了解文件权限并使用它们来保护您的网站

文件权限指定谁以及可以读取,写入,修改和访问它们的内容.这很重要,因为 codex解释,因为wordpress可能需要访问WP-Content目录中的文件,以启用某些功能.

如果您的文件没有最佳的权限,黑客更容易侵入您的文件您的网站.正确设置文件权限可能无法保存您的所有攻击,但它将有助于使您的网站更安全,使其成为当前安全措施的一个很好的补充.

WordPress Codex有一些关于WordPress文件权限的信息,但它不会进入大量细节,因此它可能很难遵循.所以在今天的周末WordPress项目中,我们将详细研究文件和文件夹权限,以及如何更改它们以提高您的网站的安全性.

文件权限的样子是什么样的?

一般来说,查看文件权限时需要考虑两种类别:操作和用户组.

操作您的网站的插件和文件可以制作:

  • read -允许访问文件以查看其内容
  • write -允许文件更改
  • 执行 -可以访问文件,以运行其中包含的程序或脚本

操作的用户组可以是:

  • 用户 -您作为您网站的所有者
  • group -其他用户还可以访问您选择的文件,例如您的网站成员
  • world -任何带有互联网连接的人都尝试查看您的文件

文件权限主要被视为连续三个数字:

  • 第一个数字 -授予 user
  • 授予的文件操作的访问

  • 二号 -给出
  • 给出的文件访问

  • 第三号 -给予世界
  • 给出的文件访问量


要提出这些数字,则给出每个可能的动作组合的值:

  • 0 -无接入
  • 1 -执行
  • 2 -写入
  • 3 -写入和执行
  • 4 -读
  • 5 -读取和执行
  • 6 -读写
  • 7 -读取,写和执行

这种情况,您可以授予的最大访问量是777,其中用户,组和世界可以访问读取,写和执行文件.

您可以给出的最少的访问量-除非没有文件,是一个文件的权限设置为444,每个人只能读取文件.

您只需要记住读取,写入和执行操作的值,因为将相应的数字添加在一起将为您提供正确的文件权限值.

例如,这就是您如何计算文件许可,如果您希望用户有完整的访问权限,同时对其他人具有更严格的限制:

  • user -访问读取(具有4的值),写(具有2)并执行(值为1),4 + 2 + 1 = 7
  • group -可以访问读取(4)和写入(2),4 + 2 = 6
  • 世界 -只能访问读取文件, 4

在此示例中,最终文件权限将成为764.但是,这通常不是WordPress文件的理想权限.

您可能会注意到通过FTP或SSH(Shell Access)查看它们时的文件权限是不同的.他们可能看起来像这样:

File permissions are written as text, such as "-rwxr-xr-x." 这种显示文件权限的格式实际上与它们的数字对应物相同.

字母代表权限的操作: r ead, w 仪式和e x ecute.

Diagram of the text permissions 第一个字符可以有其他值,但你会遇到的不太可能使用WordPress时.
连字符代表缺少动作,除了显示权限的序列中的第一个字符除了用于文件.如果它是一个文件夹-通常被称为目录-将有一个字母"d".

以下字符以三组分组.第一个组代表用户,对于组的第二组和第三个设置.

每个组显示每个用户组的允许操作.这是一个例子:

加载gist jennimckinnon/f99aaab34e2df68a6831

第一个连字符意味着权限是针对文件.接下来的三个字符表明,当组和世界集具有读取和执行文件的权限时,用户可以访问读取,写入和执行文件,但不会按照连字符所示写入.

如果您之前介绍的操作分配相同的值,则结果将是一个数字文件权限.此示例可添加最多755.

也可能有助于提及使用文件权限777提供对每个人的访问,因此它是危险的,不应该用于WordPress网站,但使用444也不是理想的,因为这意味着您的WordPress网站不会是理想的有权运行.

如果这些组合不是很大的选择,那么应该是什么 你的文件权限是,无论如何?

我应该使用什么权限?

如果您自己设置WordPress网站,则可以正确设置您的文件权限.如果您发现您获得权限错误或您的网站未被您设置,那么是时候考虑更改文件权限了.

每个插件都有不同的需求,就根据插件的目的而无法使用文件权限,并且您的文件和文件夹权限将取决于您的托管设置.

如果运行自己的服务器,通常可以使用WordPress Codex推荐的这些一般指南运行您的网站:

  • 文件夹- 755
  • 文件- 644

对于您在WordPress安装中拥有的最重要的文件,例如 WP-Config.php ,如果您需要,您可以将许可设置为600.

.htaccess 文件是一个例外,因为如果需要自动更新文件,则需要通过WordPress访问.推荐的设置为644.如果您希望此文件更安全,您可以在大多数情况下将其设置为604.

在其中可以找到文件权限的位置?

它们只在Linux和Unix基于服务器上找到,因此如果您的网站在Windows上设置,那么您将无法在任何地方找到它们.

在cpanel中,转到文件>文件管理器一旦您登录.如果出现目录选择弹出窗口,请单击 go 在底部.

从列表中选择一个文件,然后单击页面顶部的更改权限图标.

The "Change Permission" icon is highlighted in cPanel's file manager. 有很多方法可以查看文件和文件夹权限,这不是大多数用户最有效的.

在线弹出窗口将显示在其中,可以在其中查看和更改文件或文件夹的权限.

The "Change Permissions" pop-up shows a folder permission of 755 with the option to change it. 如果您选择更改权限,请小心,因为它可以打破您的网站或者否则让黑客成为更大的开放来攻击您的网站.

选择和取消选择复选框将更新权限.单击右下角的更改权限按钮将保存更改.

您还可以通过FTP更新您的权限.在FileZilla成功建立了连接后,您可以右键单击文件或文件夹,然后从列表中选择文件权限.

The cgi-bin folder has been right clicked and the mouse is hovering over the "File permissions" option from the list that appeared. 您还可以在批量更改的时间选择多个文件夹或文件权限,但选择的所有权限都具有相同的权限.

将出现一个弹出窗口,您可以在其中检查相应的框或在标签数字值中键入数字权限.

The "Change file attributes" pop-up window in FileZilla. 如果您正在使用不同的FTP客户端,请参阅他们的文档以获取准确说明更改权限.

一旦您对更改感到满意,请单击确定以保存它们.

您还可以更改权限将ssh.登录到服务器后,输入以下命令.

这是文件夹的命令:

加载gist jennimckinnon/e49705f0b5905b61ecbe

文件的命令有点不同,这里是:

加载gist jennimckinnon/47beefcef7739d00b800

只是确保输入文件或文件夹的正确路径,并更改适合您需求的权限.在这些示例中,您需要分别更改值755和644.

结论

我们已经介绍了WordPress权限的基础知识,以及如何在CPanel和FTP中更改它们.然而,还有一件事:您对WordPress安装最新的情况也很重要.

这将确保自动应用对权限的任何安全升级,以防止您,您的网站及其访客安全.

如果您更喜欢使用插件,有三个经常更新,可靠地尝试:triagias®wordpress安全评估 secure 防弹安全.这些插件可以检查文件权限,并通知您设置不足.

如果您想了解有关详细信息,以便进一步保护您的网站,请查看WordPress Security的一些其他帖子: 5简单.htaccess提示,以收紧您的网站的安全性 WordPress安全性要素:告别黑客 6最佳WordPress安全认证插件

图像积分: majorgeeks , shaddy .

标签:

0
订阅评论
提醒
0 评论
内联反馈
查看所有评论