Які б не були хитромудрі паролі, як б не шифрували і не ховали від сторонніх очей доступи до адміністративного розділ сайту, все це не врятує, якщо на файли і директорії виставлені неправильні права.
вступ
Більшість сайтів працюють на серверах, по управлінням unix систем. У цих системах існує гнучка настройка прав доступу до різних файлів і папок, і, мабуть, кожен стикався з цим.
Права доступу визначаються для:
- Власника (безпосередньо той користувач, який створив файл);
- Групи (користувачі з тієї ж групи, до якої входить власник);
- Всіх інших користувачів цього комп'ютера.
І відповідно самі права доступу:
Позначаються права символом, який вказано жирним в дужках, або шляхом складання цифр, і визначається це все для кожного типу користувача.
Приклади прав доступу до файлів і папок
Є спосіб простіше. Права можна поміняти, використовуючи FTP клієнт, такий як FileZilla або Total Commander.
«Так кому ми потрібні?»
Так, саме так часом думаю власники невеликих сайтів (а іноді великих і навіть величезних). Справа в тому, що сайти зламують не з метою викрасти вашу дорогоцінну інформацію (хоча і це теж), а, наприклад, розсилати з вашого сайту спам.
Скажімо, у вас є директорія в корені сайту, називається images. і в ній зберігаються зображення, які використовуються на сайті. Права у директорії 777. адже картинки заливаються через CMS, і може так статися, що система управління поскаржиться про те, що не може записати файл, так як немає прав.
Зловмисник дізнається систему управління, користуючись вразливістю скрипта закидає замість картинки php скрипт, який розсилає спам.
Це звичайно самий банальний випадок.
Що про WordPress і інші CMS?
Залежно від режиму, в якому працює вебсервер, потрібно вибирати такі права на доступи до файлів і тек:
Права на файли і директорії в WordPress
в залежності від конфігурації сервера.
Відповідно, це стосується не тільки WordPress, але і інших систем управління.
Якщо при закачуванні системи управління на сайт права можуть виставитися правильно, то конфігураційний файл залишиться доступним для читання всім користувачам сервера за замовчуванням. Права на конфігураційний файл доведеться міняти обов'язково!
Що стосується WordPress, є плагіни, які вносять свою лепту в безпеку сайту. Настійно рекомендую прописувати таку директиву в htaccess файл.
Директива Options в .htaccess