Propriété définitive du répertoire wordpress et autorisations sur linux

Question

Je sais qu'il y a mille questions à ce sujet un peu partout et je crois que j'essaie toutes les solutions possibles depuis des années [sans exagération] et que chacune manque à un élément crucial ou ne fonctionne tout simplement pas [en mon expérience].

Je recherche une solution solide, complète et ouverte d'esprit pour la propriété des utilisateurs/groupes du répertoire wordpress et les autorisations sur linux. Les exigences sont celles que tout le monde devrait rechercher: sécurité à la pointe de la technologie, mises à jour automatiques et accès à sftp.

Les faits - si je ne manque de rien - sont assez simples: si nous configurons la propriété du répertoire Web [dans mon cas, /var/www/] à un utilisateur dédié [ce qui signifie pas l'utilisateur du serveur Web - qui dans mon cas est www-data], comme dans: wp:www-data, wordpress est capable d'installer des thèmes et des plugins, mais pas de se mettre à jour automatiquement [problème de sécurité], même avec fs method: direct;

si nous attribuons tout à www-data, comme dans www-data:www-data, les fichiers appartiennent à l'utilisateur du serveur Web [problème de sécurité];

et pour accéder à tout via sftp, même si nous configurons chroot, relient des montages et accédez à un utilisateur sftp dédié, quelle que soit la combinaison d'imbrication utilisateur/groupe [sftp faisant partie de www-data, sftp et www-data faisant partie de Le même groupe, et ainsi de suite ...], les fichiers téléchargés via sftp sont créés en tant qu'utilisateur sftp et même avec les règles ACL les plus complexes et en excluant les scripts chown/chmod périodiques [absurdes], la propriété et les autorisations sont toujours fausses.

Je suis étonné de ne pas avoir trouvé de solution plus évidente jusqu'à présent. Combien de serveurs Web configurés de manière non sécurisée existe-t-il? Je suis sûr que la solution existe et que vous pouvez m'aider à comprendre cela. Merci d'avance! :)

Mark Kaplun · Answer

Si votre objectif est la sécurité, le seul répertoire accessible en écriture par le serveur Web doit être uploads. Oui, cela signifie que les mises à jour ne sont pas faciles, mais dans un environnement sécurisé, le serveur Web ne devrait pas être en mesure d'écrire dans des répertoires contenant du code exécutable.

Si vous avez tellement de mises à jour que SFTP perd trop de temps, installez et utilisez l'utilitaire wp-cli pour effectuer les mises à jour.

.... Presque oublié, la façon d’avoir des mises à jour tout en évitant la confusion des autorisations consiste à exécuter un serveur FTP qui sera limité à accepter les demandes de l’hôte local. Pare-feu les ports FTP de tout autre hôte et vous avez la possibilité de mettre à jour à partir du navigateur tout en étant sécurisé.