加强WordPress:WP-Content文件权限?

时间:2014-08-02 作者:commonpike

我正在编写一个脚本来自动检查服务器上所有wordpress安装中的文件权限。

本文件https://wordpress.org/support/article/hardening-wordpress/在某一点上不清楚:

/wp含量/

用户提供的内容:可由用户帐户和web服务器进程写入。在/wp-content/中,您将发现:

/wp内容/主题/

主题文件。如果要使用内置编辑器,所有文件都需要可由web服务器进程写入。如果不想使用内置的主题编辑器,则所有文件只能由您的用户帐户写入。

/wp内容/插件/

插件文件:所有文件只能由您的用户帐户写入。

上述文档是否正确且完整(在所有情况下)-我能相信吗?

如果是,它会说什么:

是否只有目录wp内容本身可供用户和Web服务器写入,或者除了插件和可选主题之外,wp内容中的任何内容是否可供用户和Web服务器写入

编辑:稍微改写了问题的措辞

3 个回复
SO网友:Rarst

这有几个方面。理想的应该是什么,实际的应该是什么,通常的应该是什么。

WordPress中的写入文件有两个上下文。

只需使用PHP即可,这里最难锁定的场景是uploads 是可写的。否则,核心功能将开始崩溃。

然而,插件可能会玩弄它,并假定wp-content 可写。

Filesystem API

这是正确的写入方式,但对最终用户来说也很难,因为如果需要FTP凭据,它会要求提供FTP凭据。

这需要能够编写所有内容,或者(再次)核心功能发生故障并以更大的方式(更新等)。

综上所述:

如果content folder的其余部分不可写,则只有上载才可以通过PHP写入。第三方代码可能会失败,文件系统API应该可以执行任何操作,除非您想从WP的角度将其锁定到只读文件系统(某些设置确实可以这样工作)

SO网友:commonpike

这会有什么问题?

# you own everything
chown -R [user].[user] * .htaccess

# others and group may not write anywhere
chmod -R og-w *

# execute permissions on dirs only
chmod -R a-x *
chmod -R a+X *

# webserver co-owns htaccess
chgrp www-data .htaccess
chmod a-wx .htaccess
chmod u+w .htaccess

# webserver co-owns wp-content and below
chgrp -R www-data wp-content

# webserver may write in wp-content itself
chmod g+w wp-content


# webserver may write in and below uploads
chmod -R g+w wp-content/uploads


# ------------
# custom exceptions below this
# ------------

# webserver may write in htaccess (optional)
# chmod g+w .htaccess

# webserver may write in and below themes (optional)
# chmod -R g+w wp-content/themes

SO网友:Flugan

chgrp www-data .htaccess
chmod a-wx .htaccess
WordPress需要将规则写入.htaccess 在某种程度上,通常与URL的查看和重写方式有关。www-data 组可能需要写访问权限。

结束
标签: content   permissions   customization   小码农  

相关推荐

当我想要页面内容时,_content()返回发布内容。

我对WordPress很陌生,但我目前正在这个平台上建立一个网站。我正在努力,但遇到了一点问题。我正在尝试添加网站博客文本编辑器中的内容page, 它使用标准索引。php模板。但是,当我使用<?php the_content(); ?> 与其他页面一样,它返回最新post. 是否有办法从页面编辑器获取内容?我整个上午都在找,没有找到任何令人满意的东西。如有任何建议,将不胜感激! <section id=\"primary\" >