7折
减价出售
¥799
WordPress 文件权限解说
文件权限是保护网站非常重要的一部分。它们锁定您的网站,同时使 WordPress 主题、其插件和其他脚本能够修改它们需要的内容。
但有时事情可能会出错。可能会弹出错误,或者文件权限更改为不正确的值。在这种情况下,了解 WordPress 文件权限的工作原理以及如何使用它们会很有帮助。
这正是我们今天要解释的内容。下面,您将了解有关文件权限、如何更改它们以及保持网站顺利运行的最佳实践的所有信息。
了解文件权限级别
如果您想了解如何在 WordPress 中更改文件权限,您需要先了解基础知识。为此,我们需要研究 Linux 权限。这是关于该主题的快速速成课程。
文件权限类型
文件可以拥有三种主要类型的权限。您不仅可以为单个文件设置这些权限,还可以为整个目录/文件夹设置这些权限。
- 读取 (r) – 这允许用户查看文件的内容或目录中的文件名。
- 写入 (w) — 写入权限使用户能够修改文件的内容。他们还可以在目录中创建、删除或重命名文件。
- 执行 (x) – 在这里,用户可以执行程序和脚本,或访问目录的文件和子目录。
权限组
但是,到底谁可以拥有这些权限呢?在 Linux 中,有三组人可以访问文件/目录。
- 用户 (u) – 指文件/目录的所有者(通常是创建者)。
- 组 (g) – 共享公共权限级别的多个用户。任何用户都可以位于一个或多个组中。
- 其他、世界或公共 (o) – 不是文件所有者且不在定义组中的任何用户。
对于其中每一个,您可以设置不同级别的权限。在 WordPress 中,这些称为用户角色。例如,您不希望随机网站订阅者拥有与管理员相同的权限。这将是灾难的根源。
符号和数字符号
处理文件权限时,它们以符号表示法或数字表示法。
符号表示法使用上面的字母来表示读取 (r)、写入 (w) 和执行 (x) 权限,或破折号表示无。它们分为三组,每组三个,前三个字母表示用户 (u) 权限,接下来的三个字母表示组 (g) 权限,后三个字母表示其他权限 (o)。
举个例子:
在这里,用户具有完全权限 (rwx),组具有读取和执行权限 (r-x),而其他组仅具有读取权限 (r–)。rwxr-xr--
使用数字表示法时,每个权限都分配一个值:
- 读取 (r) = 4
- 写入 (w) = 2
- 执行 (x) = 1
这些相加形成一个三位数,代表用户、组和其他人的权限。
使用上面的相同示例,用户的权限为 7 (r + w + x),组的权限为 5 (r + x),其他人的权限为 4 (r)。这意味着,同一权限级别的数字表示法为 754。
WordPress 中的文件权限
在 WordPress 和一般网站的上下文中,文件权限使用与上述相同的原则。但您也需要注意一些差异。
- 文件所有权 – 在 WordPress 环境中,文件和目录通常由 Web 服务器进程(Apache 为 www-data,NGINX 为 nginx)而不是个人用户拥有。
- 插件和主题注意事项 – WordPress 插件可能需要对特定文件和目录进行读写访问才能正常运行。插件通常使用文件系统 API 与您的服务器安全地交互。
- 一些组已经内置 – 如前所述,WordPress 使用管理员、编辑和贡献者等内置角色。贡献者只能创建和编辑自己的文章,而不能创建和编辑其他人。从功能上讲,这意味着他们对所有帖子/页面文件具有读取权限,对他们创建的帖子/页面文件具有读/写权限。
- 留意共享托管环境 – 共享托管可能会出现文件权限问题。某些文件可能会被锁定,以防止多网站服务器上的其他用户访问敏感数据。您可能会发现某些文件设置为只读,即使对于管理员也是如此,需要 root 访问权限才能编辑。
文件权限不正确的危险
现在问题来了,为什么这很重要?你为什么要关心这个听起来非常技术性的话题?
