Autorisations de fichier correct pour wordpress

Question

J'ai eu un coup d'oeil ici, mais n'ai pas trouvé de détails sur le meilleur des autorisations de fichier. J'ai aussi pris un coup d'oeil à certains de Wordpress forme de questions ici aussi, mais toute personne qui suggère 777 évidemment besoin d'une petite leçon de sécurité.

Bref ma question est la suivante. Quelles sont les autorisations dois-je avoir pour la suite:

1. dossier racine de stocker tout le contenu wordpress
2. wp-admin
3. wp-content
4. wp-includes

et puis tous les fichiers dans chacun de ces dossiers?

Answer 1

Lorsque vous setup WP-vous (le serveur web) peuvent avoir besoin d'accéder aux fichiers. Ainsi, le droit d'accès peut avoir besoin d'être lâche.

chown www-data:www-data  -R * # Let Apache be owner
find . -type d -exec chmod 755 {} \;  # Change directory permissions rwxr-xr-x
find . -type f -exec chmod 644 {} \;  # Change file permissions rw-r--r--

Après la configuration, vous devez serrer les droits d'accès, selon le Durcissement WordPress , tous les fichiers sauf pour wp-content doit être accessible en écriture par l'utilisateur de votre compte. wp-content doit être accessible en écriture par www-data.

chown <username>:<username>  -R * # Let your useraccount be owner
chown www-data:www-data wp-content # Let apache be owner of wp-content

Peut-être que vous voulez changer le contenu dans la note wp-content. Dans ce cas, vous pourriez changer pour l'utilisateur www-data avec 'su', ou modifier les droits d'accès dans le dossier afin de donner aux membres du groupe d'écriture d'accès et de rejoindre le groupe www-data.

Answer 2

Voici les autorisations de fichier correct pour Wordpress:

Pour définir les autorisations appropriées, vous devez utiliser ces commandes:

chown www-data:www-data -R *          # Let apache be owner
find . -type d -exec chmod 755 {} \;  # Change directory permissions rwxr-xr-x
find . -type f -exec chmod 644 {} \;  # Change file permissions rw-r--r--

Selon la configuration de votre serveur, vous pouvez mettre votre wp-content sur 775. Cette autorisation permettra à votre groupe d'écrire dans ce dossier. Pourquoi ajouter des autorisations de groupe? Parce que dans wordpress, vous pouvez avoir deux utilisateurs de travailler sur des fichiers, l' www-data d'utilisateur (qui exécute le site web) et l' ftp d'utilisateur (qui télécharge des plugins et des mises à jour à partir de la webplatform wordpress). Vous pouvez mettre votre wp-content sur 755 mais vous avez à faire www-data le propriétaire de ce dossier et de faire vos mises à jour manuellement via FTP.

MODIFIER avec ManuelSchneid3r réponse

Source: http://www.electronicworkplace.com/latest-updates/wordpress-correct-permissions-for-files-and-folders

Vous pouvez être intéressé par celle-ci aussi : http://codex.wordpress.org/Hardening_WordPress

Answer 3

Donner l'accès complet à tous les wp fichiers d' www-data d'utilisateur (qui est dans ce cas, le serveur web de l'utilisateur) peut être dangereux. Plutôt que de ne PAS le faire:

chown www-data:www-data -R *

Il peut être utile, cependant, dans le moment où vous êtes installation et mise à jour de WordPress et de ses plugins. Mais lorsque vous avez terminé, ce n'est plus une bonne idée de garder wp fichiers détenus par le serveur web.

Il permet essentiellement le serveur web pour mettre ou remplacer n'importe quel fichier de votre site web. Cela signifie qu'il ya une possibilité de prendre le contrôle de votre site si quelqu'un arrive à utiliser le serveur web (ou un trou de sécurité dans certains .script php) à mettre certains fichiers de votre site web.

