我的个人 VPS 运行带有标准 AMP 堆栈的 ubuntu 服务器 12.04。
我想给我的客户托管。但我担心如果我给客户 wp 托管和 wp-admin 访问权限,这意味着他将能够在我的服务器上执行 php 代码。作为运行在单个用户名和 apache www-data 上的 VPS,这会导致严重的安全漏洞吗?
我只能对位于 uploads 目录中的 www-data 文件进行 chmod。这样就可以禁用额外的插件和对主题文件编辑的访问。但这就足够了吗?
答案1
我认为需要记住的是,Wordpress 和任何其他流行软件一样,经常成为攻击目标。结果是,您可以以最佳方式配置权限,但如果安装了扩展,并且 6 个月后发现其中存在漏洞,那么您的服务器很快就会受到攻击。
除非您或您的客户准备认真应用安全更新,并定期彻底检查服务器的所有安全方面,否则您几乎肯定会在某个阶段受到损害。
我并不是说这是不可能的,只是值得决定是否要冒着让你的 VPS 承担风险。
答案2
Wordpress 网站允许管理员下载和安装插件,这些插件只是一堆 PHP 代码。这意味着您的客户端可以在您的服务器上运行任何他想要的东西(模块化 PHP 安全功能以禁用对 exec 的直接调用等)。您距离他们拥有 root 权限只有一步之遥。您能阻止他们这样做吗?也许吧。如果您在该服务器上还有其他想要的东西,我可不敢打赌。
最好的办法是将 WP 保存在 VM 或它自己的容器中,以便在需要时重新安装。