WP-CONTENTUPLOADS的777,775,744,644,444檔案許可權設定

WP-CONTENT/UPLOADS 資料夾到底應該設怎麼樣的許可權呢?世意歐詳細解答了777、755、644、744等檔案許可權的利弊、風險提示及相關的結論建議!

本文是需要一定計算機基礎或者是對Wordpress稍比較熟悉的!

眾所周知,wordpress是世界上建站程式最多,更新最快,開源程度最好的建站程式!廣泛運用於部落格、公司網站、入口網站、跨境電商自建站等。

國內很多的專業出海服務公司,也採用Wordpress建站 ,如外貿牛等!不少企業,還因此上市!

很多人甚至是使用Wordpress多年的使用者,反饋Wordpress的安全問題!世意歐根據這些年的實戰經驗,彙集worpress安全運維問題!

因每個人使用的Web伺服器不太一樣,有些是Nginx,有些是Apache, 有些是Java, 有些是Python等, 甚至有很大部分人使用是虛擬主機(比較難清楚是使用哪種具體伺服器了!因此在我們網站,我們都會標註是使用什麼樣的Web伺服器及怎麼樣的版本,方便參考!

WP-CONTENT/UPLOADS 資料夾到底應該設怎麼樣的許可權呢?

先看網路搜尋結果:基本很少這方面的專業詳細描述!

先看網路查到的第一種:設定為777 許可權!

777 是全面開放許可權,對任何級別都不限制任何限制!讀、寫、執行任何操作,任何人如所有者、管理者、訪客、註冊使用者、非註冊使用者等,均可操作任何許可權。

世意歐解答:

如果您的Web伺服器或作業系統,安全性足夠好!特別是安全裝備或配備非常好,如沙盒技術,防篡改技術,禁止上傳檔案限制,或者Wordpress僅限管理員上傳,別的任何使用者無法使用等,防病毒軟體良好等的前提下,可以試試!

小編世意歐曾經在十幾年前,租用國外虛擬主機,當時安裝外掛時,需要開放許可權,就wp-content 資料夾及其下的資料夾或檔案,全部都設為777, 結果沒過兩天,網站打不開。當時還是Wordpress的小白,實施上傳備份,恢復快! 折騰來折騰去,最後就放在那裡!當時就是不懂開放全部許可權的意思!現在想想,當時還誤以為是虛擬主機不好使,那是不客觀的!

世意歐風險提示:

如果把作業系統安全比作國家安全,把Web伺服器安全比作各省市安全,把Wordpress網站安全比作村鎮安全,把uploads的安全比作是住宅的門戶安全。如果一個住宅,大門一直都大開著,是不是什麼人都可以進來啊!駭客是最喜歡這種所有許可權都開放的設定!

世意歐結論:

能不能信網路把uploads的檔案許可權設為777 ,得根據您各項系統安全性及各項安全配置而定,我個人有前車之鑑,最終還得您自己決定!畢竟安全是整體防禦的系統性,Uploads 僅是佔其中一個小環節!

網路查到的第二種:設定為755許可權!

我還在國外權威文章中,看到這幅圖!覺得非常好!具體哪篇文章,還真有點忘記了,小編Jacky基本上是看國內幾十篇,國外幾十篇;直到找到自己的滿意! 安全軟體Security 提醒是 建議 設定為755 許可權!

WP-CONTENT/UPLOADS的777,775,744,644,444檔案許可權設定

世意歐解答:

這個755的意思 就是,僅所有者擁有讀、寫、執行的許可權;使用者組是讀和執行的許可權;公共訪客組也是讀和執行的許可權!

世意歐實戰測試如下

:如果所有者預設是WWW 組的,還是執行得通的。

但我把所有者改為 ROOT組的,結果可能會更安全! 但是 使用Wordpress管理員登入後臺,進行上傳圖片等操作時,卻出現許可權問題!

世意歐結論:

這個設定755 是有前提的,就是所有者最好是公共的WWW網路組。而非ROOT組。不然只有ROOT組角色的才能寫入(如上傳)圖片等,即使是Wordpress管理員都無法上傳,因為Wordpress管理員不算是作業系統的ROOT組成員,需要額外增加的。

第三種:Upload 能不能是644的檔案許可權呢

測試環境一: 使用Nginx 1。19。8

測試環境二:使用Wordpress 5。7。2

測試環境三:所有防火牆、安全軟體、防護軟體、報警軟體均關閉!

測試環境四:Wordpress所有檔案的所有者均為 www

世意歐解答:

644 是指 所有者 擁有讀和寫入的許可權;使用者組及公共組僅有讀取的許可權的,無法寫入的許可權。無論是所有者還使用者組還是公共組均無法執行。

世意歐實戰測試如下

: 這種方法會出現錯誤提示!

“640。SEO。Logo。jpg” has failed to upload。The uploaded file could not be moved to wp-content/uploads。

世意歐結論:

對upload 設定644許可權,理論上很對;實際操作是不可以的!像544,444 就更不行的了啊! 具體原因,我一知半解,不是非常清楚,歡迎留言告知小編啊!

第四種:根據給許可權最小原則,能不能是744的檔案許可權呢?

測試環境一: 使用Nginx 1。19。8

測試環境二:使用Wordpress 5。7。2

測試環境三:所有防火牆、安全軟體、防護軟體、報警軟體均關閉!

測試環境四:Wordpress所有檔案的所有者均為 www

世意歐解答:

因wordpress外貿自建站,upload 主要用於上傳圖片、影片、PDF等常見的,公共組主要是讀取即可;客戶註冊成為使用者,多使用者並操作後臺的比較少。同時主要是外貿業務員在管理後臺!根據這種實際情況,一是完全沒有必要開放公共組執行的許可權,也沒有開放使用者組的執行的許可權!只要給使用者組和公共組他們開放讀的許可權即可,就是44 了。 所有者許可權經上面測試,6是不行的,最高也僅是7 。因此744檔案許可權可能是行得通!

世意歐實戰測試如下

: 暫時沒有發現問題!因為沒有給使用者組及公共組執行的許可權,理論上是遇到別人惡意上傳的檔案,因無法執行,也較難攻擊!

WP-CONTENT/UPLOADS的777,775,744,644,444檔案許可權設定

世意歐結論:

花了不少時間在測試來測試去,思考來思考去,也不知道在您們的Wordpress 配置能否生效?畢竟很多的外掛還會使用到Upload這個資料夾的,比如Stastic 及Elementor 都會在Upload 建立相關的資料夾及檔案,以便隨時進行資料的呼叫。下圖這些外掛在744許可權均可以自由寫入和執行!如果您的Uploads 設定為744後,外掛不能正常使用,歡迎留言反饋!

本文結語:

關於

WordPress網站的WP-CONTENT/UPLOADS的資料夾及其檔案的許可權設定

,是由福州世意歐科技有限公司的外貿出海安全運營組成員Jacky原創!歡迎轉發到各位網站平臺,或分享給有需求的朋友!