Pour protéger votre site contre une telle attaque, vous devriez à la suivante:

Tous les fichiers doivent être la propriété de votre compte d'utilisateur, et doit être accessible en écriture par vous. N'importe quel fichier qui a besoin de l'accès en écriture à partir de WordPress devrait être accessible en écriture par le serveur web, si votre hébergement configurer l'exige, que peut signifier ces fichiers doivent être groupe détenu par le compte d'utilisateur utilisé par le processus du serveur web.

/

La racine du répertoire de WordPress: tous les fichiers doivent être accessible en écriture uniquement par votre compte d'utilisateur, à l'exception de .htaccess si vous voulez WordPress pour générer automatiquement des règles de réécriture pour vous.

/wp-admin/

L'administration de WordPress zone: tous les fichiers doivent être accessible en écriture uniquement par votre compte d'utilisateur.

/wp-includes/

La majeure partie de l'application WordPress logique: tous les fichiers doivent être accessible en écriture uniquement par votre compte d'utilisateur.

/wp-content/

Fournies par l'utilisateur du contenu: conçu pour être accessible en écriture par l'utilisateur de votre compte et le processus du serveur web.

Au sein d' /wp-content/ vous trouverez:

/wp-content/themes/

Fichiers de thème. Si vous souhaitez utiliser l'intégré dans l'éditeur de thème, tous les fichiers doivent être accessibles en écriture par le serveur web du processus. Si vous n'avez pas souhaitez utiliser l'intégré dans l'éditeur de thème, tous les fichiers peuvent être accessibles en écriture seulement par votre compte d'utilisateur.

/wp-content/plugins/

Plugin fichiers: tous les fichiers doivent être accessible en écriture uniquement par votre compte d'utilisateur.

D'autres répertoires qui peuvent être présents avec /wp-content/ devrait être documenté par n'importe quel plugin ou un thème exige d'eux. Les autorisations peuvent varier.

Source et informations complémentaires: http://codex.wordpress.org/Hardening_WordPress

Answer 4

Pour ceux qui ont leur wordpress dossier racine en vertu de leur dossier d'accueil:

** Ubuntu/apache

1. Ajouter votre utilisateur au groupe www-data:

CRÉDIT d' Octroi des autorisations d'écriture au groupe www-data

Vous voulez appeler usermod sur votre nom d'utilisateur. Donc, ce serait:

sudo usermod -aG www-data yourUserName

** En supposant www-data groupe existe

2. Vérifiez votre nom d'utilisateur en www-data groupe:

   groups yourUserName

Vous devriez obtenir quelque chose comme:

youUserName : youUserGroupName www-data

** youUserGroupName est généralement similaire à votre nom d'utilisateur

3. De manière récursive groupe de changement de propriété de l'wp-content dossier de maintien de l'utilisateur de votre propriété

   chown yourUserName:www-data -R youWebSiteFolder/wp-content/*

4. Changez de répertoire pour youWebSiteFolder/wp-content/

   cd youWebSiteFolder/wp-content

5. De manière récursive modifier les autorisations de groupe de dossiers et sous-dossiers pour permettre à des autorisations d'écriture:

   find . -type d -exec chmod -R 775 {} \;

** mode de `/home/nom d'utilisateur/youWebSiteFolder/wp-content/ " a changé de 0755 (rwxr-xr-x) 0775 (rwxrwxr-x)

6. De manière récursive modifier les autorisations de groupe de tous les fichiers et sous-dossiers pour pouvoir écrire des autorisations:

   find . -type f -exec chmod -R 664 {} \;

Le résultat devrait ressembler à quelque chose comme:

WAS:
-rw-r--r--  1 yourUserName www-data  7192 Oct  4 00:03 filename.html
CHANGED TO:
-rw-rw-r--  1 yourUserName www-data  7192 Oct  4 00:03 filename.html

L'équivalent de:

chmod -R ug+rw foldername

Les autorisations seront comme 664 pour les fichiers ou 775 pour les répertoires.