在具有需要写权限的应用程序(Wordpress)的私人服务器上,最好将 Apache 的 Web 用户(www-data)添加到拥有 /var/www 的“开发人员”组,还是使用 fastcgi / suphp 来提升权限?
注意:“开发人员”组中的唯一用户是管理员。如果使用组解决方案(上述),文件夹的权限需要为 775,文件的权限需要为 664。
答案1
您不想给予 apache 更多权限。找出 apache 需要写入权限的最小目录集,授予它对这些目录的访问权限,然后尝试限制 apache 愿意对这些目录执行的操作。如果您希望 wordpress 能够向其添加图像,则 apache 服务器不应该愿意从该目录运行 php 脚本,而只能提供静态图像。有一件事您想阻止:不法分子以某种方式获得 wordpress 登录权限,他们上传一些本应是图像但实际上是 php 脚本的东西。您不希望他们能够访问http://yoursite.com/wp-images/bad.gif并让 apache 实际上将其作为 php 脚本运行(因为现在他们可以将任意代码上传到您的服务器并让您的服务器运行该代码)。
如果您正在尝试决定是否应将开发人员添加到 www-data 组或反过来,请这样想。开发人员是您信任的可以在您的网站上运行代码的人。www-data 组是授予那些想出办法利用 wordpress/apache 或其他任何漏洞的人的特权。您不想将您授予受信任开发人员的访问权限授予这些人。您应该毫不犹豫地将您愿意授予破坏您的 wordpress 安装的人的权限授予您信任的开发人员。因此,将开发人员添加到 www-data,但不要将 www-data 添加到开发人员。