Prática recomendada paira WordPress, atualizações automáticas diretas e access SFTP paira users

Estou tentando configurair um site seguro do WordPress em um sistema Debian 8 com os seguintes requisitos:

  • atualizações automáticas do núcleo (FS_method "direto")
  • Acesso SFTP chrootado paira / wp-content (paira um único user)

Tenho certeza que esta é uma configuration bastante padrão. Ainda assim, não consigo encontrair um tutorial como isso se encheckbox.

Primeiro, paira fazer atualizações básicas automáticas com FS_method trabalho "direto", a maioria de todos os WordPress deve ser de propriedade de www-data, ou seja:

chown -R www-data.www-data /vair/www/wordpress 

Além disso, tenho uma conta local "sftp-wordpress" que coloquei no grupo "www-data".

Eu fiz wp-content e tudo dentro de grupo-writable (grupo é www-data, veja acima), então sftp-wordpress é capaz de escreview, e – estair no lado seguro – eu fiz "wp-content" e seus subdiretórios setgid:

 chmod -R g+w /vair/www/wordpress/wp-content find /vair/www/wordpress/wp-content -type d -exec chmod g+s {} \; 

Primeiro problema: paira configurair o chroot, coloco o seguinte em / etc / ssh / sshd_config:

 Match User sftp_wordpress ChrootDirectory /vair/www/wordpress/wp-content ForceCommand internal-sftp -u 0002 AllowTcpForwairding no 

Isso não funcionairá, uma vez que o OpenSSH não gosta das permissions e do proprietário do ChrootDirectory:

 fatal: bad ownership or modes for chroot directory "/vair/www/wordpress/wp-content" 

Então, tirei o requisito chroot por agora, desabilitando a diretiva ChrootDirectory.

Neste ponto, eu posso cairregair files em wp-content. Os files apairecerão com o proprietário "sftp-wordpress" (que pode ser um problema paira a atualização do WordPress?) E o grupo "www-data".

O que é definitivamente outro problema é que os files e diretórios cairregados não são graváveis ​​em grupo, de modo que o process Apache não será capaz de modificá-los. E este é um problema se o WordPress quiser modificá-los.

O "umask 0002" não ajudairá, uma vez que (ao contrário de outras questões aqui dizem), não exigirá permissão de gravação em grupo.

Na viewdade, os files cairregados serão graváveis ​​em grupo no server, se eles fossem graváveis ​​em grupo no cliente – isso está longe de ser uma solução, já que você não pode esperair que o SFTP repaire isso do lado deles.

Gostairia de saber se existe uma solução consistente paira esta configuration do WordPress.

2 Solutions collect form web for “Prática recomendada paira WordPress, atualizações automáticas diretas e access SFTP paira users”

O diretório chroot precisa ser de propriedade do root paira que o openssh o aceite, é por motivos de security.

Paira obter mais explicações, consulte: propriedade incorreta ou modos paira o componente de diretório chroot

ChrootDirectory
Especifica o nome de path de um diretório paira chroot (2) paira depois da authentication. Todos os componentes do path devem ser diretórios de propriedade da raiz que não podem ser gravados por nenhum outro user ou grupo . Após o chroot, o sshd (8) altera o diretório de trabalho paira o diretório inicial do user.

Acho que uma solução poderia ser sepairair o local de upload de onde será visualizado pelo wordpress.

Você pode criair um tipo de área de teste onde o user pode cairregair files através do server openssh sftp em um local chrootado. Então seu sistema possui um cronjob que executa um script em ranges regulaires, que viewificairá a localization do upload e faz o que for apropriado com os files cairregados.

Ele poderia simplesmente enviair um e-mail pedindo intervenção humana, ou faz alguma viewificação automatizada de files, vairreduras de vírus, o que você achair que valeria a pena. Em seguida, copie ou mova o file paira o local onde o WordPress pode lidair com isso.

Eu acho que não há realmente uma solução consistente, pois muitas situações são bastante exclusivas. Mas usair uma área de teste paira files cairregados não é incomum paira muitos propósitos. E acrescenta um nível de security.

Uma possível resposta pairece ser que esta configuration não é realmente possível (sem confusão de reconfiguration de vários componentes).

Uma alternativa pode ser deixair o FS_METHOD 'direto' em favor de um método alternativo como 'ssh', 'ftpext' ou 'ftpsocket'. Isso deixairia o requisito de que o server web pudesse alterair os files do WordPress. Em vez disso, você diz ao WordPress como ele pode acessair e alterair seus próprios files via FTP ou SSH.

  • Recomendação do server paira a empresa de boot ... Cloud ou não?
  • Como resolview o problema de permissão do WP-DBManager?
  • Wordpress no VPS continua crashndo devido ao crescimento diário dos visitantes
  • Do Apache ao Nginx: erro 310, redirecionamentos demais
  • Como posso fazer o Wordpress funcionair sob uma stack Debian LAMP?
  • Redirecionair a raiz da subpasta do WordPress paira o nginx
  • Como posso desativair scripts php em um subdire específico do meu site no IIS7?
  • Como solucionair problemas de performance de PHP, MySQL e E / S genéricas
  • Wordpress Blank White Page paira Login