我的個人 VPS 運行帶有標準 AMP 堆疊的 ubuntu 伺服器 12.04。
我想給我的客戶託管。但我擔心如果我給客戶端 wp 託管提供 wp-admin 存取權限,這意味著他將能夠在我的伺服器上執行 php 程式碼。作為在單一使用者名稱和 apache www-data 上運行的 VPS,這是否會導致嚴重的安全漏洞?
我可以僅 chmod www-data 駐留在上傳目錄中的檔案。從而禁用額外的外掛程式並存取主題文件編輯。但這就足夠了嗎?
答案1
我認為需要記住的是,與其他流行軟體一樣,Wordpress 經常成為攻擊的目標。結果是,您可以以最佳方式配置權限,但如果安裝了擴展程序,並且 6 個月後發現其中存在漏洞,那麼不久您的伺服器就會受到威脅。
除非您或您的客戶準備好認真應用安全更新,並定期徹底檢查伺服器的所有安全性方面,否則您幾乎肯定會在某個階段受到損害。
我並不是說這是不可能的,只是值得決定是否要拿自己的 VPS 冒險。
答案2
WordPress 網站允許管理員下載並安裝插件,這些插件只是 PHP 程式碼球。這意味著您的客戶端可以在您的伺服器上運行他想要的任何內容(模 PHP 安全功能以停用對 exec 的直接呼叫等)。你是他們擁有 root 權限後的本地權限升級之一。你能阻止他們這樣做嗎?或許。如果您在該伺服器上還有其他想要的東西,我不會打賭。
最好的選擇是將 WP 保留在自己的虛擬機器或容器中,您可以根據需要重新安裝。