WordPress的文件讀寫權(quán)限和所有權(quán)在WordPress網(wǎng)站的整體安全性中發(fā)揮著不可或缺的作用,所以我們需要盡可能確保進(jìn)行合理的設(shè)置。在這篇文章中,我們將介紹有關(guān)WordPress文件讀寫權(quán)限的所有信息。
WordPress的簡(jiǎn)單易用和靈活拓展性,使它成為了是迄今為止最受歡迎的CMS系統(tǒng)。但是,如果你打算使用它,你應(yīng)該對(duì)WordPress安全進(jìn)行關(guān)注。雖然有許多不同的因素需要考慮,但是設(shè)置正確的文件讀寫權(quán)限應(yīng)該是首要任務(wù)之一。
什么是WordPress文件權(quán)限?
WordPress文件權(quán)限確定誰(shuí)可以訪問WordPress網(wǎng)站上的文件。文件權(quán)限本質(zhì)上是一種組織和管理文件和文件夾的方法。如果未正確設(shè)置,可能會(huì)使您的網(wǎng)站和網(wǎng)站訪問者面臨重大風(fēng)險(xiǎn)。
如果沒有正確的文件權(quán)限,黑客可以訪問你的管理員帳戶以及你的整個(gè)服務(wù)器(你的網(wǎng)站所在的位置)。這可能允許他們讀取、寫入和執(zhí)行敏感文件,包括添加在你網(wǎng)站后端運(yùn)行惡意軟件的惡意代碼。
另外,如果你的WordPress網(wǎng)站被多個(gè)用戶(例如博客文章或新聞資訊的貢獻(xiàn)者)使用,正確的文件權(quán)限可以防止內(nèi)部錯(cuò)誤的威脅,同時(shí)還為他們提供一層保護(hù)來應(yīng)對(duì)攻擊者。
雖然文件權(quán)限不是WordPress安全實(shí)踐的唯一關(guān)鍵元素,但它們可確保正確執(zhí)行文件,使其成為網(wǎng)站功能的關(guān)鍵方面。
設(shè)置WordPress文件權(quán)限:FTP 和 寶塔面板
在主動(dòng)設(shè)置文件權(quán)限之前,您必須首先知道用于管理網(wǎng)站文件的客戶端。通常有兩種主要解決方案:FTP和寶塔面板。
使用FTP設(shè)置權(quán)限
使用FTP客戶端,您需要使用菜單中的chmod或set權(quán)限設(shè)置文件或文件夾的權(quán)限。只需打開文件和文件夾即可。從那里將明確指出權(quán)限列表。
在每個(gè)文件上,顯示一系列字母和連字符。在字符中,您可以看到以下任何(單數(shù)或組合):
- 字母“r”表示用戶可以讀取文件
- 字母“w”表示用戶具有寫入權(quán)限
- 字母“x”表示用戶可以執(zhí)行權(quán)限
- 連字符“ – ”表示沒有權(quán)限
它們將以某種方式呈現(xiàn),以顯示各個(gè)組和用戶的設(shè)置。在FTP軟件中,我們只需要在需要設(shè)置權(quán)限的文件或文件夾上,右鍵-屬性,就可以進(jìn)入到權(quán)限設(shè)置界面。
注:不同的FTP軟件的操作方式可能有所不同,在此我們演示用的是 WinSCP。如果你用的其他FTP軟件,可以百度下相關(guān)的教程。
使用chmod時(shí),使用八進(jìn)制數(shù)。它們的含義如下:
- 755表示所有者可以執(zhí)行任何操作,而其他人可以讀取和執(zhí)行,但可能不會(huì)更改文件。這是公共文件的理想選擇。
- 644表示你可以讀寫,而其他人只能讀取。
- 711表示你是唯一可以對(duì)文件執(zhí)行任何操作而其他人只能執(zhí)行。
- 700表示你可以做任何事情而其他人無(wú)法訪問。這最適用于后端內(nèi)的私有目錄和項(xiàng)目。
- 600表示你可以在其他用戶無(wú)法訪問時(shí)進(jìn)行讀寫。這是私有文本文件的理想選擇。
使用寶塔面板設(shè)置權(quán)限
寶塔面板是國(guó)內(nèi)技術(shù)員開發(fā)的服務(wù)器可視化管理面板,比較適合新手使用,這兩年用戶量劇增,所以我們也講下寶塔面板設(shè)置文件權(quán)限的操作:
