Какова идеальная настройка для решения проблем безопасности?

Как отметил @Viper007Bond, обновление вашего ядра, плагинов и тем с помощью встроенных механизмов обновления довольно безопасно с точки зрения прав доступа к файлам, поскольку они могут использовать ваши фактические учетные данные пользователя. Для максимальной безопасности убедитесь, что у вас установлено расширение SSH2 PHP. Метод установки (если возможно) может варьироваться от хоста к хосту, поэтому, если его еще нет, вам может потребоваться обратиться в службу хостинга или поискать в Google.

Многие службы виртуального хостинга будут использовать suexec в своих настройках Apache, чтобы веб-служба работала от имени фактического пользователя. Это устраняет большинство проблем с правами доступа и помогает защитить ваши файлы от других пользователей на сервере. Однако в тех случаях, когда Apache работает как отдельный пользователь, если вы хотите загружать файлы в WordPress, вам необходимо открыть разрешения для каталога загрузки.

В этом случае вы, вероятно, захотите, чтобы ваш wp-content/uploads каталог имел 0713 разрешения (AKA rwx--x-wx ). Это дает владельцу каталога полные права доступа, его группа может читать файлы , если им известен полный путь, а другие (включая веб-сервер) могут читать файлы, путь к которым им известен, и могут создавать/записывать файлы.

Некоторые подключаемые модули кэширования также ожидают наличия wp-content/cache каталога (или аналогичного), в который они могут записывать. К этому применимы те же рекомендации по разрешениям.

Наконец, для красивых постоянных ссылок WordPress должен иметь возможность изменять .htaccess файл, если только вы не планируете обновлять его вручную. В этом случае вам нужен 0646 файловый режим. Однако после того, как вы определились со структурой постоянных ссылок, вам, как правило, не нужно будет менять ее снова, поэтому вы можете отключить дополнительные разрешения на запись и установить для нее значение 0644 . Иногда для обновления плагина или ядра может потребоваться доступ к нему, и вы можете временно снова включить права на запись для этого, а затем снова отключить его.

Все остальные файлы должны иметь 0644 разрешения. Каталоги должны быть, 0711 если вы экстра-параноик, но это может помешать любым плагинам, которым необходимо получить список файлов из каталога. В этом случае, или если вы не настолько параноик, используйте 0755, что позволит другим читать, но не писать.

Большая часть этого в основном беспокоит, если вы находитесь на виртуальном хостинге. Если у вас есть выделенный сервер (включая VPS) без других пользователей, имеющих доступ по ssh/ftp, то вы можете немного расслабиться. Я не имею в виду, что вы должны просто сделать все доступным для записи, но вы, вероятно, можете просто доверять системным значениям по умолчанию, которые, вероятно, будут 0755 разрешениями для каталогов, а не 0711 .

Если это вариант, установите SSL-сертификат для сайта, и после того, как вы проверите, что можете получить доступ к своему сайту через https, вы можете принудительно использовать SSL для входа и доступа администратора, добавив эти строки в свой wp-config.php файл, непосредственно перед ‘ Остановить редактирование комментария:

define('FORCE_SSL_ADMIN', true);
define('FORCE_SSL_LOGIN', true);