我有共享托管,在我自己的用户空间内运行三个不同的.com域名。一个用作实际的主机方案主域,另一个用于通过URL重定向和域指向。
其中一个是Wordpress博客,我担心攻击者能够利用Wordpress中的安全漏洞访问虚拟保护伞下的其他网站。如果博客本身遭到破坏,我就不会失去任何睡眠。但如果其他网站被钉死,我将会是一个非常悲伤的熊猫。
我可以使用哪种服务器权限来隔离该博客?它完全包含在自己的子目录中。
如果需要,可以提供更多详细信息,我是新手,可能遗漏了一些关键信息。
谢谢。
答案 0 :(得分:4)
这是一个有效的问题。如果没有正确分离,一个站点中的漏洞将影响所有漏洞。
1)您需要做的第一件事是使用suPHP,这会强制应用程序以特定用户的权限运行。此用户帐户不应具有shell访问权限(/ bin / false)。
2)所有三个应用程序目录都需要chown user -R /home/user/www/和chmod 500 -R /home/user/www/ chmod中的最后两个零意味着没有其他帐户可以访问这些文件。这仅提供读取和执行权限,如果不允许整个Web根目录使用写入权限,则这是理想的选择。
3)所有三个应用程序必须具有单独的MySQL数据库和单独的MySQL用户帐户。此用户帐户仅可以访问自己的数据库。此帐户不应具有GRANT或FILE权限。其中FILE权限是您可以提供给MySQL用户帐户的最危险权限,因为它用于上传后门和读取文件。这可以防止一个站点中的 sql injection ,从而允许攻击者读取所有站点的数据。
在采取这三个步骤之后,如果1个站点被黑客攻击,则其他2个将不受影响。您应该运行漏洞扫描程序,例如Sitewatch(商业但有免费版本)或Skipfish(开放源代码)。扫描完应用程序后,运行phpsecinfo并修改php.ini文件以尽可能多地删除红色和黄色。修改你的php.init可以欺骗漏洞扫描程序,但通常存在缺陷,以确保你修补你的代码并使一切都保持最新。
答案 1 :(得分:1)
取决于攻击者发现的洞。如果对所有数据库(包括WP db)使用相同的用户/传递,则可能存在问题。当然,文件权限是一个问题...... Web服务器可以访问的任何内容都可以被读取,并且经常被写入。
这里有很多安全问题,但是如果你在发布安全修复程序时使用ftps,ssh和更新WP,那么你就可以降低出现问题的几率。最安全的计算机装在水泥中并沉入马里亚纳海沟。但它并不是很有用。你正在寻找一个平衡点。
答案 2 :(得分:-1)
chmod文件755并知道chmod设置以保持更新经典问题:由于perl,php或使用的脚本语言中的错误,黑客通过uri查询字符串获取shell。拥有像secureserver.net这样的安全ISP应该不辜负它的名字,保持意识到语言实现中的特定错误并选择最安全的可用而不是大多数性能和阅读insecure.org就是我使用secureserver运行所有实验和开发的东西。网络可行,没有报告安全问题。