저는 표준 AMP 스택과 함께 우분투 서버 12.04를 실행하는 개인 VPS를 가지고 있습니다.
내 고객에게 호스팅을 제공하고 싶습니다. 하지만 클라이언트에게 wp-admin 액세스 권한이 있는 wp 호스팅을 제공하면 클라이언트가 내 서버에서 PHP 코드를 실행할 수 있다는 것을 의미하므로 걱정됩니다. 단일 사용자 이름과 Apache www 데이터로 실행되는 VPS이므로 심각한 보안 위반이 발생할 수 있습니까?
업로드 디렉토리에 있는 www-data 파일만 chmod할 수 있습니다. 따라서 추가 플러그인을 비활성화하고 테마 파일 편집에 대한 액세스를 비활성화합니다. 하지만 그것으로 충분할까요?
답변1
명심해야 할 점은 다른 인기 소프트웨어와 마찬가지로 Wordpress도 공격 대상이 되는 경우가 많다는 것입니다. 결론은 가능한 최선의 방법으로 권한을 구성할 수 있다는 것입니다. 그러나 확장 프로그램이 설치되고 6개월 후에 취약점이 발견되면 머지않아 서버가 손상될 것입니다.
귀하 또는 귀하의 고객이 보안 업데이트를 부지런히 적용하고 정기적으로 서버의 모든 보안 측면을 철저하게 확인할 준비가 되어 있지 않으면 어느 단계에서는 거의 확실히 손상될 것입니다.
불가능하다고 말하는 것이 아니라, 자신의 VPS를 위험에 빠뜨리고 싶은지 여부를 결정할 가치가 있습니다.
답변2
WordPress 사이트에서는 관리자가 PHP 코드 덩어리인 플러그인을 다운로드하고 설치할 수 있습니다. 이는 귀하의 클라이언트가 귀하의 서버에서 원하는 모든 것(exec에 대한 직접 호출을 비활성화하는 모듈로 PHP 보안 기능 등)을 실행할 수 있음을 의미합니다. 당신은 루트가 있는 로컬 권한 에스컬레이션입니다. 그들이 그렇게 하지 못하게 할 수 있나요? 아마도. 해당 서버에 원하는 다른 것이 있다면 나는 그것에 베팅하지 않을 것입니다.
가장 좋은 방법은 필요한 경우 다시 설치할 수 있는 자체 VM이나 컨테이너에 WP를 보관하는 것입니다.