Wordpress .htaccess - Permissões vs Segurança

Question 1

Esta é uma pergunta antiga, então não tenho certeza se ainda é relevante, mas aqui está minha opinião.

Não acho que você esteja pensando demais, pois sim, o arquivo será gravável. Portanto, se algo suspeito acontecer no servidor - por exemplo, um ataque baseado na alteração/criação de arquivos no servidor, será mais fácil para um invasor comprometer o servidor ou ajustar certas configurações que podem ser ajustadas com .htaccess.

Por exemplo, você também pode alterar as configurações do PHP - como o tamanho máximo de upload de arquivo e os tempos de execução e uma série de outros valores de configuração que você não deseja que sejam alterados por um invasor, não é? ;)

Então, minha opinião seria 440 e sempre editá-lo manualmente em um ambiente de produção, pois não seria necessário alterá-lo com tanta frequência (quando você está implantando coisas novas, você altera uma vez para a configuração desejada e é isso ).

No entanto, em um ambiente beta/de desenvolvimento, depois de avaliar cuidadosamente outros riscos de segurança, como o que mais está no mesmo servidor (existem outros sites com dados confidenciais, etc.), você pode querer facilitar a vida de seus desenvolvedores simplesmente saindo está em 660 para fins de desenvolvimento.

Confie que faz sentido. O OP provavelmente já superou esse problema, mas espero que ajude outras pessoas que se deparam com essa questão.

Answer

Esta é uma pergunta antiga, então não tenho certeza se ainda é relevante, mas aqui está minha opinião.

Não acho que você esteja pensando demais, pois sim, o arquivo será gravável. Portanto, se algo suspeito acontecer no servidor - por exemplo, um ataque baseado na alteração/criação de arquivos no servidor, será mais fácil para um invasor comprometer o servidor ou ajustar certas configurações que podem ser ajustadas com .htaccess.

Por exemplo, você também pode alterar as configurações do PHP - como o tamanho máximo de upload de arquivo e os tempos de execução e uma série de outros valores de configuração que você não deseja que sejam alterados por um invasor, não é? ;)

Então, minha opinião seria 440 e sempre editá-lo manualmente em um ambiente de produção, pois não seria necessário alterá-lo com tanta frequência (quando você está implantando coisas novas, você altera uma vez para a configuração desejada e é isso ).

No entanto, em um ambiente beta/de desenvolvimento, depois de avaliar cuidadosamente outros riscos de segurança, como o que mais está no mesmo servidor (existem outros sites com dados confidenciais, etc.), você pode querer facilitar a vida de seus desenvolvedores simplesmente saindo está em 660 para fins de desenvolvimento.

Confie que faz sentido. O OP provavelmente já superou esse problema, mas espero que ajude outras pessoas que se deparam com essa questão.

Question 2

Tudo o que você fizer para tornar o arquivo gravável pelo Apache terá o arquivo gravável pelo Apache.

Se você deseja apenas um conjunto limitado de opções que o Apache pode alterar, você pode criar um programa setuid para fazer essas alterações com base em alguma entrada verificada pelo programa. O programa não deve ser configurado para root, mas para algum usuário que seja apenas o proprietário do arquivo.

Answer

Tudo o que você fizer para tornar o arquivo gravável pelo Apache terá o arquivo gravável pelo Apache.

Se você deseja apenas um conjunto limitado de opções que o Apache pode alterar, você pode criar um programa setuid para fazer essas alterações com base em alguma entrada verificada pelo programa. O programa não deve ser configurado para root, mas para algum usuário que seja apenas o proprietário do arquivo.

Wordpress .htaccess - Permissões vs Segurança

Responder1

Responder2

informação relacionada