我应该为在 IIS7 上安装的 Wordpress 3.9.1 设置啥文件夹权限?
Posted
技术标签:
【中文标题】我应该为在 IIS7 上安装的 Wordpress 3.9.1 设置啥文件夹权限?【英文标题】:What folder permissions should I set for a Wordpress 3.9.1 install on IIS7?我应该为在 IIS7 上安装的 Wordpress 3.9.1 设置什么文件夹权限? 【发布时间】:2014-06-25 15:40:52 【问题描述】:当您通过 wordpress.org 的 zip 文件手动安装 WordPress(当前为 3.9.1
)时,您将获得一个文件夹结构,我在下面概述了它,但我只有深入两个文件夹来说明我的问题。
在 IIS7 中,默认用户是 IUSR
我想知道的是,我应该给这个文件结构什么权限,以便登录的用户可以通过 WordPress 管理区域上传文件、更新插件以及核心(带有新版本)... 不打开黑客孔。
在整个结构上允许 IUSR 这些权限是否安全? (X,未勾选,O,勾选)
[X] 完全控制 [O] 修改 [O] 读取和执行 [O] 列出文件夹内容 [O] 阅读 [O] 写 [X] 特殊权限我担心如果我打开这扇门,它会允许黑客在这个网站内利用我的服务器文件系统,从而可能会打开更多危险的可能性。我已经在http://codex.wordpress.org/Changing_File_Permissions 阅读了他们的建议,但本文档概述了 Linux 设置,而不是 IIS。我似乎无法为 IIS 找到一个。
/* Begin File Structure
/wordpress/
/wp-admin/
/css/
/images/
/includes/
/js/
/maint/
/network/
/user/
/wp-content/
/plugins/
/themes/
/wp-includes/
/Certificates/
/css/
/fonts/
/ID3/
/images/
/js/
/pomo/
/SimplePie/
/Text/
/theme-compat/
*/
看看这个文件结构,似乎为了让登录到网站管理区域的人上传文件、更新核心、添加/删除插件,我不得不把整个事情都搞疯了如果他们发现 WP 代码中的漏洞,任何人都可以上传任何内容。
【问题讨论】:
【参考方案1】:这是一个很好的资源:@987654321@
总结该帖子以及我之前在其他服务器上的经验:
您可以使用 IUSR 的标准权限。
theme / plugins / uploads 文件夹要求您具有写入权限。在您的示例中,您缺少 wp-content 下的上传文件夹。我会手动创建它,所以你不想给 wp-content 写权限。
来自帖子的其他资源: http://www.iis.net/learn/get-started/planning-for-security/understanding-built-in-user-and-group-accounts-in-iis
http://www.iis.net/learn/get-started/planning-for-security/secure-content-in-iis-through-file-system-acls
http://weblogs.asp.net/owscott/securing-iis-thwarting-the-hacker-week-23
【讨论】:
以上是关于我应该为在 IIS7 上安装的 Wordpress 3.9.1 设置啥文件夹权限?的主要内容,如果未能解决你的问题,请参考以下文章
从 iis7 中的 wordpress URL 中删除 index.php
我应该为在 CouchDB 上运行的 Rails 3 使用哪个身份验证 gem/插件?
服务器server2008 安装IIS7,没有出现 “FastCGI设置” 图标