Digiparks.lv

Bezpieczne uprawnienia do plików dla WordPress

przez

Imants Pumpurs
W

Jesteś administratorem serwera centos i chcesz sprawdzić, jakie są poprawne uprawnienia wordpress i polecenia powłoki, jak poprawić uprawnienia do plików, .htaccess i wp-config.php

Prawidłowe uprawnienia do plików WordPress dla WordPress są następujące:

  • Katalogi: 755
  • Akta: 644

Katalogi

Katalogi powinny być ustawione na 755, co oznacza, że właściciel (zwykle użytkownik serwera WWW) ma uprawnienia do odczytu, zapisu i wykonywania, podczas gdy inni mają uprawnienia do odczytu i wykonywania. Dzięki temu Twój serwer WWW będzie mógł odczytywać i zapisywać pliki w katalogu, podczas gdy wszyscy inni będą mogli je tylko odczytywać.

Akta

Pliki powinny być ustawione na 644, co oznacza, że właściciel ma uprawnienia do odczytu i zapisu, a inni mają tylko uprawnienia do odczytu. Dzięki temu Twój serwer WWW będzie mógł zapisywać pliki, a użytkownicy będą mogli je tylko czytać.

.htaccess

Plik .htaccess to plik konfiguracyjny, który pozwala dostosować zachowanie instalacji WordPress. Prawidłowe uprawnienia do pliku .htaccess to 644. Dzięki temu Twój serwer WWW będzie mógł odczytać plik, a użytkownicy nie będą mogli go modyfikować.

wp-config.php

Plik wp-config.php jest najważniejszym plikiem w instalacji WordPress. Zawiera szczegóły połączenia z bazą danych i inne ważne ustawienia. Prawidłowe uprawnienia do pliku wp-config.php to 400. Dzięki temu tylko użytkownik Twojego serwera WWW będzie mógł odczytać plik.

Powyższe polecenie zapewnia również, że wtyczka bezpieczeństwa wymaga dostępu do odczytu i zapisu do prawidłowego działania.

Uprawnienia do katalogów i plików

# Ustaw wszystkie uprawnienia do katalogów na 755 Sudo find . -type d -exec chmod 755 {} \; # Ustaw uprawnienia wszystkich plików na 644 Sudo find . -type f -exec chmod 644 {} \;

Ustaw uprawnienia dla wp-config.php na 600, aby tylko użytkownik wp mógł odczytać ten plik i nikt inny. Uprawnienia 400 nie działały dla mnie z powyższą własnością pliku.

sudo chmod 444 wp-config.php (opcja) sudo chmod 400 wp-config.php (lepiej)

Oto polecenia powłoki, których możesz użyć do ustawienia tych uprawnień:

chmod -R 755 /ścieżka/do/wordpress chmod 644 /ścieżka/do/wordpress/*.php /ścieżka/do/wordpress/*.htaccess chmod 400 /ścieżka/do/wordpress/wp-config.php

To polecenie ustawi uprawnienia wszystkich katalogów i plików w katalogu /path/to/wordpress na 755, a uprawnienia wszystkich plików .php i .htaccess na 644. Ustawi także uprawnienia pliku wp-config.php plik do 400.

Oto kilka dodatkowych wskazówek dotyczących ustawiania uprawnień do plików WordPress:

  • Jeśli używasz klienta FTP do ustawiania uprawnień do plików, pamiętaj o użyciu opcji „rekurencyjnej”. Zapewni to ustawienie uprawnień dla wszystkich plików i katalogów w określonym katalogu.
  • Jeśli używasz wiersza poleceń, pamiętaj, aby użyć opcji „-R” z poleceniem chmod. Zapewni to również ustawienie uprawnień dla wszystkich plików i katalogów w określonym katalogu.
  • Zachowaj ostrożność podczas ustawiania uprawnień do plików. Jeśli ustawisz uprawnienia zbyt restrykcyjnie, Twój serwer WWW może nie być w stanie odczytywać lub zapisywać plików. Jeśli ustawisz uprawnienia na zbyt liberalne, użytkownicy mogą móc modyfikować pliki, do czego nie powinni.

