在WordPress建站过程中,文件权限在 WordPress 网站的整体安全性中起着不可或缺的作用,这就是为什么您应该确保正确设置它们的原因。在这篇文章中,北京六翼将介绍有关 WordPress 文件权限的8件事,包括它们的含义、确定方式和建议。
无论您是博主还是企业主,WordPress 的简单性意味着它是迄今为止最受欢迎的 CMS 系统。但是,如果您打算使用该平台,您应该给予 WordPress 安全应有的重视。虽然有许多不同的因素需要考虑,但设置正确的文件权限应该是您的首要任务之一。
1.文件权限影响您网站的安全
关于文件权限,首先要了解的是它们如何影响您网站的安全性。未能正确设置文件权限可能会使您的 WordPress 网站和您网站的访问者面临重大风险。
如果没有正确的文件权限,黑客就可以访问您的管理员帐户,并可能访问您的整个服务器。这可能允许他们读取、写入和执行敏感文件,包括在您网站后端运行恶意软件的恶意代码。
另外请注意,如果您的 WordPress 网站由多个用户(例如博客文章或新闻文章的贡献者)使用,正确的文件权限可以防止内部错误的威胁,同时也为他们提供一层保护,也可以对抗攻击者。
虽然文件权限不是 WordPress 安全最佳实践的唯一关键要素,但它们确保文件的正确执行,使它们成为网站功能的一个关键方面。
2. 读取、写入和执行:如何确定文件权限
服务器由目录(或文件夹)和文件组成。可以创建权限来指示谁可以“读取 (r)”、“写入 (w)”和“执行 (x)”特定文件和/或目录。在文件权限和目录权限方面, rwx权限之间存在细微差别 。
文件权限代码
- 读取 (r) 权限声明用户是否有权读取文件。
- Write (w) 权限声明用户是否有权写入或修改文件。
- 执行 (x) 权限声明用户是否有权运行文件和/或将其作为脚本执行。 重要的是要注意文件未被授予删除权限。
目录权限代码
- 读取 (r) 权限声明用户是否有权访问已识别文件夹/目录的内容。
- 写 (w) 权限声明用户是否有权添加或删除文件夹/目录中包含的文件。
执行 (x) 权限声明用户是否有权访问实际目录并执行功能和命令,包括删除文件夹/目录内数据的能力。
3. 文件所有权
现在,在我们深入了解应为 WordPress 网站设置的适当权限之前,了解文件所有权的不同形式很重要。
- 作为文件所有者的用户和/或创建文件的用户称为 User。
- 属于文件和/或目录所属组的一个或多个用户称为 组。组是一组用户的定义分类。组的一个示例可能是有权访问 FTP 的用户。
- 不是所有者且不属于已识别组的一个或多个用户称为 Others。
查看下图,了解这些所有权角色和权限设置如何结合在一起来声明谁有权执行或查看与您服务器上的文件相关的内容。
4. 文件许可编号和代码:它们的含义
了解作为权限设置的一部分出现的数字中的疯狂方法可能会有所帮助。这些数字与读、写和执行权限有关。这些点值实际上源自计算机系统的基础二进制系统(1 和 0)。
- 读取 (r) 权限的 分值为 4
- 写 (w) 权限的 分值为 2
- 执行 (x) 权限的 分值为 1
无论您为文件或目录分配的读、写和执行权限的组合是什么,都可以很容易地弄清楚分配了这三种权限中的哪一种。例如: - 如果您看到数字“ 6 ”,您自然应该知道可以组合得到值 6的唯一数字 (4, 2, 1) 是数字 4 和 2。因此数字 6代表读写权限被分配。
现在在上图中,您将看到文件和目录权限以 3 位数字表示。这就是 所有权发挥作用的地方。第一个数字是指 User。第二个数字是指 Group。最后的数字是指 Others。
所以现在我们可以将644的文件权限号分解为:
· 文件的所有者可以读取(r) (4 个值) 和写入(w) (2 个值) 总共6 个值。
· 附加到文件的组只能 读取(r) (4 个值) 总共 4 个 值。
· 其他人只能 读取(r) (4 个值) 总共 4 个值。
因此,当您看到数字7时,您应该立即知道所有三个权限 (4+2+1) 都已授予该 所有权组。如果您看到数字 3,那么您就知道出于某种奇怪的原因,有人将文件的权限设置为具有写入和执行权限 (2+1),但没有读取文件的能力。
