我应该为在 IIS7 上安装的 Wordpress 3.9.1 设​​置啥文件夹权限？

Posted 2023-02-23

【中文标题】我应该为在 IIS7 上安装的 Wordpress 3.9.1 设​​置啥文件夹权限？

【英文标题】：What folder permissions should I set for a Wordpress 3.9.1 install on IIS7?我应该为在 IIS7 上安装的 Wordpress 3.9.1 设​​置什么文件夹权限？

【发布时间】：2014-06-25 15:40:52

【问题描述】：

当您通过 wordpress.org 的 zip 文件手动安装 WordPress（当前为 3.9.1）时，您将获得一个文件夹结构，我在下面概述了它，但我只有深入两个文件夹来说明我的问题。

在 IIS7 中，默认用户是 IUSR

我想知道的是，我应该给这个文件结构什么权限，以便登录的用户可以通过 WordPress 管理区域上传文件、更新插件以及核心（带有新版本）... 不打开黑客孔。

在整个结构上允许 IUSR 这些权限是否安全？ （X，未勾选，O，勾选）

[X] 完全控制 [O] 修改 [O] 读取和执行 [O] 列出文件夹内容 [O] 阅读 [O] 写 [X] 特殊权限

我担心如果我打开这扇门，它会允许黑客在这个网站内利用我的服务器文件系统，从而可能会打开更多危险的可能性。我已经在http://codex.wordpress.org/Changing_File_Permissions 阅读了他们的建议，但本文档概述了 Linux 设置，而不是 IIS。我似乎无法为 IIS 找到一个。

/* Begin File Structure

/wordpress/
    /wp-admin/
        /css/
        /images/
        /includes/
        /js/
        /maint/
        /network/
        /user/

    /wp-content/
        /plugins/
        /themes/

    /wp-includes/
        /Certificates/
        /css/
        /fonts/
        /ID3/
        /images/
        /js/
        /pomo/
        /SimplePie/
        /Text/
        /theme-compat/
*/

看看这个文件结构，似乎为了让登录到网站管理区域的人上传文件、更新核心、添加/删除插件，我不得不把整个事情都搞疯了如果他们发现 WP 代码中的漏洞，任何人都可以上传任何内容。

【参考方案1】：

这是一个很好的资源：@​​987654321@

总结该帖子以及我之前在其他服务器上的经验：

您可以使用 IUSR 的标准权限。

theme / plugins / uploads 文件夹要求您具有写入权限。在您的示例中，您缺少 wp-content 下的上传文件夹。我会手动创建它，所以你不想给 wp-content 写权限。

来自帖子的其他资源： http://www.iis.net/learn/get-started/planning-for-security/understanding-built-in-user-and-group-accounts-in-iis

http://www.iis.net/learn/get-started/planning-for-security/secure-content-in-iis-through-file-system-acls

http://weblogs.asp.net/owscott/securing-iis-thwarting-the-hacker-week-23