web-dev-qa-db-fra.com

Autorisations de dossier correctes?

Je viens tout juste d’installer PHP et WordPress sur notre machine Coldfusion et WordPress me lance un dialogue disant que je dois entrer des informations FTP afin que Wordpress puisse modifier les fichiers. Je lis à ce sujet et, fondamentalement, cela ne vient que si wordpress ne peut pas manipuler les fichiers directement via l'utilisateur PHP/Apache.

Ma question est maintenant comment dois-je définir les autorisations de dossier afin que les choses soient sécurisées et jouent bien?

Le dossier racine de wordpress a les permissions suivantes

drwxrwxr-x  6 wwwtech    root  4096 Feb 21 14:09 home

les fichiers et les dossiers ont

-rw-r--r--  1 wwwtech root   418 Sep 25  2013 index.php
drwxr-xr-x  9 wwwtech root 12288 Jan 23 20:17 wp-admin

PHP et Apache fonctionnent sous l'utilisateur tech

tech     12465  0.0  0.0   9400   936 pts/0    S+   09:58   0:00 grep --color=auto php

et font partie du groupe

tech : tech root adm dialout cdrom plugdev sambashare lpadmin admin
1
Brian

Pour commencer, le WordPress Codex regorge d'informations sur ce sujet. Par souci de brièveté, cela devrait s’occuper de la plus grande partie; Cependant, il convient de souligner certains points encourageants:

  • Si vous ne souhaitez pas que WordPress (essentiellement PHP) ait accès au système de fichiers à l'exception des ressources statiques dynamiques telles que les images ou le cache, laissez vos autorisations telles quelles et ne modifiez que la propriété des dossiers wp-content/uploads et wp-content/cache. Le groupe d'utilisateurs qui exécute PHP devrait suffire. Veuillez garder à l'esprit que certains plugins exigent que le dossier wp-content soit accessible en écriture, mais dans de tels cas, vous en serez généralement averti. Dans certains cas, cela peut nécessiter l’affectation de 755 autorisations.
  • Vous devrez télécharger manuellement tous les fichiers relogeants lors de la mise à niveau du noyau ou des plugins pour lesquels des mises à jour sont disponibles. Cela rompra le mécanisme par défaut des mises à jour automatiques pour le noyau et la fonctionnalité de mode de maintenance simplifiée utilisée pendant le processus de mise à jour (noyau et plugins).
  • La sécurité de votre serveur est primordiale, je suggérerais également d'évaluer de manière approfondie les éléments décrits dans Renforcement de WordPress pour vous assurer que vous exécutez un environnement sécurisé.
1
codearachnid