Как запретить PHP лезть в каталоги выше уровнем?

Question

[lightalex]

Привет
Появилась задача - поставить WordPress в каталог blog ( site.com/blog )
Но был печальный опыт, когда через дырку WP заразили весь хостинг вирусняком просто поднявшись по каталогу вверх (это был тестовый хостинг, поэтому не сильно заморачивался с выделением каталога под сайт на WP)
Но в этот раз поставить WP как отдельный сайт не получится и он будет стоять в непосредственно близости к основному сайту
Посему хочу изолировать каталог с WP, чтобы если даже ломанут WP, файлы основного сайта не пострадали
Вопрос - как запретить PHP подниматься по каталогу выше? Как запретить всему что запускается в директории blog выходить из этой самой директории?
Может htaccess поможет? Или может есть более простое решение для задачи в целом?

Answer 1

[Дмитрий Дарт]

Есть довольно простой способ через панель управления сайтов типа VestaCP или ISPManager. Создаётся отдельный пользователь, ему создаётся отдельный ФТП аккаунт, в качестве корневой директории указываем site.com/blog и всё, ему оттуда и его скриптам доступа никуда нет.

Answer 2

[Александр Аксентьев]

php.net/manual/en/ini.core.php#ini.open-basedir

Comments

[Boris Köln]

Если основной сайт тоже на PHP, то для него придется поднимать отдельный PHP-FPM.

Answer 3

[a0lwq]

chroot
LXC

Answer 4

[xmoonlight]

Максимально обезопасить возможно только в случае, если движок блога расположен выше www-директории.
А доступ к нужной публичной директории (site.com/blog) - предоставляется из центральной точки, являющейся роутером запросов: php-файл или правила .htaccess.
И тоже самое - для другого движка, стоящего рядом.

1. Для защиты от атак (входящие запросы GET/POST и т.д.): читаем здесь.
2. Для контроля запуска shell-функций : php-security
3. Runkit Sandbox (для подмены стандартных функций на свои): здесь