在WordPress构建过程中,文件权限在WordPress站点的整体安全性中起着不可或缺的作用,这就是为什么您应该确保它们设置正确。在这篇文章中,我们将介绍有关WordPress文件权限的8件事,包括它们是什么、如何确定它们以及建议。无论您是博主还是企业主,WordPress的简单性意味着它是迄今为止最受欢迎的CMS系统。但是,如果您打算使用该平台,您应该给予WordPress安全应有的重视。虽然有许多不同的因素需要考虑,但设置适当的文件权限应该是您的首要任务之一。1.文件权限影响您网站的安全关于文件权限首先要了解的是它们如何影响您网站的安全。未能正确设置文件权限可能会使您的WordPress网站和您网站的访问者面临重大风险。如果没有正确的文件权限,黑客就可以访问您的管理员帐户,甚至可能访问您的整个服务器。这可能允许他们读取、写入和执行敏感文件,包括在您网站后端运行恶意软件的恶意代码。另请注意,如果您的WordPress站点由多个用户使用(例如博客文章或新闻文章的贡献者),适当的文件权限可以防止内部错误的威胁,同时还为他们提供一层保护以防止受到攻击。虽然文件权限不是WordPress安全最佳实践的唯一关键要素,但它们确保文件的正确执行,使它们成为网站功能的一个关键方面。2.读取、写入和执行:如何确定文件权限服务器由目录(或文件夹)和文件组成。可以创建权限以指示谁可以“读取(r)”、“写入(w)”和“执行(x)”特定文件和/或目录。在文件权限和目录权限方面,rwx权限之间存在细微差别。文件权限代码Read(r)权限表示用户是否具有读取文件的权限。Write(w)权限说明用户是否具有写入或修改文件的权限。执行(x)权限说明用户是否有权运行文件和/或将其作为脚本执行。请务必注意,该文件尚未被授予删除权限。目录权限代码读取(r)权限说明用户是否有权访问已识别的文件夹/目录的内容。写(w)权限表示用户是否有权添加或删除文件夹/目录中包含的文件。执行(x)权限表明用户是否有权访问实际目录并执行功能和命令,包括删除文件夹/目录中的数据的能力。3.文件所有权现在,在我们深入探讨应为WordPress站点设置的适当权限之前,了解文件所有权的不同形式很重要。作为文件所有者和/或创建文件的用户称为用户。属于文件和/或目录所属组的一个或多个用户称为组。组是一组用户的定义分类。组的一个示例可能是可以访问FTP的用户。一个或多个不是所有者且不属于已识别组的用户称为其他用户。查看下图,了解这些所有权角色和权限设置如何组合在一起,以声明谁有权执行或查看与您服务器上的文件相关的内容。4.文件权限数字和代码:它们的含义了解数字作为权限设置的一部分出现的疯狂方式可能会有所帮助。这些数字与读、写和执行权限有关。这些点值实际上来源于计算机系统的底层二进制(1s和0s)。读取(r)权限的得分为4写入(w)权限的得分为2执行(x)权限的得分为1无论您分配给文件或目录的读取、写入和执行权限的组合如何,可以很容易地找出分配了三个权限中的哪一个。例如:如果你看到数字“6”,你自然应该知道可以组合得到值6的数字(4,2,1)只有数字4和2。所以数字6表示读取并分配写权限。现在在上图中,您将看到以3位数字表示的文件和目录权限。这就是所有权发挥作用的地方。第一个数字是指用户。第二个数字指的是集团。最后一个数字是指其他。所以现在我们可以将644的文件权限数分解为:文件的拥有者可以读(r)(4个值)和写(w)(2个值)共6个值。·附加到文件的组只能读取(r)(4个值)总共4个值。·其他人只能读取(r)(4个值)共4个值。因此,当您看到数字7时,您应该立即知道所有三个权限(4+2+1)都已授予该所有权组。如果您看到数字3,那么您就知道出于某种奇怪的原因,有人将文件的权限设置为具有写入和执行权限(2+1),但没有读取文件的能力。5.理解常见的文件权限码就像上一节的例子一样,通常用一个由三个数字组成的字符串来表示文件权限。具体来说,当使用chmod时,会使用八进制数。一些最常见的文件权限数字包括:755表示所有者可以执行任何操作,而其他人可以读取和执行但不能更改文件。这是公共文件的理想选择。644表示你可以读写,而其他人只能读。711表示只有一个人可以对文件做任何事情,其他人只能执行。700意味着您可以做任何事情,其他人无权访问。这最适用于后端的私有目录和项目。600表示你可以读写,但其他用户无权访问。这是私人文本文件的理想选择。444意味着每个人都可以阅读。以下是如何知道如何设置文件权限数字:第一个数字是给用户的。二是群体。第三个是给其他人的。这八个数字用来表示权限:0无权限1执行2写入3执行和写入4读取5执行和读取6写入和读取7执行、写入和读取按特定顺序组合这些数字得到设置文件权限时您将看到的三位数。6、如何配置WordPress文件权限:在FTP和cPanel能够主动设置文件权限之前,你首先要知道你使用哪个客户端来管理你网站的文件。通常有两种主要解决方案:FTP和cPanel。使用文件传输协议的FTP客户端时,您需要使用chmod或从菜单设置权限来设置文件或文件夹的权限。只需打开文件和文件夹。从那里,“权限”列将被清楚地指示出来。在每个文件上,都会显示一系列字母和连字符。在字符中,您可以看到以下任何一个(单数或组合)。回顾一下,字母代表以下操作:字母'r'表示用户可以读取文件,字母'w'表示用户具有写权限,字母'x''表示用户可以执行权限。连字符“-”表示没有权限。它们将以某种方式呈现以显示各种组和用户的设置。从您的FTP客户端菜单中,只需单击“设置权限”即可进行必要的更改。使用cPanel的文件管理器进行面板设置同样简单。进入门户后,您可以单击“更改权限”以弹出一个显示多个复选框的弹出框。从这里,您只需检查并取消选中与每个文件和文件夹关联的适当用户和组的正确权限。7.WordPress文件权限建议在您的WordPress网站上工作时,有许多不同的文件类型和文件夹可能需要更改内部和外部安全措施的权限。WordPress文件权限建议更正wp-content文件夹的文件权限WP-content文件夹包含与主题、插件和上传到您的WordPress帐户相关的数据。编辑此文件夹中的文件将对网站产生重大影响,使其成为潜在黑客的目标。设置文件夹的权限非常重要,这样只有所有者才具有写入和执行权限。为此,请将wp-content文件夹权限设置为755,并将其中的文件设置为644,以提供适当的保护,防止未经授权的访问。正确的wp-includes文件权限WP-includes文件夹存储API和站点运行所需的核心文件。wp-includes文件夹需要设置为755。将MoreText文件夹的文件权限设置为755通常是所有其他文件夹的最佳选择,因为这会为您提供完全访问权限,而其他人则限制访问权限。更正wp-config的文件权限wp-config文件是存储基本配置和数据库连接信息的地方,是所有文件中最重要的文件之一。使用444权限允许用户和组读取文件但不能写入或执行文件。这也是Wp-root中PHP文件的正确权限选择。8.如何使用iThemes安全插件检查您的WordPress文件权限iThemesSecurity是一个WordPress安全插件,旨在加强和锁定您的WordPress站点。文件权限设置列出了站点关键区域的文件和目录权限。在iThemesSecurity插件菜单中,访问“设置”页面并单击“工具”。找到检查文件权限部分。单击“运行”按钮以查看您的文件权限。然后iThemesSecurity将向您报告您的权限状态。
