it-swarm.com.de

Definitive WordPress-Verzeichnisbesitz und Berechtigungen unter Linux

Ich weiß, dass es überall tausend Fragen dazu gibt und vertraue mir, dass ich seit Jahren jede mögliche Lösung ausprobiert habe [keine Übertreibung], und jeder einzelne fehlt entweder ein entscheidendes Teil oder funktioniert einfach nicht [in meine Erfahrung].

Ich bin auf der Suche nach einer soliden, vollständigen und aufgeschlossenen Lösung für das WordPress-Verzeichnis Benutzer/Gruppenbesitz und Berechtigungen unter Linux. Die Anforderungen sind diejenigen, nach denen meiner Meinung nach jeder suchen sollte: Sicherheit auf dem neuesten Stand, automatische Updates und SFTP-Zugriff.

Die Fakten - wenn ich nichts vermisse - sind ziemlich einfach: Wenn wir die Inhaberschaft des Webverzeichnisses [in meinem Fall /var/www/] für einen dedizierten Benutzer konfigurieren [dh nicht für den Webserver user - was in meinem Fall www-data] ist, wie in: wp:www-data, wordpress ist in der Lage, Themes und Plugins zu installieren, sich jedoch nicht selbst zu aktualisieren [Sicherheitsproblem], auch nicht mit fs method: direct;

wenn wir alles www-Daten zuordnen, wie in www-data:www-data, gehören die Dateien dem Webserver-Benutzer [Sicherheitsproblem].

und um über sftp auf alles zuzugreifen, selbst wenn wir chroot einrichten, Mounts binden und mit einem dedizierten sftp-Benutzer mit einer beliebigen Kombination aus Benutzer-/Gruppenverschachtelung zugreifen Dieselbe Gruppe und so weiter ...]. Dateien, die über SFTP hochgeladen werden, werden als SFTP-Benutzer erstellt und selbst mit den komplexesten ACL-Regeln und ohne periodische chown/chmod-Skripte (die absurd sind) sind Eigentum und Berechtigungen immer falsch.

Ich bin erstaunt, dass ich bis jetzt keine offensichtlichere Lösung gefunden habe. Wie viele unsicher konfigurierte Webserver gibt es da draußen? Ich bin sicher, die Lösung ist da draußen und ihr könnt mir helfen, das herauszufinden. Vielen Dank im Voraus! :)

1
Nikksno

Wenn Ihr Ziel Sicherheit ist, sollte das einzige Verzeichnis, das vom Webserver beschrieben werden kann, uploads sein. Ja, dies bedeutet keine einfachen Updates, aber in einer sicheren Umgebung sollte der Webserver nicht in der Lage sein, in Verzeichnisse zu schreiben, in denen sich ausführbarer Code befindet.

Wenn Sie so viele Updates haben, dass SFTP zu zeitaufwändig wird, installieren Sie das Dienstprogramm wp-cli und verwenden Sie es, um Updates durchzuführen.

Fast vergessen, die Möglichkeit, Updates zu haben, während die Berechtigungsverwirrung vermieden wird, besteht darin, einen FTP-Server auszuführen, der nur Anforderungen vom lokalen Host annehmen kann. Firewall die FTP-Ports von jedem anderen Host und Sie haben beide die Möglichkeit, über den Browser zu aktualisieren, während Sie sicher sind.

1
Mark Kaplun