WP-CONTENT/UPLOADS的777,775,744,644,444文件权限设置
时间:2023-06-30 19:12:01 | 来源:网站运营
时间:2023-06-30 19:12:01 来源:网站运营
WP-CONTENT/UPLOADS的777,775,744,644,444文件权限设置:
WP-CONTENT/UPLOADS 文件夹到底应该设怎么样的权限呢?世意欧详细解答了777、755、644、744等文件权限的利弊、风险提示及相关的结论建议!
本文是需要一定计算机基础或者是对Wordpress稍比较熟悉的!
众所周知,wordpress是世界上建站程序最多,更新最快,开源程度最好的建站程序!广泛运用于博客、公司网站、门户网站、跨境电商自建站等。
国内很多的专业出海服务公司,也采用Wordpress建站 ,如外贸牛等!不少企业,还因此上市!
很多人甚至是使用Wordpress多年的用户,反馈Wordpress的安全问题!世意欧根据这些年的实战经验,汇集worpress安全运维问题!
因每个人使用的Web服务器不太一样,有些是Nginx,有些是Apache, 有些是Java, 有些是Python等, 甚至有很大部分人使用是虚拟主机(比较难清楚是使用哪种具体服务器了!因此在我们网站,我们都会标注是使用什么样的Web服务器及怎么样的版本,方便参考!
WP-CONTENT/UPLOADS 文件夹到底应该设怎么样的权限呢?
先看网络搜索结果:基本很少这方面的专业详细描述!
先看网络查到的第一种:设置为777 权限!
777 是全面开放权限,对任何级别都不限制任何限制!读、写、执行任何操作,任何人如所有者、管理者、访客、注册用户、非注册用户等,均可操作任何权限。
世意欧解答:如果您的Web服务器或操作系统,安全性足够好!特别是安全装备或配备非常好,如沙盒技术,防篡改技术,禁止上传文件限制,或者Wordpress仅限管理员上传,别的任何用户无法使用等,防病毒软件良好等的前提下,可以试试!
小篇世意欧曾经在十几年前,租用国外虚拟主机,当时安装插件时,需要开放权限,就wp-content 文件夹及其下的文件夹或文件,全部都设为777, 结果没过两天,网站打不开。当时还是Wordpress的小白,实施上传备份,恢复快! 折腾来折腾去,最后就放在那里!当时就是不懂开放全部权限的意思!现在想想,当时还误以为是虚拟主机不好使,是不客观的!
世意欧风险提示:如果把操作系统安全比作国家安全,把Web服务器安全比作各省市安全,把Wordpress网站安全比作村镇安全,把uploads的安全比作是住宅的门户安全。如果一个住宅,大门一直都大开着,是不是什么人都可以进来啊!黑客是最喜欢这种所有权限都开放的设置!
世意欧结论:能不能信网络把uploads的文件权限设为777 ,得根据您各项系统安全性及各项安全配置而定,我个人有前车之鉴,最终还得您自己决定!毕竟安全是整体防御的系统性,Uploads 仅是占其中一个小环节!
网络查到的第二种:设置为755权限!
我还在国外权威文章中,看到这幅图!觉得非常好!具体哪篇文章,还真有点忘记了,小编Jacky基本上是看国内几十篇,国外几十篇;直到找到自己的满意! 安全软件Security 提醒是 建议 设置为755 权限!
世意欧解答:这个755的意思 就是,仅所有者拥有读、写、执行的权限;用户组是读和执行的权限;公共访客组也是读和执行的权限!
世意欧实战测试如下:如果所有者默认是WWW 组的,还是运行得通的。
但我把所有者改为 ROOT组的,结果可能会更安全! 但是 使用Wordpress管理员登录后台,进行上传图片等操作时,却出现权限问题!
世意欧结论:这个设置755 是有前提的,就是所有者最好是公共的WWW网络组。而非ROOT组。不然只有ROOT组角色的才能写入(如上传)图片等,即使是Wordpress管理员都无法上传,因为Wordpress管理员不算是操作系统的ROOT组成员,需要额外增加的。
第三种:Upload 能不能是644的文件权限呢
- 测试环境一: 使用Nginx 1.19.8
- 测试环境二:使用Wordpress 5.7.2
- 测试环境三:所有防火墙、安全软件、防护软件、报警软件均关闭!
- 测试环境四:Wordpress所有文件的所有者均为 www
世意欧解答:644 是指 所有者 拥有读和写入的权限;用户组及公共组仅有读取的权限的,无法写入的权限。无论是所有者还用户组还是公共组均无法执行。
世意欧实战测试如下: 这种方法会出现错误提示!
“640.SEO.Logo.jpg” has failed to upload.The uploaded file could not be moved to wp-content/uploads.
世意欧结论: 对upload 设置644权限,理论上很对;实际操作是不可以的!像544,444 就更不行的了啊! 具体原因,我一知半解,不是非常清楚,欢迎留言告知小编啊!
第四种:根据给权限最小原则,能不能是744的文件权限呢?
- 测试环境一: 使用Nginx 1.19.8
- 测试环境二:使用Wordpress 5.7.2
- 测试环境三:所有防火墙、安全软件、防护软件、报警软件均关闭!
- 测试环境四:Wordpress所有文件的所有者均为 www
世意欧解答: 因wordpress外贸自建站,upload 主要用于上传图片、视频、PDF等常见的,公共组主要是读取即可;客户注册成为用户,多用户并操作后台的比较少。同时主要是外贸业务员在管理后台!根据这种实际情况,一是完全没有必要开放公共组执行的权限,也没有开放用户组的执行的权限!只要给用户组和公共组他们开放读的权限即可,就是44 了。 所有者权限经上面测试,6是不行的,最高也仅是7 。因此744文件权限可能是行得通!
世意欧实战测试如下: 暂时没有发现问题!因为没有给用户组及公共组执行的权限,理论上是遇到别人恶意上传的文件,因无法执行,也较难攻击!
世意欧结论: 花了不少时间在测试来测试去,思考来思考去,也不知道在您们的Wordpress 配置能否生效?毕竟很多的插件还会使用到Upload这个文件夹的,比如Stastic 及Elementor 都会在Upload 创建相关的文件夹及文件,以便随时数据的调用。下图这些插件在744权限均可以自由写入和执行!如果您的Uploads 设置为744后,插件不能正常使用,欢迎留言反馈!
本文结语:
关于
WordPress网站的WP-CONTENT/UPLOADS的文件夹及其文件的权限设置,是由杭州世意欧科技有限公司的外贸出海安全运营组成员Jacky原创!欢迎转发到各位网站平台,或分享给有需求的朋友!