强化的WordPress Linux安装

时间:2013-08-21 作者:conners

在Linux上进行wordpress强化安装有什么最佳实践吗?我最近有一个WAMP服务器通过word press受到恶意软件攻击,因此我想使用只读apache权限加强服务器,并将其和所有未来的wordpress站点移动到Linux only

该计划:

chown everything root:root-R,这样apache就不能写任何东西了,这样只有所有者才能写chmod,只需将wordpress的上传/更新文件/主题/目录上传到apache:root,这最后一位是我需要帮助的位,你能告诉我wordpress可能需要哪些自动更新吗?我在网上查过了,没有人在谈论这件事。

2 个回复
SO网友:conners

Heavily edited from the above link

How to Harden your Word Press if you\'re a server admin

请记住,我既不是Word Press的专家,也不是它的用户:使用此方法,您可能无法自动更新Word Press(默认情况下,这是一个巨大的安全问题,因为今天的漏洞将来会由开源社区发布,将来很容易查看/使用),并且您可能无法安装/更新插件您将无法在Windows服务器上执行此操作。

/ 
The root WordPress directory:
所有文件只能由your user account (*not Apache*), 除了htaccess,如果您希望WordPress自动为您生成重写规则。

/wp-admin/ 
The WordPress administration area:
所有文件只能由your user account (*not Apache*).

/wp-includes/ 
The bulk of WordPress application logic:
所有文件只能由your user account (*not Apache*).

/wp-content/ 
User-supplied content:
可由编写your user account AND Apache.

在/wp-content/中,您会发现:

/wp-content/themes/ 
Theme files.
如果要使用内置的主题编辑器,所有文件都需要the web server process (Apache). 如果不想使用内置的主题编辑器,则所有文件只能通过your user account (*not Apache*).

/wp-content/plugins/ 
Plugin files:
所有文件只能由your user account (*Not Apache*).

so the ACTUAL answer on CENTOS is:

执行以下操作以mywordpressplace替换word press安装目录,执行以下命令root 和使用root 如果你喜欢也没关系,书上说你应该在root 然后使用3rd party user 作为下面命令行条目中的用户,但我认为如果您有多台服务器(我运行的服务器大约有40台),并且如果您已经加固了基础架构,那么仅使用root 对于两者,只要您正确配置了ssh等

# chown -R root:root /var/www/html/mywordpressplace/
# chmod -R 744  /var/www/html/mywordpressplace/
# chown -R apache:root /var/www/html/mywordpressplace/.htaccess
# chown apache:root /var/www/html/mywordpressplace/wp-content/ 
# chown -R apache:root /var/www/html/mywordpressplace/wp-content/themes/
# chown -R apache:root /var/www/html/mywordpressplace/wp-content/plugins/
最后一次抓到你了

最后一点很重要,因为可以而且确实存在的wordpress恶意软件经常使用php读/写/遍历您的目录以插入代码,而且apache必须能够读取/var/www/html/dir,因此您还需要确保该服务器上/var/www/html/中的任何其他内容也必须

# chown -R root:root /var/www/html/*
WordPress恶意软件会遍历web根目录,并将代码(通常是curl()命令)注入任何索引。php/默认值。其他网站上的php文件完全不是word press。Wordpress通常可以作为vhost上其他站点的载体

SO网友:s_ha_dum

。。。你能告诉我wordpress可能需要哪些自动更新功能吗?

WordPress没有need任何“;自动更新;。自动更新只是一种方便。事实上,内置更新程序是一个相对较新的东西,尽管我不记得它出现在什么版本。你可以随时update manually 通过FTP,我几乎总是这样做。

我在网上查过了,没人在谈论这个

没人在说什么?

https://wordpress.org/support/article/hardening-wordpress/

结束
标签: themes   security   installation   configuration   小码农  

相关推荐

Making custom woo themes

我最近决定加入WordPress,但我需要为电子商务创建一些主题,这些主题目前构建在Open Cart中。我在电子商务方面的经验来自开放式购物车,但我对WordPress完全没有经验。经过几个月的研究,我决定尝试从Woo主题中创建自己的主题Mystile. 我的问题如下:如果制作自定义主题是只修改custom.css?</发布主题更新时,他们是否也会更新.css 文件或是否有正在更新的标准文件集</Woocommerce似乎没有standard 那么有没有比使用Mystile或Artific