Liste des fichiers/dossiers enregistrables par le serveur Web?
Nouveau sur WP. Je me suis vite rendu compte que certains fichiers devaient être inscriptibles sur le serveur Web, sinon diverses opérations échouent. De plus, les listes semblent différentes pour des tâches différentes. Pas sûr que je sois amoureux du concept, mais bon, je vais travailler avec.
Le problème est que je ne peux pas trouver un moyen simple de déterminer quels fichiers/dossiers pourraient être écrits par le serveur Web au cours de diverses actions. La documentation que j'ai trouvée semble être soit orientée vers des utilisateurs moins techniquement capables ("activez tout simplement!"), Soit centrée sur des aspects très étroits.
Quelqu'un a-t-il les listes minimales de fichiers accessibles en écriture pour diverses opérations, telles que: télécharger du contenu, installer un plugin ou un thème, mettre à niveau WP (celui-ci est simple: tout doit être accessible en écriture), etc.
Merci!
La réponse courte est que vous avez raison. Vous ne voulez pas que les comptes de serveur Web (ou d'utilisateur Web) aient un accès en écriture total à votre installation WordPress. Votre compte utilisateur nécessite toutefois des autorisations en écriture pour l’ensemble de l’application, car de nombreuses fonctionnalités de WordPress (telles que les mises à jour automatiques, entre autres) nécessitent l’accès aux fichiers principaux.
L'article du Codex Durcissement de WordPress comporte une section qui traite spécifiquement de vos préoccupations, appelée Autorisations de fichier .
Vous pouvez également passer à la caisse Modification des autorisations sur les fichiers , mais je pense que vous trouverez le premier article plus utile.
Voici un court extrait de l'article du Codex ...
Certaines des fonctionnalités intéressantes de WordPress proviennent du fait que certains fichiers peuvent être écrits en écriture par un serveur Web. Cependant, laisser une application avoir un accès en écriture à vos fichiers est une chose dangereuse, en particulier dans un environnement public.
Il est préférable, du point de vue de la sécurité, de verrouiller autant que possible vos autorisations sur les fichiers et d'assouplir ces restrictions lorsque vous avez besoin d'autoriser l'accès en écriture ou de créer des dossiers spéciaux avec des restrictions plus laxistes afin de pouvoir effectuer certaines tâches. comme télécharger des images.
Voici un schéma de permission possible.
Tous les fichiers doivent appartenir à votre compte d'utilisateur et être inscriptibles par vous. Tout fichier nécessitant un accès en écriture à partir de WordPress doit appartenir à un groupe appartenant au compte d'utilisateur utilisé par le serveur Web.
... beaucoup plus de bonté dans ces articles.
S'amuser!