概述:
我有十几个WP安装在Ubuntu 14.04 LTS,w / PHP 5.5.9和Nginx 1.4.6上。 MySQL在备用节点上运行,而不是在公共networking上运行。
目标:
要让每个WP安装的目录和文件不是世界可读的。 如果恶意用户访问特定的WP安装,我不能让他们能够导航到备用WP安装并读取DB凭据。
细节:
Nginx作为www数据运行。 为每个虚拟主机创build一个没有shell的用户。 每个虚拟主机都支持一个WP安装。 PHP-FPM池特定于每个用户/虚拟主机运行。 PHP-FPM池通过socks连接w / Nginx,而不是回环IP。
阅读下面的Wordfence文章,我试图设置文件权限,如下所示:
文件 – 640
目录 – 750
当我像这样configuration权限时,作为www-data运行的Nginx不能再正确访问WP文件。 如果我将权限设置回644 & 755 ,一切都按预期工作。
网站安装在以下结构中:
/var/www/site1.com/public
/var/www/site2.com/public
/var/www/site3.com/public
等等。
每个目录由相应的用户和用户组拥有。 即:
site1-com:site1-com /var/www/site1.com
我们有一个WP网站被黑客攻击,他们能够得到一个PHP文件pipe理器脚本到服务器上。 我的理解是这个脚本是由用户www-data运行的。 (检查w / ps aux )如果这是真的,我怀疑恶意用户可以访问所有其他WP安装通过他们的PHP文件pipe理器脚本。
如何改善我的权限设置以加强安全性? 我愿意接受所有build议,即使这意味着重新configuration整个堆栈安装。
提前致谢。