我有一个特殊的情况 我有我自己的项目使用的VPS。 我的一个朋友要我主持他的wordpress博客。
现在我已经安装了我的VPS非常简单,所有项目都在/ www和Apache有写访问这些文件夹(万维网数据),我在Ubuntu的服务器12.04。
Mysql方面没有问题,这个wp安装有自己的DB / username-pass只能访问这个数据库。
但是我担心如果他的wp-admin密码被攻破,我的VPS的安全性也会受到影响。
我在想给我/ chown / www / projectX:我。 并给予写入权限,只有插件和图像上传目录。 但是如果所有东西都在相同的apache用户下运行,潜在的黑客可能会将恶意脚本上传到这些目录,从而访问服务器上的其他项目。
我有什么可以保护自己的吗? 至less部分?
我不想保证WP的这个特殊安装,我想从这个wp安装中保护我的其他项目。
这两个步骤将为您提供90%以上的安全托pipe系统(从防止跨站点升级攻击的angular度):
www-data一样运行所有的东西 使用诸如php-fpm类的系统以自己的用户运行每个站点。 这样,一个帐户的妥协不能自动读取其他每个站点的内容,例如数据库密码和其他密钥。
确保每个网站上的权限不允许其他网站用户读取任何内容。 一个可爱的技巧就是将每个网站的基本目录组设置为一个所有网站用户所属的公共组(也许甚至称为websites ),然后将该目录上的perms设置为0701 ,该组无法进入目录。