homefinance blog
WordPress puede ejecutar casi cualquier sistema operativo que ejecute PHP. Sin embargo, la gran mayoría de los sitios de WordPress se ejecutan en Linux. Por lo tanto, es importante comprender los permisos de archivos de Linux. Es esencial obtener correctos para los permisos de archivo. La configuración de archivos incorrectos para archivos puede abrir su sitio web para atacar. Los archivos incorrectos para los archivos pueden permitir a los usuarios no autorizados obtener acceso a archivos y datos potencialmente confidenciales. Dichos datos se pueden usar como una piedra base para un ataque más grande. Como administrador de WordPress, los permisos de archivo pueden parecer un poco desalentadores, especialmente si es nuevo en Linux. ¡No temáis! Esta guía explica qué permisos de archivo en Linux son desde el principio. También explica cómo se aplican los permisos de archivos de Linux a su sitio de WordPress.
contenido
¿Cuáles son los archivos de los archivos?
Grupos de permiso
Tipos de permisos
Representación de permisos
Permisos recomendados para archivos de WordPress
Cómo arreglar los permisos de archivos de WordPress
En un servicio de casa compartida
a través de FTP
A través de SSH
Consejo de bonificación: Seguridad más allá de los permisos de archivo
¿Cuáles son los archivos de los archivos? Agrupe de permisos todo comienza con quién. Como cualquier otro sistema operativo, Linux tiene un concepto de usuarios y grupos. Al definir quién tiene acceso a un archivo, cada archivo y directorio en un sistema Linux tiene tres grupos de permisos.
Dueño
Cada archivo o directorio tiene un propietario.
Los permisos del propietario se aplican solo al propietario del archivo o director. No afectarán las acciones de otros usuarios.
grupo
A cada archivo o director se le puede asignar un grupo de usuarios que reciban acceso a él. Las tarifas de grupo solo se aplican al grupo que se ha asignado al archivo o director. No afectarán las acciones de otros usuarios.
Otro
Cada archivo o directorio puede definir qué permisos tienen “todos los demás”. Es decir, aparte del propietario o del grupo que establecí.
Los otros permisos se aplican a todos los demás usuarios del sistema. Este es el grupo de permisos que más desea ver, porque puede permitir sin darles a todos acceso.
Tipos de permisos Ahora que sabemos cómo especificar quién tiene acceso a un archivo o directorio, debemos elegir qué tipo de permisos ofrecemos a cada propietario, grupo y otros para archivos o directores. Los siguientes son los tipos de permisos que podemos dar a un grupo de permisos (propietario, grupo, otros):
Leer
El tipo de permiso de lectura se refiere a la capacidad de un usuario para leer el contenido del archivo.
Escribe
El permiso de escritura se refiere a la capacidad de un usuario para escribir y/o modificar el contenido del archivo.
Es posible permitir que un usuario escriba en un archivo sin que tenga la capacidad de leer su contenido.
Llevar a cabo
El permiso de ejecución afecta la capacidad de un usuario para ejecutar un archivo, por ejemplo, un script.
El permiso de ejecución también permite a un usuario ver el contenido de un director.
Representando el permiso ahora que entendemos cómo funcionan los permisos, para ver cómo sería realmente un permiso de Linux. Los permisos de archivo se almacenan como una serie de 3 números. Sin embargo, también pueden representarse como letras, haciéndolas un poco más fáciles de leer. Primero comprender lo que significan estos números. El primer número
Permisos otorgados al propietario
El segundo número
Permisos otorgados al grupo
El tercer número
Permisos otorgados a otros (todos excepto el propietario y el grupo)
Cada número corresponde a una combinación de uno o más tipos de permisos que discutimos anteriormente. Comprender esto es mucho más fácil cuando se ve. Cada tipo de permiso tiene un peso que se reúne para cada grupo de permisos.
¿Confundido? Puede tomar algo de tiempo y alguna capacitación para envolverlo. Mientras tanto, aquí hay una tabla con todos los permisos posibles para los archivos que puede asignar a cada grupo de permisos.
! “> 0 (0+0+0)
para ver un ejemplo concreto, un permiso de archivo 644 significa la perpetración del propietario para leer y escribir el archivo o directorio
El grupo tiene permiso para leer el archivo o directorio
Alguien más tiene permiso para leer el archivo o el directorio
Por lo general, verá estos valores representados sin espacios entre ellos y con uno, o D adicional al principio. – denota un archivo ordinario. D denota un director. El siguiente es un ejemplo del uso de Linux LS -LA para enumerar archivos en un directorio.
$ ls -la
Total 0
DRWXR-XR-X 4 Grupo de usuarios 128 25 de mayo 23:25 .DRWXRWXRWT 8 REACH ROOT 256 25 de mayo 23:25 ..
DRWXR-XR-X 2 Group de usuarios 64 25 de mayo 23:25 Director
-RW-R-R-1 Grupo de usuarios 0 25 de mayo 23:25 File.txt Los permisos recomendados para los archivos de WordPress configuran permisos incorrectos para archivos de WordPress podrían dar lugar a un acceso accidental de los usuarios que no sean previstas. En el peor de los casos, esto puede permitir que un atacante cambie el contenido de un archivo importante al que no debería tener acceso. También puede permitir que cualquier usuario en Internet lea archivos confidenciales de su instalación de WordPress.