5. 了解常见的文件权限代码
就像上一节的例子一样,通常使用一个由三个数字组成的字符串来表示文件权限。具体来说,当使用 chmod 时,会使用八进制数。
一些最常见的文件权限编号包括:
- 755意味着所有者可以做任何事情,而其他人可以读取和执行但不能更改文件。这是公共文件的理想选择。
- 644表示你可以读写,而其他人只能读取。
- 711意味着只有一个可以对文件做任何事情而其他人只能执行。
- 700意味着您可以做任何事情,而其他人无权访问。这最适用于后端中的私人目录和项目。
- 600表示您可以读写,而其他用户无权访问。这是私人文本文件的理想选择。
- 444意味着每个人都可以阅读。
- 以下是了解如何设置文件权限编号的方法:
- 第一个号码是给用户的。
- 第二个是group。
- 第三个是给其他的。
这八个数字用来表示权限:
- 0 无权限
- 1 用于执行
- 2 写
- 3 用于执行和写入
- 4 读
- 5 用于执行和读取
- 6 用于写入和读取
- 7 用于执行、写入和读取
将这些数字按特定顺序组合在一起,即可得到设置文件权限时将看到的三位数数字。
6. 如何配置 WordPress 文件权限:FTP 和 cPanel
在主动设置文件权限之前,您必须首先知道您使用哪个客户端来管理您网站的文件。通常有两种主要解决方案:FTP 和 cPanel。
文件传输协议
使用 FTP 客户端时,您需要使用 chmod 或从菜单中设置权限来设置文件或文件夹的权限。只需打开文件和文件夹。从那里,将清楚地指示“权限”列。
在每个文件上,都会显示一系列字母和连字符。在字符中,您可以看到以下任何(单数或组合)。再次回顾一下,这些字母代表以下操作:
- 字母“r”表示用户可以读取文件,
- 字母“w”表示用户具有写入权限,
- 字母'x''表示用户可以执行权限。
- 连字符“-”表示没有权限。
它们将以某种方式呈现,以显示各个组和用户的设置。从 FTP 客户端的菜单中,只需单击“设置权限”即可进行必要的更改。
面板
使用 cPanel 的文件管理器同样简单。进入门户后,您可以单击 “更改权限”以弹出一个显示多个复选框的弹出框。从这里,您只需勾选和取消勾选与每个文件和文件夹相关的适当用户和组的正确权限。
7. WordPress文件权限建议
在处理您的 WordPress 网站时,有许多不同的文件类型和文件夹可能需要更改内部和外部安全措施的权限。
WordPress 文件权限建议
更正 wp-content 文件夹的文件权限
WP-content 文件夹包含与主题、插件和上传到您的 WordPress 帐户相关的数据。编辑此文件夹中的文件将对网站产生重大影响,使其成为潜在黑客的目标。
设置文件夹的权限,以便只有所有者可以写入和执行权限是至关重要的。
为此,将 wp-content 文件夹权限设置为 755,并将其中的文件设置为 644,以提供正确的保护,防止未经授权的访问。
更正 wp-includes 的文件权限
WP-includes 文件夹存储 API 和站点运行所需的核心文件。
wp-includes文件夹需要设置为755。
更正文件夹的文件权限
设置为 755 通常是所有其他文件夹的最佳选择,因为这会为您提供完全访问权限,而其他人的访问权限则受到限制。
更正 wp-config 的文件权限
wp-config 文件是存储基本配置和数据库连接信息的地方,使其成为所有文件中最重要的文件之一。
使用 444 权限给用户和组读取文件但不能写入或执行。这也是 Wp-root 中 PHP 文件的正确权限选择。
8. 如何使用 iThemes 安全插件检查您的 WordPress 文件权限
iThemes Security 是一个 WordPress 安全插件,旨在加强和锁定您的 WordPress 网站。文件权限设置列出了站点关键区域的文件和目录权限。
在 iThemes Security 插件菜单中,访问“设置” 页面,然后单击“工具” 。找到检查文件权限部分。
单击“运行” 按钮以查看您的文件权限。然后,iThemes Security 会向您报告您的权限状态。