WP-CONTENT/UPLOADS 文件夹到底应该设怎么样的权限呢?世意欧详细解答了777、755、644、744等文件权限的利弊、风险提示及相关的结论建议!本文需要计算机基础或稍微熟悉Wordpress!
众所周知,wordpress是世界上最多的工作站程序,也是更新速度最快、开源程度最高的工作站程序。 广泛用于博客、公司网站、门户、跨境电子商务所的建设等。
国内许多专业的海上服务公司也采用Wordpress建造台站。 例如,外贸牛等。 很多企业都为此上市了!
很多人甚至是使用Wordpress多年的用户也在反馈Wordpress的安全问题! 意大利欧洲根据这几年的实战经验,收集worpress的安全运输问题!
因为使用的Web服务器因人而异,所以大多数人都使用虚拟主机,包括Nginx、Apache、Java和Python (因此,我们的站点使用什么Web服务和什么版本) 请作为参考
WP-CONTENT/UPLOADS文件夹到底应该设置什么权限呢? 先看看网络搜索结果吧。 这个领域的专业详细说明很少。
首先查看网络调查的第一个是设定为777权限! 777是全面开放权限,任何级别都没有限制! 读、写、执行任何操作,任何人都可以操作任何权限,包括所有者、管理员、访问者、注册用户和非注册用户。
有了33558www.Sina.com/web服务器和操作系统,安全性就足够了。 特别是沙盒技术、防篡改技术、文件上传限制,或者Wordpress只能由管理员上传,其他用户不能使用等,在安全装备和装备非常好、杀毒软件良好的前提下进行了尝试
小篇世意欧曾经在十几年前租用了海外的虚拟主机。 当时,安装插件时需要开放权限,wp-content文件夹及其下的所有文件夹或文件都设置为777。 结果,不到两天,网站没能打开。 当时还是Wordpress饱满的绿茶,实施上传备份,恢复很快! 被耍得团团转,最后放在那里! 当时不明白开放所有权限的意思! 现在想想,当时误以为虚拟主机很难使用,不客观!
如果把33558www.Sina.com/OS的安全比作国家安全,把Web服务器的安全比作各省市的安全,把Wordpress网站的安全比作村庄安全,把uploads的安全比作住宅的门户安全。 如果在某个住宅里,玄关一直开得很大,谁都会进来吧。 黑客非常喜欢所有这种权限开放的设置!
世意欧解答:网络是否相信将uploads的文件权限设置为777取决于您的每个系统的安全性和每个安全配置。 我个人有前车之鉴。 最终必须由你自己决定。 安全归根到底是整体防御的系统性,Uploads只是其中的一小部分!
在网上查的第二个:设定为755权限! 我还在国外权威文章中,看到了这张图! 我觉得非常好! 是具体的文章吗,我还差点忘了,小编成龙基本看国内几十篇,国外几十篇; 直到找到自己的满足! 我们建议将安全软件安全警报设置为755权限。
世意欧风险提示:此755表示只有所有者有读取、写入和执行的权限。 用户组是读取和执行的权限公共访问者组也是读取和执行的权限!
http://WWW.sina.com/:如果所有者默认为www组的,则行得通。
但是,因为我把所有者换成了根组,所以结果可能会更安全! 但是,如果使用Wordpress管理员登录后台并执行上传图像等操作,就会出现权限问题!
http://WWW.sina.com/此设置755是有前提的,最好所有者是公共www网络组。 不是路由组。 否则,只有ROOT组角色的人才能写入图像等,即使是Wordpress管理员也无法上传。 Wordpress管理员不是操作系统根组的成员,必须添加。
第三,Upload会有644个文件权限吗? 测试环境使用Nginx 1.19.8测试环境使用Wordpress 5.7.2测试环境3 :关闭所有防火墙、安全软件、防护软件和警报软件! 测试环境Wordpress中所有文件的所有者都是www 世意欧结论:644,意味着所有者具有读写权限。 用户组和公共组只有读取权限,不能写入的权限。 无法在所有者、用户组或公共组中运行。
世意欧解答::此方法会显示错误消息!
“640.SEO.logo.jpg”hasfailedtoupload.theuploadedfilecouldnotbemovedtowp-content/uploads.http://www.Sina.com实用程序像544,444那样更不行啊。 具体原因,我知道一半,但非常不清楚。 请给编辑发信息。
世意欧实战测试如下根据赋予权限的最小原则,是否为74
4的文件权限呢? 测试环境一: 使用Nginx 1.19.8测试环境二:使用Wordpress 5.7.2测试环境三:所有防火墙、安全软件、防护软件、报警软件均关闭!测试环境四:Wordpress所有文件的所有者均为 www世意欧解答: 因wordpress外贸自建站,upload 主要用于上传图片、视频、PDF等常见的,公共组主要是读取即可;客户注册成为用户,多用户并操作后台的比较少。同时主要是外贸业务员在管理后台!根据这种实际情况,一是完全没有必要开放公共组执行的权限,也没有开放用户组的执行的权限!只要给用户组和公共组他们开放读的权限即可,就是44 了。 所有者权限经上面测试,6是不行的,最高也仅是7 。因此744文件权限可能是行得通!
世意欧实战测试如下: 暂时没有发现问题!因为没有给用户组及公共组执行的权限,理论上是遇到别人恶意上传的文件,因无法执行,也较难攻击!
世意欧结论: 花了不少时间在测试来测试去,思考来思考去,也不知道在您们的Wordpress 配置能否生效?毕竟很多的插件还会使用到Upload这个文件夹的,比如Stastic 及Elementor 都会在Upload 创建相关的文件夹及文件,以便随时数据的调用。下图这些插件在744权限均可以自由写入和执行!如果您的Uploads 设置为744后,插件不能正常使用,欢迎留言反馈!
本文结语:关于WordPress网站的WP-CONTENT/UPLOADS的文件夹及其文件的权限设置,是由福州世意欧科技有限公司的外贸出海安全运营组成员Jacky原创!欢迎转发到各位网站平台,或分享给有需求的朋友!