Tengo mi VPS personal ejecutando el servidor ubuntu 12.04 con una pila AMP estándar.
Quiero darle hosting a mi cliente. pero me preocupa que si le doy al cliente alojamiento wp con acceso wp-admin, eso significa que podrá ejecutar código php en mi servidor. Al ser un VPS que se ejecuta con un solo nombre de usuario y apache www-data, ¿podría esto provocar una violación de seguridad grave?
Puedo modificar solo archivos www-data que residen dentro del directorio de carga. Deshabilitando así complementos adicionales y acceso a ediciones de archivos de temas. Pero será suficiente?
Respuesta1
Creo que lo que hay que tener en cuenta es que Wordpress, como cualquier otro software popular, suele ser blanco de ataques. El resultado es que podrías configurar tus permisos de la mejor manera posible, pero si se instala una extensión y 6 meses después se encuentra una vulnerabilidad en ella, no pasará mucho tiempo antes de que tu servidor se vea comprometido.
A menos que usted o su cliente estén preparados para aplicar diligentemente actualizaciones de seguridad y verificar minuciosamente todos los aspectos de seguridad de su servidor de forma regular, es casi seguro que se verán comprometidos en algún momento.
No digo que sea imposible, sólo vale la pena decidir si quieres o no arriesgar tu propio VPS.
Respuesta2
Los sitios de Wordpress permiten a los administradores descargar e instalar complementos, que son solo bolas de código PHP. Eso significa que su cliente puede ejecutar lo que quiera (módulo de funciones de seguridad de PHP para deshabilitar las llamadas directas al ejecutivo, etc.) en su servidor. Eres una escalada de privilegios locales por parte de ellos que tienen root. ¿Puedes evitar que lo hagan? Tal vez. No apostaría por ello si tienes algo más que quieras en ese servidor.
Lo mejor que puede hacer es mantener WP en una máquina virtual o contenedor propio que pueda reinstalar si es necesario.