Morfitronik Security & Privacy

WordPress: Ograniczone prawa dostępu

2015-06-06 09:41:24
Morfik

Mając już zainstalowanego i wstępnie skonfigurowanego WordPress’a, przydałoby się zadbać prawa dostępu do jego plików jak i również ograniczyć nieco dostęp do samej bazy danych, tak by możliwie najmniejsze uprawnienia zostały nadane, co poprawi znacznie bezpieczeństwo naszej witryny. Jeśli opanowaliśmy już operowanie na instalacji WordPress’a przy pomocy skryptu wp-cli , to możemy bez wahania dokręcić śrubę naszemu serwisowi. Jeśli nie zaznajomiliśmy się jeszcze z powyższym narzędziem, to ograniczenie praw może spowodować problemy z aktualizacją rdzennych plików WordPress’a, jak i instalacją/konfiguracją jego pluginów czy motywów.

Prawa do plików i katalogów

Jeśli instalowaliśmy, aktualizowaliśmy rdzenny kod oraz dodatki bez większych problemów z panelu administracyjnego naszej strony, oznacza to prawdopodobnie, że właścicielem plików jest użytkownik, z którego prawami działa serwer www, na debianie to jest www-data. Pierwsza rzecz, o którą musimy się zatroszczyć to przepisanie praw na innego użytkownika. Do przeprowadzenia paru poniższych czynności będą nam potrzebne prawa administratora systemu i jeśli takimi dysponujemy to przechodzimy do katalogu gdzie mamy pliki WordPress’a i wpisujemy w terminal poniższe polecenia:

$ cd /apache/
# chown -R morfik:www-data ./blog

Grupa z kolei musi wskazywać na tę serwera www. Następnie upewniamy się, że każdy plik ma odpowiednie uprawnienia korzystając z tych dwóch poniższych linijek:

$ find ./blog -type d -exec chmod 750 {} \;
$ find ./blog -type f -exec chmod 640 {} \;

Nadadzą one wszystkim plikom prawa zapisu/odczytu dla właściciela oraz odczytu dla grupy, czyli serwera. Podobnie z katalogami, z tym, że tutaj również trzeba uwzględnić możliwość przejścia do katalogu.

W skład instalacji WordPress’a wchodzi szereg plików i katalogów i nie wszystkie z nich będą posiadać takie same uprawnienia. Dlatego też musimy nieco dostosować pozostałe pliki/katalogi ręcznie.

Wszystkie pliki zlokalizowane w głównym katalogu WordPress’a ( / ) mają być zapisywane jedynie przez właściciela. Natomiast muszą być także odczytywane przez serwer (grupę). Wyjątkami są dwa pliki: .htaccess oraz wp-config.php . Jeśli chcemy aby wtyczki WordPress’a miały możliwość dopisywania konfiguracji do .htaccess oraz wp-config.php, to musimy również nadać prawa zapisu dla tych plików grupie. Ja jednak uważam, że po zakończeniu zabawy z instalacją WordPress’a, powinniśmy nadać prawa 440 dla obu tych plików:

$ chmod 440 .htaccess wp-config.php

Dalej w głównym katalogu mamy 3 foldery: wp-content/ , wp-admin/ oraz wp-include/ . Do plików znajdujących się w dwóch ostatnich katalogach, prawa zapisu ma mieć tylko właściciel. Jeśli chodzi zaś o pliki w wp-content/ , to w nim mamy kilka dodatkowych podkatalogów, które będą mieć inne prawa w zależności od tego co tak naprawdę chcemy osiągnąć. Przede wszystkim mamy tam katalog themes/ i prawa zapisu do niego ma mieć tylko właściciel, z tym, że w takim przypadku stracimy możliwość edycji plików motywów przy pomocy edytora w panelu administracyjnym. Choć nie powinniśmy się tym przejmować, bo ze względów bezpieczeństwa i tak powinniśmy mieć wyłączony ten edytor. Jeśli chodzi o katalog plugins/ , to również i w tym przypadku prawa do zapisu musi posiadać jedynie właściciel. Trzeba jednak mieć na uwadze, że nie zainstalujemy/zaktualizujemy już pluginów z poziomu panelu admina, przy najmniej nie z taką prostotą jak dotychczas:

Po zmianie praw będziemy zmuszeni albo do korzystania z ftp/ftps, tak jak to widać wyżęj, albo z wp-cli.

Jeśli chodzi o katalog uploads/ , prawa zapisu trzeba nadać również dla serwera (grupy), bo inaczej nie będziemy w stanie wgrywać plików, które będziemy załączać w publikowanych postach. Zatem dla pewności, wydajmy poniższe polecenia:

$ chmod -R g-w ./wp-content/plugins
$ chmod -R g-w ./wp-content/themes
$ chmod -R g+w ./wp-content/uploads

Jeśli posiadamy jakieś dodatkowe katalogi w wp-content/ , trzeba ustalić jakich praw one wymagają i jakie dodatki je tworzą. Przykładowo, jeśli mamy plugin, co odpowiada za cache stron www, to prawdopodobnie stworzy on katalog wp-content/cache/ i on musi być zapisywalny przez serwer, bo inaczej generowane pliki nie będą tam umieszczane. Podobnie trzeba postąpić w przypadku pliku logu zapisywanego w trybie debugowania.

Prawa do bazy danych

Pozostały nam jeszcze do omówienia przywileje użytkownika bazy danych. Przede wszystkim, nie nadajemy wszystkich praw użytkownikowi, który zdefiniowany jest w wp-config.php . WordPress’a bez problemu potrafi operować na bardziej restrykcyjnych prawach, w których skład wchodzą: SELECT , INSERT , UPDATE , DELETE . I na dobrą sprawę nie potrzeba niczego więcej by zamieszczać nowe posty na blogu, dodawać użytkowników, wysyłać załączniki, dodawać komentarze pod wpisami, czy instalować motywy/pluginy.

Jeśli ktoś woli tekstowego klienta, to poniżej są odpowiednie linijki:

revoke all privileges on 'wp-blog'.* from 'wp-user'@'localhost';
grant SELECT,INSERT,UPDATE,DELETE ON 'wp-blog'.* TO 'wp-user'@'localhost';
FLUSH PRIVILEGES;

Sprawdzamy, czy aby wszystkie prawa zostały nadane pomyślnie:

SHOW GRANTS FOR 'wp-user'@'localhost';
+----------------------------------------------------------------------------------+
| Grants for wp-user@localhost                                                     |
+----------------------------------------------------------------------------------+
| GRANT SELECT, INSERT, UPDATE, DELETE ON 'wp-blog'.* TO 'wp-user'@'localhost'     |
+----------------------------------------------------------------------------------+

Z tym, że niektóre dodatki, czy nawet aktualizacja samego WordPress’a, mogą wymagać zmiany struktury bazy danych, tj. dodawać/usuwać czy zmieniać właściwości tabel. Najlepszym wyjściem w tym przypadku jest nadanie odpowiednich praw przed instalacją/aktualizacją wtyczek/WordPress’a, po czym te prawa odebrać.


Komentarze

Zawartość wpisu