WP-CONTENT/UPLOADS的777，775，744，644，444文件權(quán)限設(shè)置

時(shí)間：2023-06-30 19:12:01 | 來(lái)源：網(wǎng)站運(yùn)營(yíng)

時(shí)間：2023-06-30 19:12:01 來(lái)源：網(wǎng)站運(yùn)營(yíng)

WP-CONTENT/UPLOADS的777，775，744，644，444文件權(quán)限設(shè)置：

WP-CONTENT/UPLOADS 文件夾到底應(yīng)該設(shè)怎么樣的權(quán)限呢？世意歐詳細(xì)解答了777、755、644、744等文件權(quán)限的利弊、風(fēng)險(xiǎn)提示及相關(guān)的結(jié)論建議！

本文是需要一定計(jì)算機(jī)基礎(chǔ)或者是對(duì)Wordpress稍比較熟悉的！

眾所周知，wordpress是世界上建站程序最多，更新最快，開(kāi)源程度最好的建站程序！廣泛運(yùn)用于博客、公司網(wǎng)站、門(mén)戶(hù)網(wǎng)站、跨境電商自建站等。

國(guó)內(nèi)很多的專(zhuān)業(yè)出海服務(wù)公司，也采用Wordpress建站 ，如外貿(mào)牛等！不少企業(yè)，還因此上市！

很多人甚至是使用Wordpress多年的用戶(hù)，反饋Wordpress的安全問(wèn)題！世意歐根據(jù)這些年的實(shí)戰(zhàn)經(jīng)驗(yàn)，匯集worpress安全運(yùn)維問(wèn)題！

因每個(gè)人使用的Web服務(wù)器不太一樣，有些是Nginx，有些是Apache, 有些是Java, 有些是Python等， 甚至有很大部分人使用是虛擬主機(jī)（比較難清楚是使用哪種具體服務(wù)器了！因此在我們網(wǎng)站，我們都會(huì)標(biāo)注是使用什么樣的Web服務(wù)器及怎么樣的版本，方便參考！

WP-CONTENT/UPLOADS 文件夾到底應(yīng)該設(shè)怎么樣的權(quán)限呢？

先看網(wǎng)絡(luò)搜索結(jié)果：基本很少這方面的專(zhuān)業(yè)詳細(xì)描述！

先看網(wǎng)絡(luò)查到的第一種：設(shè)置為777 權(quán)限！

777 是全面開(kāi)放權(quán)限，對(duì)任何級(jí)別都不限制任何限制！讀、寫(xiě)、執(zhí)行任何操作，任何人如所有者、管理者、訪客、注冊(cè)用戶(hù)、非注冊(cè)用戶(hù)等，均可操作任何權(quán)限。

世意歐解答：如果您的Web服務(wù)器或操作系統(tǒng)，安全性足夠好！特別是安全裝備或配備非常好，如沙盒技術(shù)，防篡改技術(shù)，禁止上傳文件限制，或者Wordpress僅限管理員上傳，別的任何用戶(hù)無(wú)法使用等，防病毒軟件良好等的前提下，可以試試！

小篇世意歐曾經(jīng)在十幾年前，租用國(guó)外虛擬主機(jī)，當(dāng)時(shí)安裝插件時(shí)，需要開(kāi)放權(quán)限，就wp-content 文件夾及其下的文件夾或文件，全部都設(shè)為777， 結(jié)果沒(méi)過(guò)兩天，網(wǎng)站打不開(kāi)。當(dāng)時(shí)還是Wordpress的小白，實(shí)施上傳備份，恢復(fù)快！ 折騰來(lái)折騰去，最后就放在那里！當(dāng)時(shí)就是不懂開(kāi)放全部權(quán)限的意思！現(xiàn)在想想，當(dāng)時(shí)還誤以為是虛擬主機(jī)不好使，是不客觀的！

世意歐風(fēng)險(xiǎn)提示：如果把操作系統(tǒng)安全比作國(guó)家安全，把Web服務(wù)器安全比作各省市安全，把Wordpress網(wǎng)站安全比作村鎮(zhèn)安全，把uploads的安全比作是住宅的門(mén)戶(hù)安全。如果一個(gè)住宅，大門(mén)一直都大開(kāi)著，是不是什么人都可以進(jìn)來(lái)??！黑客是最喜歡這種所有權(quán)限都開(kāi)放的設(shè)置！

世意歐結(jié)論：能不能信網(wǎng)絡(luò)把uploads的文件權(quán)限設(shè)為777 ，得根據(jù)您各項(xiàng)系統(tǒng)安全性及各項(xiàng)安全配置而定，我個(gè)人有前車(chē)之鑒，最終還得您自己決定！畢竟安全是整體防御的系統(tǒng)性，Uploads 僅是占其中一個(gè)小環(huán)節(jié)！

網(wǎng)絡(luò)查到的第二種：設(shè)置為755權(quán)限！

我還在國(guó)外權(quán)威文章中，看到這幅圖！覺(jué)得非常好！具體哪篇文章，還真有點(diǎn)忘記了，小編Jacky基本上是看國(guó)內(nèi)幾十篇，國(guó)外幾十篇；直到找到自己的滿(mǎn)意！ 安全軟件Security 提醒是 建議 設(shè)置為755 權(quán)限！

