Správná přístupová práva k souborům u WordPress

Bezpečnost, , ,

Každý soubor anebo adresář v počítači může mít odlišné nastavení oprávnění. Lze tak docílit toho, že s důležitými soubory nebude moct pracovat žádný program který k tomu nemá oprávnění. Podobně to funguje i na serveru. Vhodným nastavení práv k souborům, lze poměrně slušně zvýšit šanci, že nedojde k narušení bezpečnosti instalace WordPress.

Jak fungují práva k souborům

Zjednodušeně řečeno oprávnění se dělí do tří skupin. Uživatel (user), skupina (group) a ostatní (world).

PHP skript funguje jako uživatel.

Každé z těchto skupin můžete dát celkem 3 oprávnění:

  • Spouštět (execute) – číst, zapisovat, mazat, upravovat
  • Zapisovat (write) – zapisovat, upravovat
  • Číst (read)

Každé oprávnění má své vlastní číslo. Spouštět – 1, Zapisovat – 2 a číst – 4. Přitom jedna skupina může mít více těchto oprávnění. Vyjadřují se číslem, které je součtem těchto čísel. Například 6 (2 + 4) je zapisování (2) a čtení (4).

Celý zápis pro skupinu může vypadat následovně: 755 – Uživatel může všechno (4 + 2 + 1), Skupina může číst a zapisovat (4 + 1), ostatní mohou číst a zapisovat (4 + 1).

Práva k souborům ve WordPress

Základy tak máme za sebou a je načase dát dohromady doporučení pro zvýšenou bezpečnost pro WordPress:

  • Všechny adresáře by měly mít 755 anebo 750.
  • wp-config.php by měl mít 440 anebo 400. Tím se zamezí že z něj budou moci číst jiní uživatelé ve skupině.
  • Všechny ostatní soubory by měly mít oprávnění 644 anebo 640.
  • Adresář wp-upload by měl mít oprávnění 755.
  • Všechny ostatní adresáře by měly mít oprávnění 755 anebo 750.
  • .htaccess bude mít pravděpodobně oprávnění 644, ideální je změnit jej na 604.

Je nutné si uvědomit, že tyto bezpečnostní změny mohou za určitých okolností způsobit nedostupnost aplikace zrovna na vašem serveru. Proto je dobré úpravy provádět v době klidu, abyste vše mohli rychle vrátit zpět.

Pokud jste WordPress nainstalovali sami, měl by mít všechna oprávnění nastavené na standardní, které je dostatečné pro většinu serverů a není nutné cokoliv povolovat navíc (snižovat míru zabezpečení). Dělejte tak jen a pouze v případě, že máte nějaké problémy. Například nějaký plugin má problém s cachováním.

Nebezpečí zvané 777

Všude na internetu najdete spousta článků, které vás odrazují od používání plného oprávnění 777. Toto oprávnění totiž umožňuje komukoliv, kdo se dostane na server přistupovat k danému souboru a libovolně jej měnit. Například do něj vložit škodlivý kód. Pokud někdo získá částečný přístup k vašemu serveru (dhapache, nobody) může díky poslední sedmičce „ovládnout“ soubor.

Technicky vzato poslední sedmičku není potřeba vůbec používat. Výjimkou je soubor .htaccess, kde potřebujete, aby byl čitelný pro server. To znamená měl na konci 4.

Share Button

Tento článek byl byl přečten 3193 krát

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *