Je fais des recherches sur les autorisations de fichiers récemment, car mon installation WordPress sur mon VPS n’a pas d’accès en écriture.
D'après ce que j'ai entendu, il est très dangereux de faire de l'utilisateur Apache
le propriétaire de vos fichiers WordPress, car Apache
peut alors faire ce qu'il veut.
Le WordPress Codex dit:
"Tous vos fichiers WordPress doivent être rédigés par le propriétaire ou un groupe par l'utilisateur en vertu duquel le serveur Apache est exécuté."
http://codex.wordpress.org/Updating_WordPress
C'est bien, mais j'ai également entendu parler de l'exécution de votre installation WordPress en tant qu'utilisateur FTP:
Si WordPress est exécuté en tant que compte FTP, ce compte doit avoir un accès en écriture, c’est-à-dire être le propriétaire des fichiers ou appartenir à un groupe ayant un accès en écriture.
http://codex.wordpress.org/Changing_File_Permissions
Des idées sur la meilleure façon de mettre cela en place? N’est-ce pas une mauvaise idée que les fichiers WordPress soient la propriété de l’utilisateur Apache
? Je me sens comme ça ...
Vos fichiers doivent appartenir à votre compte. Période. Ils ne doivent pas appartenir à l'utilisateur "Apache". C'est peu sûr.
Les fichiers doivent éventuellement être lisibles par l'utilisateur Apache. Les autorisations recommandées sont 755 pour les dossiers et 644 pour les fichiers. À l'exception du fichier wp-config.php, qui doit être défini sur les autorisations les plus basses qui fonctionnent. Ce serait 640, généralement.
Les dossiers wp-content et uploads peuvent nécessiter des autorisations plus permissives pour que les téléchargements de supports fonctionnent.
Si le serveur Web est exécuté en tant qu'utilisateur différent, WordPress le détectera et, lorsque vous essayez d'effectuer une mise à niveau, il vous demandera vos informations FTP. Ensuite, il fera la mise à jour via FTP. En obtenant vos informations, il peut se connecter au fur et à mesure et ainsi télécharger vos fichiers.
Si le protocole FTP n'est pas activé sur votre serveur, vous pouvez configurer WordPress pour qu'il utilise les méthodes SSH à la place. C'est un peu plus complexe et pas commun.
Si le serveur Web s'exécute en tant qu'utilisateur différent, mais en utilisant une méthode "setuid", il exécutera automatiquement les fichiers PHP de votre compte d'utilisateur à la place, puis pourra se mettre à jour directement. En effet, une méthode setuid modifiera le processus exécuté en tant qu'id utilisateur des fichiers. Ceci est plus courant sur l'hébergement partagé, car il est plus sécurisé dans de tels cas.
Certaines méthodes setuid utilisées sont "mod_suphp" ou "FastCGI avec suexec".
Quoi qu'il en soit, vous devez posséder vos fichiers, pas le serveur Web.
qu'importe que Wordpress soit la propriété tant qu'ils ont chown et chmod - il est probablement préférable que le nom d'administrateur soit autre chose qu'Apache, root, admin, etc.
par exemple,
nom d'utilisateur chown -R/var/www/site web /
chmod 775 -R/var/www/site web/wordpress/wp-content