我有一个Web服务器并在其上安装了wordpress。我想知道保护我的网站所需的文件权限。 (上次XSS在我的网站上发生,他们在我的所有index.php文件和其他一些文件中写道。我不知道他们是怎么做到的。)
最佳文件权限是什么?
答案 0 :(得分:1)
该脚本必须至少具有所有者读取和执行权限。此处脚本设置为755(仅脚本的所有者具有读取,写入和执行权限;其他用户和组仅具有读取和执行权限)。
请注意,您将文件的所有者设置为apache用户(通常是apache或www-data或类似的东西)。
答案 1 :(得分:0)
Web服务器用户可读,任何人都无法写入。当然,确切的细节取决于你正在做什么,但从那里开始。如果可以的话,尽量留在那里。
答案 2 :(得分:0)
我认为将您链接到我在保护Wordpress时找到方便的博客文章可能更容易。它不仅仅是你感兴趣的东西,而是非常方便。
http://www.smashingmagazine.com/2010/07/01/10-useful-wordpress-security-tweaks/
3,5和7将是您感兴趣的。
与配置文件直接相关,您可以使用shell命令保护它,如下所示:
chmod 750 wp-config.php
答案 3 :(得分:0)
如果您的环境允许,基本文件为400,目录为500。这意味着只读。 如果要启用上载,则应在其上添加相应的写入权限,600。
某些托管服务提供商在共享用户上运行他们所有的网站,比如'apache',但FTP使用'youruser'。在这种情况下,您需要440个文件和550个目录。
任何可写目录或文件都可能使您的安装不太安全,但您必须平衡可用性和安全性。
答案 4 :(得分:0)
在shell类型中:
chown apache:apache filename
或
chown root:root filename, 这取决于你的superadmin用户名是什么
之后:
chmod 0755 filename