我最近决定在每次安装 WordPress 时都包含一个很棒的系统统计插件。链接:http://wordpress.org/extend/plugins/tpc-memory-usage/screenshots/
该插件的功能之一是提供一个选项卡,用于分析特定的 php/server 设置并建议更改。
我很好奇的是,您认为对于我遇到的一些错误,正确的设置是什么。这些包括:
open_basedir 在所有 php 设置中,每当设置该值时,我似乎总是会遇到插件安装甚至文件上传或插件安装的问题,因此我总是将其设置为“none”。我想知道这个 php 指令的理想值是什么,以及你们认为将其设置为“none”以外的值有多重要。据我所知,它限制了 PHP 进程访问指定目录之外的文件。强烈建议您将 open_basedir 仅设置为您的网站文档和共享库。
安全模式 有趣的是,我一直认为出于安全原因应该将此设置设置为“ON”,但有趣的是,这个插件说此功能在 PHP 5.3 中已弃用,并在 PHP 6.0 中被删除。依赖此功能在架构上是不正确的,因为这不应该在 PHP 级别解决。你对此有什么看法?
服务器签名 我已将其设置为“开启”,并且此插件声称将其设置为开启意味着您的服务器软件版本和其他重要详细信息是公开的,这可以为黑客提供利用版本和软件特定漏洞所需的信息。如果我将其设置为关闭,你们知道这可能会出现什么问题吗?
允许 url_fopen 我目前已将这些设置为 ON,但出于安全原因,建议禁用 allow_url_fopen。你们对此有何看法?显然,将其设置为 on 后,它允许 PHP 文件函数(例如 include、require 和 file_get_contents())从远程位置(例如:FTP、网站)检索数据。据 PHP 安全联盟称,大量代码注入漏洞是由启用 allow_url_fopen 和错误的输入过滤组合造成的。
mod_security 我没有安装这个,因为我似乎总是遇到一些问题。你对此有什么看法?