Как мне изменить права доступа к файлам для поддержки Wordpress?

Question

Если и пользователь WebAdminнапрямую, и пользователь www-dataчерез группу www-dataдолжны писать в эти каталоги, этого 750недостаточно. Что исправит ваш текущий дизайн:

sudo chmod -R 770 /var/www/example.com/

Соображения безопасности

Однако в целом это означает, что каждый сайт PHP работает на одном и том же пользователе, и после этой модификации каждый сайт может читать и писать файлы любого другого сайта. Это означает, что компрометация любого из сайтов компрометирует их все.

Использование отдельного пользователя и пула PHP-FPM для каждого сайта разделит сайты на изолированные отсеки, что снизит этот риск. Вы можете администрировать сайт с тем же пользователем, который его запускает:

/var/www$ ls -l
drwxr-x--- 2 example-com www-data 4096 Aug 30 7:00 example.com
drwxr-x--- 2 example-net www-data 4096 Aug 30 7:00 example.net
drwxr-x--- 2 example-org www-data 4096 Aug 30 7:00 example.org

Если вам абсолютно необходимо, чтобы пользователь WebAdminуправлял всеми этими файлами, вы можете добавить пользователя в группу www-dataи предоставить ей права на запись, но я бы не рекомендовал этого делать.

/var/www$ ls -l
drwxrwx--- 2 example-com www-data 4096 Aug 30 7:00 example.com
drwxrwx--- 2 example-net www-data 4096 Aug 30 7:00 example.net
drwxrwx--- 2 example-org www-data 4096 Aug 30 7:00 example.org

PHP-FPM пулы

Поскольку я упомянул PHP FPM pools, вот краткий пример конфигурации. Существует несколько руководств, подробно объясняющих эти шаги.

Установите PHP-FPM.

/etc/php/8.2/fpm/pool.d/example-com.conf:

[example-com]
user = example-com
group = example-com

listen = /run/php/example-com.sock
chdir = /var/www/example.com

listen.owner = www-data
listen.group = www-data

pm = dynamic
pm.max_children = 5
pm.start_servers = 2
pm.min_spare_servers = 1
pm.max_spare_servers = 3

php_admin_value[disable_functions] = exec,passthru,shell_exec
php_admin_flag[allow_url_fopen] = off
php_admin_value[cgi.fix_pathinfo] = 1

security.limit_extensions =

Последняя строка уменьшает безопасность, чтобы WordPress мог обрабатывать SEO URL, остальные — для повышения безопасности. Параметры pmдолжны быть настроены в соответствии с вашими потребностями.

Включить модули Apache mpm_event, proxy& proxy_fcgi.

Добавьте обработчик в <VirtualHost>блок Apache2 для сайта:

<FilesMatch "\.php$">
    SetHandler "proxy:unix:/run/php/example-com.sock|fcgi://localhost"
</FilesMatch>
<Proxy "fcgi://localhost/">
</Proxy>

Перезагрузите или перезапустите службы Apache2 и PHP-FPM.

Answer 1

Если и пользователь WebAdminнапрямую, и пользователь www-dataчерез группу www-dataдолжны писать в эти каталоги, этого 750недостаточно. Что исправит ваш текущий дизайн:

sudo chmod -R 770 /var/www/example.com/

Соображения безопасности

Однако в целом это означает, что каждый сайт PHP работает на одном и том же пользователе, и после этой модификации каждый сайт может читать и писать файлы любого другого сайта. Это означает, что компрометация любого из сайтов компрометирует их все.

Использование отдельного пользователя и пула PHP-FPM для каждого сайта разделит сайты на изолированные отсеки, что снизит этот риск. Вы можете администрировать сайт с тем же пользователем, который его запускает:

/var/www$ ls -l
drwxr-x--- 2 example-com www-data 4096 Aug 30 7:00 example.com
drwxr-x--- 2 example-net www-data 4096 Aug 30 7:00 example.net
drwxr-x--- 2 example-org www-data 4096 Aug 30 7:00 example.org

Если вам абсолютно необходимо, чтобы пользователь WebAdminуправлял всеми этими файлами, вы можете добавить пользователя в группу www-dataи предоставить ей права на запись, но я бы не рекомендовал этого делать.

/var/www$ ls -l
drwxrwx--- 2 example-com www-data 4096 Aug 30 7:00 example.com
drwxrwx--- 2 example-net www-data 4096 Aug 30 7:00 example.net
drwxrwx--- 2 example-org www-data 4096 Aug 30 7:00 example.org

PHP-FPM пулы

Поскольку я упомянул PHP FPM pools, вот краткий пример конфигурации. Существует несколько руководств, подробно объясняющих эти шаги.

Установите PHP-FPM.

/etc/php/8.2/fpm/pool.d/example-com.conf:

[example-com]
user = example-com
group = example-com

listen = /run/php/example-com.sock
chdir = /var/www/example.com

listen.owner = www-data
listen.group = www-data

pm = dynamic
pm.max_children = 5
pm.start_servers = 2
pm.min_spare_servers = 1
pm.max_spare_servers = 3

php_admin_value[disable_functions] = exec,passthru,shell_exec
php_admin_flag[allow_url_fopen] = off
php_admin_value[cgi.fix_pathinfo] = 1

security.limit_extensions =

Последняя строка уменьшает безопасность, чтобы WordPress мог обрабатывать SEO URL, остальные — для повышения безопасности. Параметры pmдолжны быть настроены в соответствии с вашими потребностями.

Включить модули Apache mpm_event, proxy& proxy_fcgi.

Добавьте обработчик в <VirtualHost>блок Apache2 для сайта:

<FilesMatch "\.php$">
    SetHandler "proxy:unix:/run/php/example-com.sock|fcgi://localhost"
</FilesMatch>
<Proxy "fcgi://localhost/">
</Proxy>

Перезагрузите или перезапустите службы Apache2 и PHP-FPM.

Как мне изменить права доступа к файлам для поддержки Wordpress?

решение1

Соображения безопасности

PHP-FPM пулы

Связанный контент