Какие бы не были хитроумные пароли, как бы не шифровали и не прятали от посторонних глаз доступы в административный раздел сайта, все это не спасет, если на файлы и директории выставлены неправильные права.

Вступление

Большинство сайтов работают на серверах, по управлением unix систем. В этих системах существует гибкая настройка прав доступа к различным файлам и папкам, и, пожалуй, каждый сталкивался с этим.

Права доступа определяются для:

  1. Владельца (непосредственно тот пользователь, который создал файл);
  2. Группы (пользователи из той же группы, в которой состоит владелец);
  3. Всех остальных пользователи этого компьютера.

И соответственно сами права доступа:

  1. Чтение (read) — 4;
  2. Запись (write) — 2;
  3. Исполнение (execute) — 1;

Обозначаются права символом, который указан жирным в скобках, или путем сложения цифр, и определяется это все для каждого типа пользователя.

Например,

Благодаря этим правам под управлением операционной системы могут работать множество пользователей, не мешая друг другу.

Суть проблемы

Проблема же заключается в том, что иногда владельцы сайтов не задумываются о том, какие права и у каких файлов и директорий должны быть, и почему это важно.

Ставя права на директории и файлы 777 и 666 соответственно, вы позволяете делать с ними все что угодно. Все действия в ОС происходят от лица какого-либо пользователя. Таким образом, за правами нужно тщательно следить.

Изменить права довольно просто. Делается это либо через терминал сервера с помощью команды chmod, например

Есть способ проще. Права можно поменять, используя FTP клиент, такой как FileZilla или Total Commander.

«Да кому мы нужны?»

Да, именно так порой думаю владельцы небольших сайтов (а иногда больших и даже огромных). Дело в том, что сайты взламывают не с целью похитить вашу драгоценную информацию (хотя и это тоже), а, например, рассылать с вашего сайта спам.

Скажем, у вас есть директория в корне сайта, называется images, и в ней хранятся изображения, которые используются на сайте. Права у директории 777, ведь картинки заливаются через CMS, и может так случиться, что система управления пожалуется о том, что не может записать файл, так как нету прав.

Злоумышленник узнает систему управления, пользуясь уязвимостью скрипта закидывает вместо картинки php скрипт, который рассылает спам.

Это конечно самый банальный случай.

Что про WordPress и другие CMS?

В зависимости от режима, в котором работает вебсервер, нужно выбирать следующие права на доступы к файлам и директориям:

или альтернативный вариант:

в зависимости от конфигурации сервера.

Соответственно, это касается не только WordPress, но и других систем управления.

  1. Берегите конфигурационный файл. Нельзя позволять никому, кроме владельца, даже читать документ, где написаны доступы к базе данных;
  2. Никому (кроме владельца и CMS, действующей от имени владельца) нельзя изменять файлы;
  3. Никому (кроме владельца и CMS, действующей от имени владельца) нельзя изменять содержание директорий;

Если при закачивании системы управления на сайт права могут выставиться правильно, то конфигурационный файл останется доступным для чтения всем пользователям сервера по-умолчанию. Права на конфигурационный файл придется менять обязательно!

P. S.:

Что касается WordPress, есть плагины, которые вносят свою лепту в безопасность сайта. Настоятельно рекомендую прописывать следующую директиву в htaccess файл.

Эта известная директива, которая запрещает к просмотру содержание директорий на сайте.


  1. Если в вашей теме используется ресайз миниатюр посредством timthumb.php, то обязательно нужно обновить этот файл на самую последнюю версию, так как старые версии известную уязвимость. У всех файлов права должны быть 644, у папок 755, кроме .htaccess права 444 и папки uploads права 777.

    Надежда

Оставить комментарий