原因是文件权限构成了网站安全的基础。对它们过于松散会以以下方式严重危及您的网站:
- 黑客攻击和恶意软件 – 不当的权限可能会让黑客溜走并基本上为所欲为。这包括安装恶意软件、查看私人文件或删除您的网站。
- 网站接管 – 如果有人由于权限不严而设法闯入您的网站,他们可以轻松地获得您帐户的所有权并将您锁定在您自己的网站之外。
- 数据泄露 – 权限不当可能会导致访问者访问私人文件,包括图像、未完成/测试/草稿页面和机密数据。
- 文件访问不当 – 某些权限可能允许用户更改您网站上的现有文件,或上传和执行恶意软件脚本等破坏性文件。
但这不仅仅是访问太多的问题,也可能太少。使您的权限过于严格将不可避免地阻止 WordPress 正常运行,从而破坏您的网站。文件权限太多和不足之间只有一条细线。
WordPress 文件权限最佳实践
在开始梳理网站文件以查找任何不合适的内容之前,了解文件权限的良好做法是什么样子非常重要 WordPress。那么,现在让我们回顾一下。
除非必要,否则不要更改权限
首先要记住的是,在大多数情况下,您不需要更改文件权限。如果您使用的是良好的托管服务提供商并正确安装了 WordPress,则网站的这一部分应该以正确的方式自动设置。
因此,除非您遇到特定的 WordPress 错误,否则不要触摸您的文件权限,尤其是当您不知道自己在做什么时。弄乱您不理解的设置弊大于利。
由于托管的性质,某些网络主机,尤其是共享主机,可能会使某些权限更具限制性。如果您遇到权限不足的问题,最好联系您的主机并寻求帮助。
建议的权限级别
如果您确实遇到问题并且不确定您的文件和目录应该使用哪些权限设置,则在官方 WordPress 文档中提供了相关信息。
以下是各种文件和文件夹的一般推荐权限的简要概述。但是,请记住,这因您的设置而异。
- 目录 – 755 (rwer-er-e)。为了使您的服务器正常工作,大多数目录都需要执行权限。
- 文件 + .htaccess – 644 (rw-r–r–)。这允许用户查看您网站上的公共文件,而无需编辑它们。大多数文件只能由您的用户帐户写入。
- wp-config.php – 各不相同;400 (r—–)、440 (r–r—–)、600 (rw——-) 或 640 (rw-r—–) 可能合适,具体取决于站点设置和安全需求。最重要的一步是防止随机访问者访问这个重要文件。
不要太严格
找到文件权限的适当平衡可能会带来压力,但您不能只将它们全部设置为“000”。虽然您的网站将非常安全,但同时,没有人能够使用它。
您网站上的功能,从您的 Web 服务器到插件再到 WordPress 本身,自然需要对特定文件和目录进行一些访问才能继续正常运行。即使是不应被授予对大多数文件的写入或执行访问权限的访问者,也至少需要能够“读取”您网站面向公众的部分。
限制文件权限可能很诱人,但您可能会造成一些严重的损害。当插件和函数停止工作时,您的仪表板上会出现大量警告。如果您切断了 WordPress 对核心文件的访问,您甚至可能导致您的网站遇到可怕的白屏死机。
使用最小权限原则
最小权限原则规定,用户(包括您的 Web 服务器和 WordPress 本身)应获得与完成工作所需的访问权限一样多的访问权限。
授予“根”所有权意味着授予对整个系统的完全控制权和访问权限,这通常是过度的。如果黑客以 root 权限访问 WordPress 网站,他们可能会对整个服务器造成严重破坏。
相反,大多数文件的所有者通常应该是您的 Web 服务器用户,通常是 nginx (NGINX) 或 www-data (Apache),它们都只具有正常运行所需的权限。这限制了不良行为者可能造成的损害。
在某些情况下,根所有权是必要的,因此如果您不了解自己在做什么,则不应更改权限。同时,看到它可能会引起关注——尤其是当您注意到文件或目录所有者突然更改时。
在可能创建文件或分配所有者的任何其他情况下,请遵循最小权限原则。不要授予过多的读取、写入或执行权限。您在服务器上创建的大多数文件不需要 root 所有权。
备份您的网站
在触摸网站上的任何敏感设置之前,最佳做法是备份您的网站和数据库文件。
修改文件权限时很容易出错,因此这提供了一个安全网。如果您不小心破坏了网站上的某些内容,您可以回滚您的服务器。
切勿使用 777
将任何文件或目录权限设置为 777 基本上是让世界上的每个人都可以自由控制您的网站。
这使任何随机访问者能够查看文件、编辑和删除文件、上传潜在的恶意程序以及执行脚本。显然,这是一个糟糕的主意。
虽然只授予一个文件的完全权限似乎是良性的,但精明的黑客可以轻松地使用它来执行恶意脚本或升级他们的权限并深入您的服务器。所以不要这样做。
如何更改 WordPress 文件权限
现在我们已经介绍了文件权限的最佳实践,让我们了解如何在各种服务器设置中更改这些权限。
cPanel 或仪表板
大多数网络主机都提供对 cPanel 或某些自定义仪表板的访问。您需要检查托管服务提供商的文档,但在 cPanel 中,您通常可以转到文件管理器,然后右键单击任何文件夹或文件,然后单击更改权限。
FTP/SFTP
您还可以使用 FTP/SFTP 访问权限更改权限。首先安装 FileZilla 等 FTP 客户端并登录您的服务器。右键单击任何文件或文件夹,然后选择文件权限…
然后,输入数值或勾选要设置的框。
SSH/命令行
对于此步骤,请使用命令行访问工具。这通常由您的网络主机提供。您需要使用该命令导航到要更改的任何文件或子目录的目录。例如:cd
cd public_html/example_folder然后,您可以使用命令修改此文件夹中文件或子目录的权限。chmod
chmod 755 example.html您还可以一次递归地设置整个目录的权限,但这样做时要小心。
chmod -R 755 example_subfolder使用插件
一些安全插件将允许您从仪表板轻松切换文件权限。一个例子是一体化安全 (AIOS)。这样,您就可以一键更改文件权限、识别不安全的文件权限并修复问题。
WordPress 中的常见文件权限错误
最后,让我们来看看 WordPress 中的一些常见文件权限错误以及导致它们的原因。
- 403 禁止(您无权访问此服务器)– 如果您在缺乏读取权限时尝试访问文件,您将看到此错误。例如,如果访问者尝试访问未发表的文章或页面,他们就会遇到这种情况。如果您以管理员身份看到此权限,则可能需要检查您的权限。
- 缺少所需的文件权限 – 某些插件可能会抛出此错误。如果您的网站文件不属于 nginx 或 www-data,则可能会导致这种情况。
- 您需要先使此文件可写,然后才能保存更改 – 如果您缺乏对某些文件的写入权限,您会在 WordPress 编辑器中看到它。
- 权限被拒绝。错误代码:3 – 尝试修改文件或将文件上传到您的网站时会出现此错误。原因各不相同,包括网站文件由 root 而不是 nginx 或 www-data 拥有、需要 root 访问权限或只是缺乏读/写权限。
- 安装失败:无法创建目录 – 如果您在安装或更新主题和插件时看到此信息,则表示 WordPress 对其尝试使用的目录没有写入权限。
更改 WordPress 文件权限时请谨慎作
文件权限是维护网站安全的非常重要的一部分,因此您不应该轻易更改它们。一个小的调整可能会破坏您的网站,或者让黑客更容易溜走。
但最好了解这些权限是如何工作的,尤其是在错误开始出现时。现在您知道该做什么——尤其是不该做什么——如果您需要更改 WordPress 文件权限。
