Dies hängt tatsächlich von den Plugins ab, die Sie verwenden möchten, da einige Plugins das Stammdokument von WordPress ändern. Aber im Allgemeinen empfehle ich so etwas für das WordPress-Verzeichnis.
Dadurch wird das "root" (oder was auch immer der Benutzer, den Sie verwenden) als Benutzer in jeder einzelnen Datei / jedem einzelnen Ordner zugewiesen. R bedeutet rekursiv, sodass es nicht beim "html" -Ordner endet. Wenn Sie R nicht verwendet haben, gilt dies nur für das Verzeichnis "html".
sudo chown -R root:www-data /var/www/html
Dadurch wird der Eigentümer / die Gruppe von "wp-content" auf "www-data" gesetzt, sodass der Webserver die Plugins über das Admin-Panel installieren kann.
chown -R www-data:www-data /var/www/html/wp-content
Dadurch wird die Berechtigung jeder einzelnen Datei im Ordner "html" (einschließlich Dateien in Unterverzeichnissen) auf 644 festgelegt, sodass externe Personen keine Datei ausführen, keine Datei ändern können, keine Gruppe eine Datei ausführen kann, keine Datei ändern kann und nur Der Benutzer darf Dateien ändern / lesen, aber selbst der Benutzer kann keine Datei ausführen. Dies ist wichtig, da es jede Art von Ausführung im "HTML" -Ordner verhindert, auch da der Besitzer des HTML-Ordners und alle anderen Ordner außer dem Ordner "wp-content" "root" (oder Ihr Benutzer) sind, können die www-Daten ' t Ändern Sie keine Dateien außerhalb des Ordners wp-content. Selbst wenn auf dem Webserver eine Sicherheitsanfälligkeit vorliegt und jemand unbefugt auf die Site zugreift, kann er die Haupt-Site nur mit den Plugins löschen.
sudo find /var/www/html -type f -exec chmod 644 {} +
Dies beschränkt die Berechtigung zum Zugriff auf "wp-config.php" auf Benutzer / Gruppen mit rw-r ----- diesen Berechtigungen.
chmod 640 /var/www/html/wp-config.php
Wenn sich ein Plugin oder Update beschwert, dass es nicht aktualisiert werden kann, greifen Sie auf SSH zu und verwenden Sie diesen Befehl. Erteilen Sie "www-data" (Webserver) die temporäre Berechtigung zum Aktualisieren / Installieren über das Admin-Panel und kehren Sie dann zurück zurück zum "root" oder Ihrem Benutzer, sobald es abgeschlossen ist.
chown -R www-data /var/www/html
Und in Nginx (dasselbe Verfahren für den Apache), um den Ordner wp-admin vor unbefugtem Zugriff und Prüfen zu schützen. apache2-utils ist erforderlich, um das Kennwort zu verschlüsseln, auch wenn Sie nginx installiert haben. Lassen Sie c weg, wenn Sie weitere Benutzer zur gleichen Datei hinzufügen möchten.
sudo apt-get install apache2-utils
sudo htpasswd -c /etc/nginx/.htpasswd userName
Besuchen Sie jetzt diesen Ort
/etc/nginx/sites-available/
Verwenden Sie diese Codes, um den Ordner "wp-admin" mit einem Kennwort zu schützen. Jetzt werden Sie nach dem Kennwort / Benutzernamen gefragt, ob Sie versucht haben, auf den Ordner "wp-admin" zuzugreifen. Beachten Sie, dass Sie hier die Datei ".htpasswd" verwenden, die das verschlüsselte Passwort enthält.
location ^~ /wp-admin {
auth_basic "Restricted";
auth_basic_user_file /etc/nginx/.htpasswd;
index index.php index.html index.htm;
}
Starten Sie nun den Nginx neu.
sudo /etc/init.d/nginx restart