Es por eso que nunca debe establecer archivos de WordPress en 777 (-RWXRWXRWX). Esto permitiría acceso completo a lectura, escritura y ejecución para cualquier persona que pueda controlar ese archivo. Este podría ser un tercero que realiza cambios a través de FTP o SSH o un atacante a través de una forma de carga. Por otro lado, debe tener cuidado de no hacer las cosas restrictivas para que WordPress haga su trabajo. Dado que el propio WordPress, así como los temas y complementos a menudo tendrán que hacer cambios seguros en varios archivos. Por ejemplo, cuando WordPress se actualiza automáticamente para mantener su sitio seguro contra las vulnerabilidades de seguridad.
Entonces, en aras del argumento, un permiso de 444 (-r-r-) puede causar el funcionamiento defectuoso de su sitio de WordPress.Con 444 WordPress solo podrá leer, por lo que las actualizaciones automáticas fallarán.Dicho esto, es posible ejecutar WordPress con permisos para leer solo (444 o R -r -r -).Será una instalación de muy jugo.Sin embargo, deberá tener en cuenta las limitaciones mencionadas anteriormente.Algunos proveedores de alojamiento de WordPress lo administran de inmediato.Aunque, si desea ejecutar WordPress con tales permisos, intente primero en el entorno de capacitación.
Los permisos para los archivos recomendados por WordPress son los siguientes.
| director | 755 | drwx-wx | Director de instalación de WordPress | archivos | 644 | -rwxr — | wordpress nore, themes and wordpress complementos ( Se pueden aplicar excepciones para algunos temas y complementos) |
| wp-config.php | 600 | -rw —– | Archivo de la configuración de WordPress | .htaccess | 644 o 600! Apache HTTP Server desea (es posible que no se aplique si ejecuta Nginx u otro servidor web que el servidor apache http) |
cómo corregir los archivos de WordPress mientras que un entorno aloja difiere de otro, siempre tendrá una manera Para controlar los archivos de WordPress.
Remedio permisos de archivo de WordPress a través del panel de control controlado por la sombra Si usa Shade Shared, probablemente tendrá acceso a un panel de control, como Cpanel o Plesk. En este caso, consulte a su proveedor de alojamiento en los pasos que debe seguir para cambiar los archivos en su sitio de WordPress. Los permisos de archivos de Remedy WordPress a través de los archivos de WordPress de reparación FTP se pueden realizar fácilmente a través de un cliente FTP, como Filezilla o Cyberduk. La siguiente captura de pantalla es de Cyberduk. Simplemente haga clic en el archivo o directorio para el cual desea cambiar los permisos, haga clic en Información y luego haga clic en la pestaña Permisos. El proceso es similar en filezilla. Haga clic en el archivo en el archivo, seleccione permisos de archivo y mostrará un cuadro de diálogo similar. Eliminar los permisos de WordPress Si ya usa un cliente SSH, puede ejecutar Linux CHMOD para cambiar los permisos de archivo. Tomando el mismo ejemplo que se indicó, para cambiar los permisos WP-Config.Php de 644 a 600, utilizamos los siguientes comandos: # Cambiar el director en la ubicación de instalación de WordPress
$ CD/LIME/WWW/HTML
# Enumere los detalles del archivo wp-config.php
$ ls -la wp -config.php
-Rw-r-r-1 www-data www-data 7368 2 de septiembre de 2019 wp-config.php
# Cambiar los permisos WP-Config.Php de la actual 644 a 600
$ Chmod 600 wp-config.php
# Verifique el cambio
$ ls -la wp -config.php
-Rw ——- 1 www-data www-data 7368 2 de septiembre de 2019 wp-config.php
Los permisos de archivo de WordPress configurados correctamente significan un sitio web más seguro para recapitular lo que se ha cubierto. Hemos visto que los archivos para archivos nos permiten especificar quién y cómo se puede acceder y/o modificar un archivo o directorio en un sistema Linux. También discutimos cómo cambiar los permisos utilizando el cliente SFTP y SSH. Sin embargo, lo más importante que he discutido es por qué debe tener cuidado de establecer los archivos para los archivos en su sitio de WordPress. Incluso si al principio puede ser un proceso agotador, los permisos de archivos incorrectos pueden exponer archivos confidenciales a su sitio de WordPress. Además, pueden permitir que un atacante intensifique una vulnerabilidad de baja severidad en una circunstancia más peligrosa, dadas las circunstancias correctas. Ahora que comprende mejor cómo funcionan los permisos de archivos en Linux y cómo afectan la seguridad de su sitio de WordPress, use esta información para admitir cualquier permiso de archivo de WordPress que sean demasiado liberales. Consejos de seguridad de bonificación: más allá de los permisos de archivos de WordPress, los archivos correctos de WordPress son un excelente lugar para comenzar a trabajar en la seguridad de WordPress. Sin embargo, estoy lejos de ser lo único de lo que preocuparse. Otras cosas que debe hacer para mejorar la posición de seguridad de su sitio de WordPress son: mantener un registro de todo lo que sucede en su sitio en un diario de actividad de WordPress
Use un complemento de WordPress para monitorear la integridad de los archivos,
Aplicar políticas de contraseña de WordPress fuertes, agregue dos factores autenticación a su sitio web de WordPress,
Instale un firewall WordPress / use un servicio de firewall WordPress en línea.
