Auf meinem persönlichen VPS läuft Ubuntu Server 12.04 mit Standard-AMP-Stack.
Ich möchte meinem Kunden Hosting anbieten. Aber ich mache mir Sorgen, wenn ich dem Kunden WP-Hosting mit WP-Admin-Zugriff gebe, bedeutet das, dass er PHP-Code auf meinem Server ausführen kann. Da es sich um einen VPS handelt, der mit einem einzigen Benutzernamen und Apache-WWW-Daten läuft, könnte dies zu schwerwiegenden Sicherheitsverletzungen führen?
Ich kann nur WWW-Datendateien chmodden, die sich im Upload-Verzeichnis befinden. Dadurch werden zusätzliche Plugins und der Zugriff auf Änderungen an Designdateien deaktiviert. Aber wird das ausreichen?
Antwort1
Man sollte bedenken, dass Wordpress wie jede andere beliebte Software häufig Ziel von Angriffen ist. Das Fazit ist, dass Sie Ihre Berechtigungen zwar optimal konfiguriert haben, aber wenn eine Erweiterung installiert ist und 6 Monate später eine Schwachstelle darin gefunden wird, dauert es nicht lange, bis Ihr Server kompromittiert ist.
Sofern Sie oder Ihr Kunde nicht bereit sind, Sicherheitsupdates gewissenhaft durchzuführen und alle Sicherheitsaspekte Ihres Servers regelmäßig gründlich zu prüfen, wird es mit ziemlicher Sicherheit irgendwann zu einer Kompromittierung kommen.
Ich sage nicht, dass es unmöglich ist. Es lohnt sich nur zu entscheiden, ob Sie Ihr eigenes VPS darauf riskieren möchten oder nicht.
Antwort2
Wordpress-Sites ermöglichen es den Administratoren, Plugins herunterzuladen und zu installieren, die nichts weiter als PHP-Code sind. Das bedeutet, dass Ihr Client auf Ihrem Server ausführen kann, was er will (Modulo-PHP-Sicherheitsfunktionen zum Deaktivieren direkter Aufrufe von Exec usw.). Sie sind nur eine lokale Rechteausweitung davon entfernt, dass sie Root haben. Können Sie sie davon abhalten? Vielleicht. Ich würde nicht darauf wetten, wenn Sie irgendetwas anderes auf diesem Server haben möchten.
Am besten behalten Sie WP in einer eigenen VM oder einem eigenen Container, den Sie bei Bedarf neu installieren können.