У меня есть личный VPS, на котором работает Ubuntu Server 12.04 со стандартным стеком AMP.
Я хочу предоставить своему клиенту хостинг. Но я беспокоюсь, что если я предоставлю клиенту wp hosting с доступом wp-admin, это будет означать, что он сможет выполнить php-код на моем сервере. Поскольку VPS работает на одном имени пользователя и apache www-data, может ли это привести к серьезному нарушению безопасности?
Я могу chmod www-data только для файлов, которые находятся в каталоге uploads. Таким образом отключаются дополнительные плагины и доступ к редактированию файлов темы. Но будет ли этого достаточно?
решение1
Я думаю, что нужно помнить, что Wordpress, как и любое другое популярное ПО, часто становится целью атак. В результате вы можете настроить свои разрешения наилучшим образом, но если расширение установлено, а через 6 месяцев в нем будет обнаружена уязвимость, то не пройдет много времени, прежде чем ваш сервер будет скомпрометирован.
Если вы или ваш клиент не готовы регулярно устанавливать обновления безопасности и тщательно проверять все аспекты безопасности вашего сервера на регулярной основе, то на каком-то этапе вы почти наверняка подвергнетесь атаке.
Я не говорю, что это невозможно, просто стоит решить, хотите ли вы рисковать своим собственным VPS.
решение2
Сайты Wordpress позволяют администраторам загружать и устанавливать плагины, которые представляют собой просто шары PHP-кода. Это означает, что ваш клиент может запускать на вашем сервере все, что захочет (модуль функций безопасности PHP для отключения прямых вызовов exec и т. д.). Вы — одно локальное повышение привилегий от них, имеющих root. Сможете ли вы помешать им это сделать? Возможно. Я бы не стал делать ставку, если у вас есть что-то еще, что вы хотите на этом сервере.
Лучшим вариантом будет сохранить WP в виртуальной машине или отдельном контейнере, который можно будет переустановить при необходимости.