Wordpress .htaccess - Permisos vs Seguridad

Wordpress .htaccess - Permisos vs Seguridad

Guión

Estoy creando un complemento de WordPress para mis propios sitios que necesita acceso al .htaccessarchivo principal del sitio.

A través de un script de instalación puedo modificar el .htaccessdesde 644el 664cual permite que mi servidor (Apache2) escriba directamente .htaccess.

Pregunta

Lo que me preocupa es la limitación de la seguridad. ¿Me estoy abriendo a una avalancha de posibles ataques aquí? Si es así, ¿cuál es una mejor sugerencia para que .htaccessWordPress pueda escribirlo? ¿apache?

EDITAR

El usuario apache2 está www-dataen un servidor pero es un usuario diferente en un servidor diferente dependiendo de la configuración del host. Necesito estar preparado para esto.

Respuesta1

Esta es una pregunta antigua, por lo que no estoy seguro de si sigue siendo relevante, pero aquí está mi opinión.

No creo que estés pensando demasiado en ello, ya que sí, se podrá escribir en el archivo. Entonces, si sucede algo sospechoso en el servidor, por ejemplo, un ataque basado en cambiar/crear archivos en el servidor, será más fácil para un atacante comprometer el servidor o ajustar ciertas configuraciones que se pueden ajustar con .htaccess.

Por ejemplo, también puedes cambiar la configuración de PHP, como el tamaño máximo de carga de archivos y los tiempos de ejecución y una serie de otros valores de configuración que no quieres que un atacante cambie, ¿verdad? ;)

Entonces, mi opinión sería 440 y editarlo siempre a mano en un entorno de producción, ya que allí no debería ser necesario cambiarlo con tanta frecuencia (cuando estás implementando cosas nuevas, lo cambias una vez a la configuración deseada y eso es todo). ).

Sin embargo, en un entorno beta/de desarrollo, después de evaluar cuidadosamente otros riesgos de seguridad, como qué más hay en ese mismo servidor (¿hay otros sitios con datos confidenciales, etc.), es posible que desee hacer la vida más fácil a sus desarrolladores simplemente saliendo de a 660 para fines de desarrollo.

Confía en que eso tiene sentido. Probablemente OP ya haya superado este problema, pero espero que ayude a otros a encontrarse con esta pregunta.

Respuesta2

Cualquier cosa que haga para que Apache pueda escribir en el archivo, Apache también podrá escribir en el archivo.

Si solo desea un conjunto limitado de opciones que Apache pueda cambiar, puede crear un programa setuid para realizar estos cambios basándose en alguna entrada verificada por el programa. El programa no debe estar configurado como root sino para algún usuario que sea únicamente el propietario del archivo.

información relacionada