我也看了一些WordPress在here too上的问题,但是任何建议777的人显然都需要一点安全方面的教训。

简而言之,我的问题是。我应该对以下内容拥有哪些权限:

存储所有content

  • wp-admin

  • wp-content

  • wp-includes

  1. 根文件夹

然后是每个文件夹中的所有文件?

EN

回答 15

Stack Overflow用户

回答已采纳

发布于 2014-05-20 17:13:39

当您设置WP时,您(WP服务器)可能需要文件的写入权限。因此,访问权限可能需要松散。

代码语言:javascript
复制
chown www-data:www-data  -R * # Let Apache be owner
find . -type d -exec chmod 755 {} \;  # Change directory permissions rwxr-xr-x
find . -type f -exec chmod 644 {} \;  # Change file permissions rw-r--r--

setup you 应该 access rights,根据Hardening WordPress,除wp-content之外的所有文件都应该只能由您的用户帐户写入。可湿性粉剂的内容必须是由www-data也可写。

代码语言:javascript
复制
chown <username>:<username>  -R * # Let your useraccount be owner
chown www-data:www-data wp-content # Let apache be owner of wp-content

也许您想稍后更改wp-content中的内容。在这种情况下,您可以

使用ACLs.,

  • 临时将用户更改为www-data,
  • 授予wp-content组写入访问权限775,并加入组www-data或
  • 授予用户对文件夹的访问权限

无论您做什么,都要确保这些文件对www-data具有读写权限。

票数 499
EN

Stack Overflow用户

发布于 2014-09-16 17:21:00

www-data用户(在本例中为web服务器用户)授予对所有wp文件的完全访问权限可能很危险。所以最好不要这样做:

代码语言:javascript
复制
chown www-data:www-data -R *

但是,在安装或升级WordPress及其插件时,它可能会很有用。但是,当您完成后,保留web服务器拥有的wp文件不再是一个好主意。

它基本上允许web服务器放入或覆盖您网站中的任何文件。这意味着,如果有人设法使用web服务器(或某些.php脚本中的安全漏洞)将一些文件放入您的网站中,就有可能接管您的网站。

为了保护您的站点免受此类攻击,您应该采取以下措施:

所有文件应归您的用户帐户所有,并且应可由您写入。任何需要从WordPress写访问的文件都应该是web服务器可写的,如果您的主机设置需要的话,这可能意味着这些文件需要由web服务器进程使用的用户帐户拥有。

/

WordPress根目录:只有您的用户帐户才能写入所有文件,如果您希望WordPress自动为您生成重写规则,则.htaccess除外。

/wp-admin/

WordPress管理区域:所有文件都应该只对您的用户帐户可写。

/wp-includes/

WordPress应用程序逻辑的主要部分:所有文件都应该只对您的用户帐户可写。/wp-content/

用户提供的内容:可由您的用户帐户和web服务器进程写入。

/wp-content/中,您将发现:

/wp-content/themes/

主题文件。如果你想使用内置的主题编辑器,所有的文件都需要是web服务器进程可写的。如果您不想使用内置的主题编辑器,则所有文件都只能由您的用户帐户写入。/wp-content/plugins/

插件文件:所有文件都应该只对您的用户帐户可写。

可能存在于/wp-content/中的其他目录应该由任何需要它们的插件或主题来记录。权限可能有所不同。

来源和更多信息:http://codex.wordpress.org/Hardening_WordPress

票数 60
EN

Stack Overflow用户

发布于 2014-10-18 18:55:24

对于那些将wordpress根文件夹放在主文件夹下的用户:

** Ubuntu/apache

  1. 将您的用户添加到www-data组:

瑞士信贷Granting write permissions to www-data group

你想对你的用户调用usermod。所以这将是:

代码语言:javascript
复制
sudo usermod -aG www-data yourUserName

**假设www-data组存在

  1. 检查您的用户是否在www-data组中:

groups yourUserName

你应该会得到类似这样的东西:

代码语言:javascript
复制
youUserName : youUserGroupName www-data

** youUserGroupName通常与您的用户名相似

  1. 递归地更改wp-content文件夹的组所有权,保留您的用户所有权。

内容目录youWebSiteFolder/wp- chown yourUserName:www-data -R youWebSiteFolder/wp-content/*

  • Change /

cd youWebSiteFolder/wp-content

  • Recursively更改文件夹和子文件夹的组权限以启用写入权限:

find . -type d -exec chmod -R 775 {} \;

** `/home/yourUserName/youWebSiteFolder/wp-content/‘的模式从0755 (rwxr-xr-x)变为0775 (rwxrwxr-x)

  1. 递归地更改文件和子文件的组权限,以启用写权限:

find . -type f -exec chmod -R 664 {} \;

结果应该类似于:

代码语言:javascript
复制
WAS:
-rw-r--r--  1 yourUserName www-data  7192 Oct  4 00:03 filename.html
CHANGED TO:
-rw-rw-r--  1 yourUserName www-data  7192 Oct  4 00:03 filename.html

等同于:

chmod -R ug+rw文件夹名称

权限将类似于文件的664或目录的775。

附注:如果任何人在更新插件时遇到错误'could not create directory',请执行以下操作:

server@user:~/domainame.com$ sudo chown username:www-data -R wp-content

当您处于域的根目录时。

假设:wp-config.php具有

FTP credentials on LocalHost

define('FS_METHOD','direct');

票数 26
EN
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:

https://stackoverflow.com/questions/18352682

复制
相关文章

相似问题

领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档