WordPress的文件读写权限和所有权在WordPress网站的整体安全性中发挥着不可或缺的作用,所以我们需要尽可能确保进行合理的设置。在这篇文章中,我们将介绍有关WordPress文件读写权限的所有信息。
WordPress的简单易用和灵活拓展性,使它成为了是迄今为止最受欢迎的CMS系统。但是,如果你打算使用它,你应该对WordPress安全进行关注。虽然有许多不同的因素需要考虑,但是设置正确的文件读写权限应该是首要任务之一。
什么是WordPress文件权限?
WordPress文件权限确定谁可以访问WordPress网站上的文件。文件权限本质上是一种组织和管理文件和文件夹的方法。如果未正确设置,可能会使您的网站和网站访问者面临重大风险。
如果没有正确的文件权限,黑客可以访问你的管理员帐户以及你的整个服务器(你的网站所在的位置)。这可能允许他们读取、写入和执行敏感文件,包括添加在你网站后端运行恶意软件的恶意代码。
另外,如果你的WordPress网站被多个用户(例如博客文章或新闻资讯的贡献者)使用,正确的文件权限可以防止内部错误的威胁,同时还为他们提供一层保护来应对攻击者。
虽然文件权限不是WordPress安全实践的唯一关键元素,但它们可确保正确执行文件,使其成为网站功能的关键方面。
设置WordPress文件权限:FTP 和 宝塔面板
在主动设置文件权限之前,您必须首先知道用于管理网站文件的客户端。通常有两种主要解决方案:FTP和宝塔面板。
使用FTP设置权限
使用FTP客户端,您需要使用菜单中的chmod或set权限设置文件或文件夹的权限。只需打开文件和文件夹即可。从那里将明确指出权限列表。
在每个文件上,显示一系列字母和连字符。在字符中,您可以看到以下任何(单数或组合):
- 字母“r”表示用户可以读取文件
- 字母“w”表示用户具有写入权限
- 字母“x”表示用户可以执行权限
- 连字符“ – ”表示没有权限
它们将以某种方式呈现,以显示各个组和用户的设置。在FTP软件中,我们只需要在需要设置权限的文件或文件夹上,右键-属性,就可以进入到权限设置界面。
注:不同的FTP软件的操作方式可能有所不同,在此我们演示用的是 WinSCP。如果你用的其他FTP软件,可以百度下相关的教程。
使用chmod时,使用八进制数。它们的含义如下:
- 755表示所有者可以执行任何操作,而其他人可以读取和执行,但可能不会更改文件。这是公共文件的理想选择。
- 644表示你可以读写,而其他人只能读取。
- 711表示你是唯一可以对文件执行任何操作而其他人只能执行。
- 700表示你可以做任何事情而其他人无法访问。这最适用于后端内的私有目录和项目。
- 600表示你可以在其他用户无法访问时进行读写。这是私有文本文件的理想选择。
使用宝塔面板设置权限
宝塔面板是国内技术员开发的服务器可视化管理面板,比较适合新手使用,这两年用户量剧增,所以我们也讲下宝塔面板设置文件权限的操作:
设置单个文件/目录操作权限
在宝塔面板左边的【文件】菜单,进入找到网站所在的目录,然后可以按照下图操作即可进行设置:
批量设置权限
如果要批量设置,可以先选择多个文件或目录,然后按照下图操作即可:
WordPress文件权限
处理WordPress网站时,有许多不同的文件类型和文件夹可能需要更改内部和外部安全措施的权限。从面板内部,您会注意到各种文件和目录。如果你需要很细致地设置各种不同的操作权限,那你可能需要对这些文件夹或文件有更详细的了解。
正确的wp-content文件权限
wp-content文件夹包含与主题、插件和上传到你的WordPress网站相关的文件数据。编辑此文件夹中的文件将对网站产生重大影响,使其成为潜在黑客的目标。
设置文件夹的权限以便只有所有者才能编写和执行权限至关重要。
为此,请将文件夹权限设置为755,将内部的文件设置为644,可以防止未经授权的访问。
正确的wp-includes文件权限
wp-includes文件夹存储API所需的核心文件以及站点的运行。因此,将其设置为644是正确的选择。
正确的文件夹文件权限
设置为755通常是所有其他文件夹的最佳选项,因为这样可以在访问其他文件夹时提供完全访问权限。
正确的wp-config文件权限
wp-config文件是存储基本配置和数据库连接信息的地方,使其成为所有文件中最重要的文件之一。对用户和组使用444权限来读取文件但不写入或执行。
WordPress文件权限建议
相对路径 建议 / 755 wp-includes 755 wp-admin 755 wp-admin/js 755 wp-content 755 wp-content/themes 755 wp-content/plugins 755 wp-content/uploads 755 wp-config.php 444 .htaccess 444 小结
使用正确的安全措施保护你的WordPress网站绝对至关重要。通过设置正确的文件权限,你可以确保你的网站不会受到未经授权的文件编辑所造成的攻击。同样,用户不会通过发生简单的错误而意外地导致问题。
需要注意的一点是:文件权限的设置需要灵活,比如对于一些很久都不会更新的文件,设置更加严格的权限;在受到黑客篡改文件后,处理完了也需要尽可能设置更严格的文件权限。但是这些设置,可能会导致WordPress核心、主题或插件无法正常在线更新,所以这个时候,我们可能需要临时将权限放开,否则就只能通过手动的更新方式进行。
- 最简单的:将目录及文件的权限都设置为 755,所有者 www,应用到子目录。即所有者拥有读写执行权限,所有组即其它用户可以读取执行。
- 最安全的:将目录及文件的所有者设置为 www,文件权限设置为 600「即所有者仅拥有读权限」目录权限设置为 700,该种方法可一定意义上防止其它程序篡改网站源码。