Zabezpieczenie administratora WordPress odbywa się za pomocą .htaccess

Zabezpieczenie obszaru administracyjnego WordPressa ma kluczowe znaczenie, aby chronić Twoją witrynę przed nieautoryzowanym dostępem i potencjalnymi atakami. Jedną ze skutecznych metod jest ograniczenie dostępu na podstawie adresów IP za pomocą pliku .htaccess. Ten przewodnik wyjaśni, jak zabezpieczyć katalog /wp-admin/ za pomocą ograniczeń .htaccess według adresu IP.

Warunki wstępne:

  1. Dostęp do klienta protokołu FTP: Będziesz potrzebować klienta FTP, aby połączyć się z serwerem swojej witryny i zmodyfikować plik .htaccess. Do popularnych klientów FTP należą FileZilla, Cyberduck i File Transfer Agent.
  2. Lista dozwolonych adresów IP: Zanotuj wszystkie adresy IP, które powinny mieć dostęp do obszaru administracyjnego WordPress. Zwykle obejmuje to Twój własny adres IP oraz wszelkie inne urządzenia lub lokalizacje, z których regularnie uzyskujesz dostęp do panelu administracyjnego.

Kroki:

  1. Znajdź plik .htaccess: Plik .htaccess zazwyczaj znajduje się w katalogu głównym instalacji WordPress. Możesz użyć klienta FTP, aby uzyskać dostęp do katalogu głównego i zlokalizować plik.
  2. Pobierz istniejący plik .htaccess: Przed dokonaniem jakichkolwiek modyfikacji pobierz istniejący plik .htaccess na swój komputer lokalny. Dzięki temu będziesz mieć kopię zapasową na wypadek jakichkolwiek problemów.
  3. Dodaj ograniczenia dostępu IP do pliku .htaccess: Otwórz pobrany plik .htaccess w edytorze tekstu. Dodaj następujący kod do pliku, zastępując „192.168.1.1” pierwszym dozwolonym adresem IP:
zamów odmowę, zezwól na odmowę ze wszystkich zezwól na adres 192.168.1.1 lub nowa wersja Wymagaj adresu IP 192.168.1.1 Gdzie 192.168.1.1 to Twój adres IP.

Powtórz ten blok dla każdego dodatkowego dozwolonego adresu IP, zastępując „192.168.1.1” odpowiednim adresem IP.

  1. Zapisz zmodyfikowany plik .htaccess: Zapisz plik .htaccess z dodanymi ograniczeniami dostępu IP.
  2. Prześlij zmodyfikowany plik .htaccess na serwer: Prześlij zmodyfikowany plik .htaccess z powrotem do katalogu głównego instalacji WordPress za pomocą klienta FTP.
  3. Sprawdź ograniczenia dostępu IP: Po przesłaniu pliku spróbuj uzyskać dostęp do obszaru administracyjnego WordPress z różnych adresów IP. Dostęp do panelu administracyjnego powinien być możliwy tylko z adresów IP określonych w pliku .htaccess.

Dodatkowe uwagi:

  • Jeśli często uzyskujesz dostęp do panelu administracyjnego z różnych adresów IP, rozważ użycie wtyczki takiej jak „WP-Ban" Lub "Wordfence”, aby dynamicznie zarządzać ograniczeniami IP w oparciu o Twoją aktywność związaną z logowaniem.
  • Chociaż ograniczenia oparte na adresach IP mogą zapewnić dodatkową warstwę bezpieczeństwa, należy pamiętać, że adresy IP mogą zostać sfałszowane lub zmienione, potencjalnie umożliwiając nieautoryzowany dostęp. Zastosuj dodatkowe środki bezpieczeństwa, takie jak silne hasła i uwierzytelnianie dwuskładnikowe, aby jeszcze bardziej chronić obszar administracyjny WordPress.

Mam nadzieję, że to pomoże!

PL
EN LV DE ES RU PL