WP pod www-data – problem bezpieczeństwa?

Dyskusje o wszystkim co służy ochronie systemu i danych przed nieautoryzowanym dostępem.
mm88
Piegowaty Guziec
Piegowaty Guziec
Posty: 1
Rejestracja: 16 mar 2019, 21:00
Wersja Ubuntu: 16.04
Środowisko graficzne: Brak

WP pod www-data – problem bezpieczeństwa?

Post autor: mm88 » 16 mar 2019, 21:04

Moja konfiguracja serwerowa to PHP Version 7.2.16-1+ubuntu16.04.1+deb.sury.org+1

Moje pytanie brzmi: czy uruchamianie WP pod użytkownikiem www-data niesie za sobą jakieś niebezpieczeństwa i czy może to być właśnie związane z podrzucaniem złośliwych plików (dokłądniej sytuację opisuję poniżej).

Mam taki problem. Mój WordPress m.in. z wtyczką Woocommerce działał na jednym serwerze kilka tygodni. Postanowiłem przenieść go na drugi, szybszy host. Admin wygenerował nowego VPSa i dał mi do konta dostęp poprzez FTP – użytkownik www-data. Od razu mnie to zdziwiło, bo wiem, że www-data to domyślny użytkownik dla usera korzystającego z WP przez przeglądarkę.

Praktycznie od razu po przeniesieniu zaczęły się problemy z podrzuconymi plikami nieznanego pochodzenia, które najprawdopodobniej wysyłały SPAM (obciążając serwer).
Awatar użytkownika
jacekalex
Gibki Gibbon
Gibki Gibbon
Posty: 4054
Rejestracja: 17 cze 2007, 02:54
Płeć: Mężczyzna
Wersja Ubuntu: inny OS
Środowisko graficzne: MATE
Architektura: x86_64

Re: WP pod www-data – problem bezpieczeństwa?

Post autor: jacekalex » 17 mar 2019, 01:14

Jeżeli serwer WWW i parser PHP mają prawo zapisywać skrypty Wordpressa, to kiedyś coś do tych skryptów dopiszą bez twojej wiedzy i zgody. :twisted:

W najbardziej domyślnej i najprostszej konfiguracji Debiana w /var/www/html i w folderach /home/$USER/public_html Apache nie ma prawa nić zapisać, a jedynie wyświetlać ich zawartość.

Jeżeli ten "admin" chce, żeby WP chodził na uprawnieniach usera www-data, to ja na twoim miejscu bym sobie poszukał innego admina.

Czasami niektóre skrypty rzeczywiście muszą chodzić z uprawnieniami demona PHP, takim skryptem jest np Magento 2, które bardzo trudno bezpiecznie postawić z tego powodu.
Ale WP na szczęście nie ma takich kosmicznych wymagań.

Problematyczny jest Woocommerce, bo po prostu WP jest niezłym materiałem na bloga, ale nie trzymałbym w nim danych osobowych klientów (zwłaszcza w czasach RODO), tylko w jakimś zewnętrznym zasobie, a to wymagałoby sporej ingerencji w kod Woocommerce.

Pozdro
:craz:
Problemy rozwiązujemy na forum nie na PW -> Niech inni na tym skorzystają.
Komputer jest jak klimatyzacja - gdy otworzysz okna, robi się bezużyteczny...
Linux User #499936
Inny OS: Gentoo Linux :)
ODPOWIEDZ

Wróć do „Bezpieczeństwo Ubuntu”

Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 2 gości