世意歐解答：這個(gè)755的意思 就是，僅所有者擁有讀、寫(xiě)、執(zhí)行的權(quán)限；用戶(hù)組是讀和執(zhí)行的權(quán)限；公共訪客組也是讀和執(zhí)行的權(quán)限！

世意歐實(shí)戰(zhàn)測(cè)試如下：如果所有者默認(rèn)是WWW 組的，還是運(yùn)行得通的。

但我把所有者改為 ROOT組的，結(jié)果可能會(huì)更安全！ 但是 使用Wordpress管理員登錄后臺(tái)，進(jìn)行上傳圖片等操作時(shí)，卻出現(xiàn)權(quán)限問(wèn)題！

世意歐結(jié)論：這個(gè)設(shè)置755 是有前提的，就是所有者最好是公共的WWW網(wǎng)絡(luò)組。而非ROOT組。不然只有ROOT組角色的才能寫(xiě)入（如上傳）圖片等，即使是Wordpress管理員都無(wú)法上傳，因?yàn)閃ordpress管理員不算是操作系統(tǒng)的ROOT組成員，需要額外增加的。

第三種：Upload 能不能是644的文件權(quán)限呢

1. 測(cè)試環(huán)境一： 使用Nginx 1.19.8
2. 測(cè)試環(huán)境二：使用Wordpress 5.7.2
3. 測(cè)試環(huán)境三：所有防火墻、安全軟件、防護(hù)軟件、報(bào)警軟件均關(guān)閉！
4. 測(cè)試環(huán)境四：Wordpress所有文件的所有者均為 www

世意歐解答：644 是指 所有者 擁有讀和寫(xiě)入的權(quán)限；用戶(hù)組及公共組僅有讀取的權(quán)限的，無(wú)法寫(xiě)入的權(quán)限。無(wú)論是所有者還用戶(hù)組還是公共組均無(wú)法執(zhí)行。

世意歐實(shí)戰(zhàn)測(cè)試如下： 這種方法會(huì)出現(xiàn)錯(cuò)誤提示！

“640.SEO.Logo.jpg” has failed to upload.The uploaded file could not be moved to wp-content/uploads.世意歐結(jié)論： 對(duì)upload 設(shè)置644權(quán)限，理論上很對(duì)；實(shí)際操作是不可以的！像544，444 就更不行的了??！ 具體原因，我一知半解，不是非常清楚，歡迎留言告知小編?。?br>

第四種：根據(jù)給權(quán)限最小原則，能不能是744的文件權(quán)限呢？

1. 測(cè)試環(huán)境一： 使用Nginx 1.19.8
2. 測(cè)試環(huán)境二：使用Wordpress 5.7.2
3. 測(cè)試環(huán)境三：所有防火墻、安全軟件、防護(hù)軟件、報(bào)警軟件均關(guān)閉！
4. 測(cè)試環(huán)境四：Wordpress所有文件的所有者均為 www

世意歐解答： 因wordpress外貿(mào)自建站，upload 主要用于上傳圖片、視頻、PDF等常見(jiàn)的，公共組主要是讀取即可；客戶(hù)注冊(cè)成為用戶(hù)，多用戶(hù)并操作后臺(tái)的比較少。同時(shí)主要是外貿(mào)業(yè)務(wù)員在管理后臺(tái)！根據(jù)這種實(shí)際情況，一是完全沒(méi)有必要開(kāi)放公共組執(zhí)行的權(quán)限，也沒(méi)有開(kāi)放用戶(hù)組的執(zhí)行的權(quán)限！只要給用戶(hù)組和公共組他們開(kāi)放讀的權(quán)限即可，就是44 了。 所有者權(quán)限經(jīng)上面測(cè)試，6是不行的，最高也僅是7 。因此744文件權(quán)限可能是行得通！

世意歐實(shí)戰(zhàn)測(cè)試如下： 暫時(shí)沒(méi)有發(fā)現(xiàn)問(wèn)題！因?yàn)闆](méi)有給用戶(hù)組及公共組執(zhí)行的權(quán)限，理論上是遇到別人惡意上傳的文件，因無(wú)法執(zhí)行，也較難攻擊！

世意歐結(jié)論： 花了不少時(shí)間在測(cè)試來(lái)測(cè)試去，思考來(lái)思考去，也不知道在您們的Wordpress 配置能否生效？畢竟很多的插件還會(huì)使用到Upload這個(gè)文件夾的，比如Stastic 及Elementor 都會(huì)在Upload 創(chuàng)建相關(guān)的文件夾及文件，以便隨時(shí)數(shù)據(jù)的調(diào)用。下圖這些插件在744權(quán)限均可以自由寫(xiě)入和執(zhí)行！如果您的Uploads 設(shè)置為744后，插件不能正常使用，歡迎留言反饋！

本文結(jié)語(yǔ)：

關(guān)于WordPress網(wǎng)站的WP-CONTENT/UPLOADS的文件夾及其文件的權(quán)限設(shè)置，是由杭州世意歐科技有限公司的外貿(mào)出海安全運(yùn)營(yíng)組成員Jacky原創(chuàng)！歡迎轉(zhuǎn)發(fā)到各位網(wǎng)站平臺(tái)，或分享給有需求的朋友！