我应该为在 IIS7 上安装的 Wordpress 3.9.1 设​​置啥文件夹权限?

Posted

技术标签:

【中文标题】我应该为在 IIS7 上安装的 Wordpress 3.9.1 设​​置啥文件夹权限?【英文标题】:What folder permissions should I set for a Wordpress 3.9.1 install on IIS7?我应该为在 IIS7 上安装的 Wordpress 3.9.1 设​​置什么文件夹权限? 【发布时间】:2014-06-25 15:40:52 【问题描述】:

当您通过 wordpress.org 的 zip 文件手动安装 WordPress(当前为 3.9.1)时,您将获得一个文件夹结构,我在下面概述了它,但我只有深入两个文件夹来说明我的问题。

在 IIS7 中,默认用户是 IUSR

我想知道的是,我应该给这个文件结构什么权限,以便登录的用户可以通过 WordPress 管理区域上传文件、更新插件以及核心(带有新版本)... 不打开黑客孔。

在整个结构上允许 IUSR 这些权限是否安全? (X,未勾选,O,勾选)

[X] 完全控制 [O] 修改 [O] 读取和执行 [O] 列出文件夹内容 [O] 阅读 [O] 写 [X] 特殊权限

我担心如果我打开这扇门,它会允许黑客在这个网站内利用我的服务器文件系统,从而可能会打开更多危险的可能性。我已经在http://codex.wordpress.org/Changing_File_Permissions 阅读了他们的建议,但本文档概述了 Linux 设置,而不是 IIS。我似乎无法为 IIS 找到一个。

/* Begin File Structure

/wordpress/
    /wp-admin/
        /css/
        /images/
        /includes/
        /js/
        /maint/
        /network/
        /user/

    /wp-content/
        /plugins/
        /themes/

    /wp-includes/
        /Certificates/
        /css/
        /fonts/
        /ID3/
        /images/
        /js/
        /pomo/
        /SimplePie/
        /Text/
        /theme-compat/
*/

看看这个文件结构,似乎为了让登录到网站管理区域的人上传文件、更新核心、添加/删除插件,我不得不把整个事情都搞疯了如果他们发现 WP 代码中的漏洞,任何人都可以上传任何内容。

【问题讨论】:

【参考方案1】:

这是一个很好的资源:@​​987654321@

总结该帖子以及我之前在其他服务器上的经验:

您可以使用 IUSR 的标准权限。

theme / plugins / uploads 文件夹要求您具有写入权限。在您的示例中,您缺少 wp-content 下的上传文件夹。我会手动创建它,所以你不想给 wp-content 写权限。

来自帖子的其他资源: http://www.iis.net/learn/get-started/planning-for-security/understanding-built-in-user-and-group-accounts-in-iis

http://www.iis.net/learn/get-started/planning-for-security/secure-content-in-iis-through-file-system-acls

http://weblogs.asp.net/owscott/securing-iis-thwarting-the-hacker-week-23

【讨论】:

以上是关于我应该为在 IIS7 上安装的 Wordpress 3.9.1 设​​置啥文件夹权限?的主要内容,如果未能解决你的问题,请参考以下文章

IIS7 Wordpress大上传HTTP错误

从 iis7 中的 wordpress URL 中删除 index.php

我应该为在 CouchDB 上运行的 Rails 3 使用哪个身份验证 gem/插件?

服务器server2008 安装IIS7,没有出现 “FastCGI设置” 图标

阿里云服务器Centos7.4搭建LNMP环境 WordPress安装

当您有选择时,HTTP、HTTPS 是安装 wordpress 的正确位置