Задать вопрос

Вопрос хостерам о безопасности?

Настраиваю Wordpress на своем личном хостинге, на VPS. Сам себе админ, владелец и вебмастер. На чужих хостингах видел, что администратор Wordpress может сам изменять файлы темы (заголовок, например), ставить и обновлять плагины, загружать фото. На своем хостинге такое получается сделать, только если дать пользователю, от имени которого работает apache, права записи в некоторые каталоги wordpress, в т.ч. /wp-content/themes/. Что мне, как человеку с сисадминским опытом за плечами, кажется весьма небезопасным. Разве что запускать веб-сервер исключительно для своего сайта и ни с кем его не шарить, но для хостера-то это не вариант.



Есть вариант решения этой задачи с suexec PHP, но говорят, что это замедляет работу сайта в десятки раз (минимум в 20, но есть мнение, что посещаемый сайт от такой нагрузки просто ляжет).



Других вариантов не знаю. Их действительно нет? Друзья, работающие в коммерческих хостингах говорят, что там часто полагаются на надежность CMS (в частности, Wordpress), и из-за этого сайты нередко ломают, причем чаще — через не очень качественно написанные плагины.



Все действительно так плохо?
  • Вопрос задан
  • 3905 просмотров
Подписаться 9 Оценить 1 комментарий
Пригласить эксперта
Ответы на вопрос 6
Не могу вам не чего сказать за apache, но на php-fpm + nginx я делаю так.

user = nginx group = $pool # $pool равен группе пользователя в директории, которого храним сайт

Ну и chroot настраиваю.

При таких настройках для записи в директорию нам достаточно давать права 775, т.е. доступ будет только у пользователя в чей директории сайты nginx не сможет писать.
Ответ написан
NetAngels
@NetAngels
Пожалуй, лучший облачный хостинг в России.
Извините, а откуда мнение, что «suexec PHP» замедляет работу сайта в 20 раз? PHP умеет работать в 3х режимах:
1. как модуль apache (mod_php), тогда php выполняется от того же пользователя, от которого запущен apache (Ваш первоначальный вариант)
2. В режиме FastCGI. И по скорости php-fcgi ничем не медленнее mod_php
3. В режиме просто CGI. Вот это медленее чем mod_php раз в 10, да

Так вот, suexec может использоваться как для (3) варианта, так и для (2) и в случае (2), то есть php запускается как fastcgi, плюс suexec, Вы получите систему, в которой каждый отдельный сайт можно будет запускать от имени и с правами разных аккаунтов, но работать все будет под одним и тем же apache. Так и устроены многие shared-хостинги.

Все, что нужно для этого, это apache, suexec, mod_fcgid и php, собранный с поддержкой fastcgi.
Ответ написан
opium
@opium
Просто люблю качественно работать
suexec не замедляет работу сайта в двадцать раз, иначе бы все сайты открывались бы по 10-20 секунд с ним.
Ответ написан
Для нормальных технологий (python, ruby, java) есть тот же uwsgi с emperor mode и режимом tyrant. Каждый пользователь тогда имеет запущенный от своего имени веб-сервер. Ну и плюс упомянутый выше MPM для apache.
Ответ написан
foxmuldercp
@foxmuldercp
Системный администратор, программист, фотограф
настройки виртуального шаред (не впс) хостинга — буду очень сильно отличаться от хостера к хостеру, т.к. квалификация и привычки администраторов везде разные.
У меня текущий мой сайт у товарища-хостера, например, запускается под одним отдельным пользователем и я спокойно могу нажать кнопку «обновить вордпресс» и через полминуты вордпресс сам обновится.
На прошлой моей работе, тоже хостинг, у пользователя фтп и у пользователя апача были разные группы и мне приходилось закачивать дистрибутив вручную по фтп на сервер.
Ответ написан
Комментировать
Wott
@Wott
user в WP для сервера это просто куки, причем еще в базу надо слазить что бы проверить. Можно конечно сделать мод для сервера, который будет смотреть конкретную куку, проверять и транслировать ее в базе. после чего менять пользователя для запроса — но имхо это извращение и излишне.

У себя я даю доступ до wp-admin только для своих IP.
Плюс конечно все плагины проверяются и зачастую переписываются — в плагин можно вложить что угодно, пишут их отвратно.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы