我应该如何修改文件权限以适应 Wordpress

Question

如果用户WebAdmin直接和www-data组用户都www-data需要写入这些目录，则这750还不够。修复当前设计的方法是：

sudo chmod -R 770 /var/www/example.com/

安全注意事项

但是，一般来说，这意味着每个 PHP 站点都由同一个用户运行，经过此修改后，每个站点都可以读取和写入任何其他站点的文件。这意味着对任何一个站点的攻击都会危及所有站点。

为每个站点使用单独的用户和 PHP-FPM 池可以将站点划分为独立的部分，从而降低这种风险。您可以使用运行站点的同一用户来管理站点：

/var/www$ ls -l
drwxr-x--- 2 example-com www-data 4096 Aug 30 7:00 example.com
drwxr-x--- 2 example-net www-data 4096 Aug 30 7:00 example.net
drwxr-x--- 2 example-org www-data 4096 Aug 30 7:00 example.org

如果您确实需要用户WebAdmin管理所有内容，您可以将用户添加到组www-data并授予该组写权限，但我不建议这样做。

/var/www$ ls -l
drwxrwx--- 2 example-com www-data 4096 Aug 30 7:00 example.com
drwxrwx--- 2 example-net www-data 4096 Aug 30 7:00 example.net
drwxrwx--- 2 example-org www-data 4096 Aug 30 7:00 example.org

PHP-FPM 池

正如我提到的 PHP FPM 池，这里有一个简短的示例配置。有几个教程详细解释了这些步骤。

安装 PHP-FPM。

/etc/php/8.2/fpm/pool.d/example-com.conf：

[example-com]
user = example-com
group = example-com

listen = /run/php/example-com.sock
chdir = /var/www/example.com

listen.owner = www-data
listen.group = www-data

pm = dynamic
pm.max_children = 5
pm.start_servers = 2
pm.min_spare_servers = 1
pm.max_spare_servers = 3

php_admin_value[disable_functions] = exec,passthru,shell_exec
php_admin_flag[allow_url_fopen] = off
php_admin_value[cgi.fix_pathinfo] = 1

security.limit_extensions =

最后一行是降低安全性以允许 WordPress 处理 SEO URL，其他行是提高安全性。这些pm参数应根据您的需要进行调整。

启用 Apache 模块mpm_event，proxy& proxy_fcgi。

<VirtualHost>将处理程序添加到站点的Apache2块：

<FilesMatch "\.php$">
    SetHandler "proxy:unix:/run/php/example-com.sock|fcgi://localhost"
</FilesMatch>
<Proxy "fcgi://localhost/">
</Proxy>

重新加载或重新启动 Apache2 和 PHP-FPM 服务。

Answer 1

如果用户WebAdmin直接和www-data组用户都www-data需要写入这些目录，则这750还不够。修复当前设计的方法是：

sudo chmod -R 770 /var/www/example.com/

安全注意事项

但是，一般来说，这意味着每个 PHP 站点都由同一个用户运行，经过此修改后，每个站点都可以读取和写入任何其他站点的文件。这意味着对任何一个站点的攻击都会危及所有站点。

为每个站点使用单独的用户和 PHP-FPM 池可以将站点划分为独立的部分，从而降低这种风险。您可以使用运行站点的同一用户来管理站点：

/var/www$ ls -l
drwxr-x--- 2 example-com www-data 4096 Aug 30 7:00 example.com
drwxr-x--- 2 example-net www-data 4096 Aug 30 7:00 example.net
drwxr-x--- 2 example-org www-data 4096 Aug 30 7:00 example.org

如果您确实需要用户WebAdmin管理所有内容，您可以将用户添加到组www-data并授予该组写权限，但我不建议这样做。

/var/www$ ls -l
drwxrwx--- 2 example-com www-data 4096 Aug 30 7:00 example.com
drwxrwx--- 2 example-net www-data 4096 Aug 30 7:00 example.net
drwxrwx--- 2 example-org www-data 4096 Aug 30 7:00 example.org

PHP-FPM 池

正如我提到的 PHP FPM 池，这里有一个简短的示例配置。有几个教程详细解释了这些步骤。

安装 PHP-FPM。

/etc/php/8.2/fpm/pool.d/example-com.conf：

[example-com]
user = example-com
group = example-com

listen = /run/php/example-com.sock
chdir = /var/www/example.com

listen.owner = www-data
listen.group = www-data

pm = dynamic
pm.max_children = 5
pm.start_servers = 2
pm.min_spare_servers = 1
pm.max_spare_servers = 3

php_admin_value[disable_functions] = exec,passthru,shell_exec
php_admin_flag[allow_url_fopen] = off
php_admin_value[cgi.fix_pathinfo] = 1

security.limit_extensions =

最后一行是降低安全性以允许 WordPress 处理 SEO URL，其他行是提高安全性。这些pm参数应根据您的需要进行调整。

启用 Apache 模块mpm_event，proxy& proxy_fcgi。

<VirtualHost>将处理程序添加到站点的Apache2块：

<FilesMatch "\.php$">
    SetHandler "proxy:unix:/run/php/example-com.sock|fcgi://localhost"
</FilesMatch>
<Proxy "fcgi://localhost/">
</Proxy>

重新加载或重新启动 Apache2 和 PHP-FPM 服务。

我应该如何修改文件权限以适应 Wordpress

答案1

安全注意事项

PHP-FPM 池

相关内容