我有一个网络服务器,并安装了wordpress。我想知道保护我的网站所需的文件权限。 (最后一次XSS发梗在我的网站,他们在我的所有的index.php文件和一些其他文件中写道。我不知道他们是如何做到这一点。)Linux服务器上托管的文件需要哪些文件权限?
什么是最好的文件权限?
我有一个网络服务器,并安装了wordpress。我想知道保护我的网站所需的文件权限。 (最后一次XSS发梗在我的网站,他们在我的所有的index.php文件和一些其他文件中写道。我不知道他们是如何做到这一点。)Linux服务器上托管的文件需要哪些文件权限?
什么是最好的文件权限?
脚本必须至少有业主读取和执行权限。这里的脚本设置为755(只有脚本的所有者具有读取,写入和执行权限;其他用户和组只具有读取和执行权限)。
要知道,你的文件的所有者设置为Apache用户(通常阿帕奇或www数据或者类似的东西)。
由Web服务器用户,任何人都不可写可读。当然,具体的细节取决于你在做什么,但从那里开始。如果可以的话,尽量呆在那里。
我想它可能更容易给你链接到一个博客帖子确保WordPress的时候,我觉得很方便。它不仅仅是你感兴趣的东西,而且非常方便。
http://www.smashingmagazine.com/2010/07/01/10-useful-wordpress-security-tweaks/
3,5和7将是你的兴趣。
在直接关系到您的配置文件,你可以使用shell命令如下保证它:
chmod 750 wp-config.php
如果环境允许的话,400基本的文件和500目录。这意味着只读。 如果你想启用上传,你应该把它适当的写权限,600.
一些托管服务提供商运行他们的所有网站共享用户,说'apache',但FTP使用'youruser'。在这种情况下,你需要440个文件和550个目录。
任何可写目录或文件,可以使您的安装安全性较低,但你必须要平衡可用性和安全性。
在外壳类型:
CHOWN阿帕奇:阿帕奇名
或
CHOWN根:根文件名, 这取决于你是什么超级管理员的用户名
后:
chmod 0755 filename
其实,PHP通过mod_php不需要执行权限。 – 2010-11-05 10:05:40