WP pod www-data – problem bezpieczeństwa?

[mm88]

Moja konfiguracja serwerowa to PHP Version 7.2.16-1+ubuntu16.04.1+deb.sury.org+1

Moje pytanie brzmi: czy uruchamianie WP pod użytkownikiem www-data niesie za sobą jakieś niebezpieczeństwa i czy może to być właśnie związane z podrzucaniem złośliwych plików (dokłądniej sytuację opisuję poniżej).

Mam taki problem. Mój WordPress m.in. z wtyczką Woocommerce działał na jednym serwerze kilka tygodni. Postanowiłem przenieść go na drugi, szybszy host. Admin wygenerował nowego VPSa i dał mi do konta dostęp poprzez FTP – użytkownik www-data. Od razu mnie to zdziwiło, bo wiem, że www-data to domyślny użytkownik dla usera korzystającego z WP przez przeglądarkę.

Praktycznie od razu po przeniesieniu zaczęły się problemy z podrzuconymi plikami nieznanego pochodzenia, które najprawdopodobniej wysyłały SPAM (obciążając serwer).

[jacekalex]

Jeżeli serwer WWW i parser PHP mają prawo zapisywać skrypty Wordpressa, to kiedyś coś do tych skryptów dopiszą bez twojej wiedzy i zgody.

W najbardziej domyślnej i najprostszej konfiguracji Debiana w /var/www/html i w folderach /home/$USER/public_html Apache nie ma prawa nić zapisać, a jedynie wyświetlać ich zawartość.

Jeżeli ten "admin" chce, żeby WP chodził na uprawnieniach usera www-data, to ja na twoim miejscu bym sobie poszukał innego admina.

Czasami niektóre skrypty rzeczywiście muszą chodzić z uprawnieniami demona PHP, takim skryptem jest np Magento 2, które bardzo trudno bezpiecznie postawić z tego powodu.
Ale WP na szczęście nie ma takich kosmicznych wymagań.

Problematyczny jest Woocommerce, bo po prostu WP jest niezłym materiałem na bloga, ale nie trzymałbym w nim danych osobowych klientów (zwłaszcza w czasach RODO), tylko w jakimś zewnętrznym zasobie, a to wymagałoby sporej ingerencji w kod Woocommerce.

Pozdro