Moja konfiguracja serwerowa to PHP Version 7.2.16-1+ubuntu16.04.1+deb.sury.org+1
Moje pytanie brzmi: czy uruchamianie WP pod użytkownikiem www-data niesie za sobą jakieś niebezpieczeństwa i czy może to być właśnie związane z podrzucaniem złośliwych plików (dokłądniej sytuację opisuję poniżej).
Mam taki problem. Mój WordPress m.in. z wtyczką Woocommerce działał na jednym serwerze kilka tygodni. Postanowiłem przenieść go na drugi, szybszy host. Admin wygenerował nowego VPSa i dał mi do konta dostęp poprzez FTP – użytkownik www-data. Od razu mnie to zdziwiło, bo wiem, że www-data to domyślny użytkownik dla usera korzystającego z WP przez przeglądarkę.
Praktycznie od razu po przeniesieniu zaczęły się problemy z podrzuconymi plikami nieznanego pochodzenia, które najprawdopodobniej wysyłały SPAM (obciążając serwer).
WP pod www-data – problem bezpieczeństwa?
- jacekalex
- Gibki Gibbon
- Posty: 4680
- Rejestracja: 17 cze 2007, 02:54
- Płeć: Mężczyzna
- Wersja Ubuntu: inny OS
- Środowisko graficzne: MATE
- Architektura: x86_64
Re: WP pod www-data – problem bezpieczeństwa?
Jeżeli serwer WWW i parser PHP mają prawo zapisywać skrypty Wordpressa, to kiedyś coś do tych skryptów dopiszą bez twojej wiedzy i zgody.
W najbardziej domyślnej i najprostszej konfiguracji Debiana w /var/www/html i w folderach /home/$USER/public_html Apache nie ma prawa nić zapisać, a jedynie wyświetlać ich zawartość.
Jeżeli ten "admin" chce, żeby WP chodził na uprawnieniach usera www-data, to ja na twoim miejscu bym sobie poszukał innego admina.
Czasami niektóre skrypty rzeczywiście muszą chodzić z uprawnieniami demona PHP, takim skryptem jest np Magento 2, które bardzo trudno bezpiecznie postawić z tego powodu.
Ale WP na szczęście nie ma takich kosmicznych wymagań.
Problematyczny jest Woocommerce, bo po prostu WP jest niezłym materiałem na bloga, ale nie trzymałbym w nim danych osobowych klientów (zwłaszcza w czasach RODO), tylko w jakimś zewnętrznym zasobie, a to wymagałoby sporej ingerencji w kod Woocommerce.
Pozdro
W najbardziej domyślnej i najprostszej konfiguracji Debiana w /var/www/html i w folderach /home/$USER/public_html Apache nie ma prawa nić zapisać, a jedynie wyświetlać ich zawartość.
Jeżeli ten "admin" chce, żeby WP chodził na uprawnieniach usera www-data, to ja na twoim miejscu bym sobie poszukał innego admina.
Czasami niektóre skrypty rzeczywiście muszą chodzić z uprawnieniami demona PHP, takim skryptem jest np Magento 2, które bardzo trudno bezpiecznie postawić z tego powodu.
Ale WP na szczęście nie ma takich kosmicznych wymagań.
Problematyczny jest Woocommerce, bo po prostu WP jest niezłym materiałem na bloga, ale nie trzymałbym w nim danych osobowych klientów (zwłaszcza w czasach RODO), tylko w jakimś zewnętrznym zasobie, a to wymagałoby sporej ingerencji w kod Woocommerce.
Pozdro
Problemy rozwiązujemy na forum nie na PW -> Niech inni na tym skorzystają.
Komputer jest jak klimatyzacja - gdy otworzysz okna, robi się bezużyteczny...
Linux User #499936
Inny OS: Gentoo Linux
Komputer jest jak klimatyzacja - gdy otworzysz okna, robi się bezużyteczny...
Linux User #499936
Inny OS: Gentoo Linux
Kto jest online
Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 1 gość