Zabezpieczanie WordPressa za pomocą odpowiednich praw
Instalując skrypt WordPress niejednokrotnie napotykamy błędy, których powodem jest nieprawidłowe ustawienie CHMOD-ów (prawa dla plików i folderów). Przede wszystkim dotyczy to takich zabiegów jak wgrywanie dodatkowych mediów, instalacja wtyczek, korekta szablonu, itp.
Ustawienie praw 777 dla plików i folderów w obrębie wszystkich lokalizacji na serwerze rozwiązuje problem z zapisem i odczytem plików, jednak nie jest to dobre rozwiązanie ze względów bezpieczeństwa. CHMOD 777 to otwarta droga do nadpisywania zawartości na serwerze przez niechciane zewnętrzne skrypty, co może skutkować niepoprawnym wyświetlaniem się witryny powstałej na skrypcie Wordpreess.
Stosowanie zabezpieczeń za pomocą odpowiednich praw dla folderów i plików
W przypadku WordPressa kluczową lokalizacją jest oczywiście folder wp-admin, gdzie znajdują się wszystkie pliki związane z administracją witryny. Dla całych folderów oraz podfolderów ustawiamy prawa na 755 (właściciel ma prawa do zapisu, odczytu oraz uruchamiania, a pozostali do odczytu i uruchamiania). Dla plików znajdujących się w folderze wp-admin i jego podfolderach ustawiamy CHMOD-y na 644 (prawa do odczytu i uruchamiania ma właściciel, natomiast prawa do odczytu posiadają inni użytkownicy).
Umieszczanie grafiki na serwerze to kolejna kwestia. Podczas uploadowania plików graficznych z poziomu panelu administracyjnego WP możemy spotkać się z informacją o niemożności stworzenia podfolderu uploads, który docelowo ma znajdować się w folderze wp-content. Jest to spowodowane właśnie ustawieniem nieodpowiednich praw (najczęściej 644 lub 711). Chcąc poprawnie uploadować grafikę ustawienie praw na poziomie 755 lub 777 dla wp-content powinno rozwiązać problem.
Niekiedy zdarza się, że istnieje problem z odczytem plików szablonu (znajdujących się w lokalizacji /wp-content/themes/nazwa_szablonu) spowodowany nieprawidłowymi prawami. Ustawiając prawa na poziomie 644 dla tego podfolderu może skutkować nieprawidłowym wyświetlaniem szablonu lub jego niektórych funkcji. W tym miejscu dobrym rozwiązaniem będzie ustawienie CHMOD 755 na podfolderu nazwa_szablonu (prawa 644 dla plików nie powinny skutkować problemami, można jednak zastosować 755).
Pamiętajmy, aby starać się chronić lokalizacje narażone na infekcję ze strony zewnętrznych skryptów. Najczęściej nadpisywane są w przypadku WordPressa pliki index.php znajdujące się w różnych lokalizacjach (złośliwe oprogramowanie nadpisuje z reguły pliki w tych miejscach, do których ma dostęp z mocy ustawianych przez właściciela praw). Oczywiście mogą się zdarzyć sytuacje, że pomimo poprawnych kombinacji CHMOD na serwerze złośliwy kod zostanie umieszczony, jednak jest to spowodowane lukami w skrypcie WP.
Ważna kwestia – instalacje i aktualizacje w późniejszym czasie wtyczek do WP. Jeżeli dla lokalizacji /wp-content/plugins zostaną ustawione prawa 644 lub 711, wówczas mogą wystąpić problemy z samą instalacją wtyczek. Zmiana praw po instalacji np. z 755 na 711 lub 644 może też skutkować błędami w aktualizacji pluginów i tym samym (z powodu nieprawidłowego ich działania) ich wyłączenia. Ustawienie CHMOD-ów na poziomie 755 powinno rozwiązać problem.
UWAGA! Konfiguracja odpowiednich praw zależy w dużej mierze od ustawień serwera, dlatego ustawianie poprawnych i zabezpieczających przed nadpisaniem plików CHMOD-ów należy rozpatrywać indywidualnie. Opisane powyżej konfiguracje praw są jednak najczęściej spotykane i stosowane. Nadając odpowiednie prawa dla danego podfolderu pamiętajmy, że jeżeli folder nadrzędny nie posiada odpowiednich praw, wówczas nawet ustawienie CHMOD 777 dla danego podfolderu będzie nieskuteczne.