尝试在共享主机上保护网站(LAMP和WordPress),这是受到制药公司侵害的受害者; 我build议网站所有者遵循WordPress的最佳做法从这里http://codex.wordpress.org/Hardening_WordPress和有这个命令使文件只读为所有者以外的所有者
find /path/to/your/wordpress/install/ -type f -exec chmod 644 {} \; 但是我跑了<?php echo exec('whoami'); ?> 发现apache用户正在以网站所有者用于SFTP的同一用户身份运行。 所以Apache作为文件所有者运行。
这看起来像一个巨大的安全问题,因为任何网站所有者可以做,Wordpress插件可以做!
我是否正确,这是东道国应该解决的问题? 如果他们有抵触情绪,我可以说什么来说服他们,这是一个足够大的问题,以保证改变主机?
更新:为了清楚起见,我正在讨论有效保护网站本身。 为了阻止在服务器上编写/编辑代码的插件漏洞,如果Web服务器作为站点所有者运行,那么插件可以被操纵为安装任意代码并修改.htaccess
更新2:当我说“安全漏洞”时,我可能意味着“漏洞”
不必要。 在常规用户帐户下运行单独的apache进程是常见的方法,尤其是在共享主机上 。 这本身不是一个安全问题。 相反,它可能是您的要求错误的安全模型。 如果你需要你的帐户重要的其他东西,而不是networking服务,那么你应该完全隔离你的网站存在。
你可以问他们,如果他们有不同的configuration可用(有时他们这样做)。
编辑:澄清。 这是你的特定用例的一个问题。 怎么样? 让主持人看一会儿:在这里,他们希望隔离他们的用户 (也就是系统的其他部分),从而在相应的用户帐户下运行这些进程。 在同一个帐户下运行它们(例如,www-data)意味着将其他客户的数据也分解到一个客户站点中。
另一方面,我同意你的看法,需要将你的其他数据与你的网站隔离。
这个问题有很多可能的解决scheme,就像你所build议的,给每个客户两个用户帐户。 或者,一个真正的好的apache / cgiconfiguration将web服务器隔离到用户家中特定的固定子目录,而不会出现问题(这是我在过去工作过的一个雇主所做的)。 与您的主机的最佳协调。
我显然有一个不同的看法比罗马,但我认为这是一个主要的问题,许多PHP网站运行* .PHP文件(通常是www数据)的所有者。 如果你想要使用Wordpress的自动更新function,甚至是必需的,因为Web服务器需要编写PHP文件。
PHP网站将有泄漏,允许您在他们的文件中注入代码,这几乎是给定的。 所以你想防止这个。 即使设置为只读也不行,因为目录仍然是可写的,并且当用户拥有该文件时,只读可以被简单地覆盖。
在php.ini中为这个用户设置open_basedir。 使用fcgid。 所以,这个网站将被保护起来。 另外,使用disable_functions来禁用shell访问等
就这样 :)