我应该为IIS7上的Wordpress 3.9.1安装设置哪些文件夹权限?

时间:2014-06-25 15:40:53

标签: php wordpress iis-7

当您通过wordpress.org上的zip文件手动安装 WordPress (当前3.9.1)时,您将获得一个文件夹结构,我已经在下面概述了它,但我只有两个文件夹,以说明我的问题。

在IIS7中,默认用户为 IUSR

我想知道的是,我应该赋予此文件结构哪些权限,以便登录用户可以通过WordPress管理区域上传文件,更新插件以及核心(使用新版本)。 。没有打开黑洞

在整个结构上允许 IUSR 这些权限是否安全? (X,未选中,O,已检查)

  • [X]完全控制
  • [O]修改
  • [O] Read&执行
  • [O]列出文件夹内容
  • [O]阅读
  • [O]写
  • [X]特殊权限

我担心如果我打开这个门,它会让黑客利用我在这个网站内的服务器文件系统,可能会开放更多危险的可能性我在http://codex.wordpress.org/Changing_File_Permissions读到了他们的建议,但是这份文件概述了Linux设置,而不是IIS。我似乎无法为IIS找到一个。

/* Begin File Structure

/wordpress/
    /wp-admin/
        /css/
        /images/
        /includes/
        /js/
        /maint/
        /network/
        /user/

    /wp-content/
        /plugins/
        /themes/

    /wp-includes/
        /Certificates/
        /css/
        /fonts/
        /ID3/
        /images/
        /js/
        /pomo/
        /SimplePie/
        /Text/
        /theme-compat/
*/

看看这个文件结构,似乎为了让登录网站管理区域的人上传文件,更新核心,添加/删除插件,我必须给整个如果他们在WP的代码中发现漏洞,任何人都可以上传任何东西,这是一种疯狂的访问量。

1 个答案:

答案 0 :(得分:1)

这是一个很好的资源:http://forums.iis.net/t/1178859.aspx

总结该帖子以及我之前在其他服务器上的经验:

您可以使用IUSR的标准权限。

主题 / 插件 / 上传文件夹需要您具有写入权限。在您的示例中,您缺少wp-content下的uploads文件夹。我会手动创建它,所以你不想给wp内容写权限。

来自帖子的附加资源: http://www.iis.net/learn/get-started/planning-for-security/understanding-built-in-user-and-group-accounts-in-iis

http://www.iis.net/learn/get-started/planning-for-security/secure-content-in-iis-through-file-system-acls

http://weblogs.asp.net/owscott/securing-iis-thwarting-the-hacker-week-23

相关问题
最新问题