設(shè)置單個(gè)文件/目錄操作權(quán)限
在寶塔面板左邊的【文件】菜單,進(jìn)入找到網(wǎng)站所在的目錄,然后可以按照下圖操作即可進(jìn)行設(shè)置:
批量設(shè)置權(quán)限
如果要批量設(shè)置,可以先選擇多個(gè)文件或目錄,然后按照下圖操作即可:
關(guān)于寶塔的更多信息,請(qǐng)看: http://www.ydqwiac.cn/shop/35636.html
WordPress文件權(quán)限
處理WordPress網(wǎng)站時(shí),有許多不同的文件類型和文件夾可能需要更改內(nèi)部和外部安全措施的權(quán)限。從面板內(nèi)部,您會(huì)注意到各種文件和目錄。如果你需要很細(xì)致地設(shè)置各種不同的操作權(quán)限,那你可能需要對(duì)這些文件夾或文件有更詳細(xì)的了解。
正確的wp-content文件權(quán)限
wp-content文件夾包含與主題、插件和上傳到你的WordPress網(wǎng)站相關(guān)的文件數(shù)據(jù)。編輯此文件夾中的文件將對(duì)網(wǎng)站產(chǎn)生重大影響,使其成為潛在黑客的目標(biāo)。
設(shè)置文件夾的權(quán)限以便只有所有者才能編寫和執(zhí)行權(quán)限至關(guān)重要。
為此,請(qǐng)將文件夾權(quán)限設(shè)置為755,將內(nèi)部的文件設(shè)置為644,可以防止未經(jīng)授權(quán)的訪問。
正確的wp-includes文件權(quán)限
wp-includes文件夾存儲(chǔ)API所需的核心文件以及站點(diǎn)的運(yùn)行。因此,將其設(shè)置為644是正確的選擇。
正確的文件夾文件權(quán)限
設(shè)置為755通常是所有其他文件夾的最佳選項(xiàng),因?yàn)檫@樣可以在訪問其他文件夾時(shí)提供完全訪問權(quán)限。
正確的wp-config文件權(quán)限
wp-config文件是存儲(chǔ)基本配置和數(shù)據(jù)庫(kù)連接信息的地方,使其成為所有文件中最重要的文件之一。對(duì)用戶和組使用444權(quán)限來讀取文件但不寫入或執(zhí)行。
WordPress文件權(quán)限建議
| 相對(duì)路徑 | 建議 |
| / | 755 |
| wp-includes | 755 |
| wp-admin | 755 |
| wp-admin/js | 755 |
| wp-content | 755 |
| wp-content/themes | 755 |
| wp-content/plugins | 755 |
| wp-content/uploads | 755 |
| wp-config.php | 444 |
| .htaccess | 444 |
小結(jié)
使用正確的安全措施保護(hù)你的WordPress網(wǎng)站絕對(duì)至關(guān)重要。通過設(shè)置正確的文件權(quán)限,你可以確保你的網(wǎng)站不會(huì)受到未經(jīng)授權(quán)的文件編輯所造成的攻擊。同樣,用戶不會(huì)通過發(fā)生簡(jiǎn)單的錯(cuò)誤而意外地導(dǎo)致問題。
需要注意的一點(diǎn)是:文件權(quán)限的設(shè)置需要靈活,比如對(duì)于一些很久都不會(huì)更新的文件,設(shè)置更加嚴(yán)格的權(quán)限;在受到黑客篡改文件后,處理完了也需要盡可能設(shè)置更嚴(yán)格的文件權(quán)限。但是這些設(shè)置,可能會(huì)導(dǎo)致WordPress核心、主題或插件無(wú)法正常在線更新,所以這個(gè)時(shí)候,我們可能需要臨時(shí)將權(quán)限放開,否則就只能通過手動(dòng)的更新方式進(jìn)行。
