哪个wordpress应该是必须写的？

Question

最近，由于插件中的漏洞，我遇到了一些安全问题。由于这个原因，我想有一个限制性的许可方案，除非我希望安装插件或更新wordpress。

当一个WordPress只运行和提供内容时，即它没有被更新，或者插件或主题正在安装，哪些文件和目录需要写？它只是wp-content/uploads和wp-content/cache文件夹吗？

Answer 1

这个问题没有明确的答案，但我想和大家分享我的两分钱。

实际上，许多插件都会写入./ write /中的自定义文件夹。只要检查一个客户端站点，我就会在其中看到6个自定义文件夹(例如来自安全性、备份、缓存插件等)。

有些主题和插件甚至可能会期望它们能够在自己的文件夹(./ write / themes /foo/或./write/ plugins /bar/)中编写文件，因此限制./write/中的文件访问通常会导致问题。

根据项目的不同，我通常将以下内容混合在一起：

1. 让wp-config.php在webroot下面一个级别。WordPress支持这一点，我认为这是避免安全凭据意外泄漏的好做法。

/var/www/
        |- wp-config.php
/var/www/html/
             |- index.php
             |- wp-activate.php
             ...

1. 使wp-config.php只读。这样，您就可以避免读取文件、删除限制性元素并覆盖它的黑客行为。
2. 设置DISALLOW_FILE_EDIT (禁止通过wp中的编辑器进行编辑)和DISALLOW_FILE_MODS (不允许任何插件/主题/核心更新)。
3. 定期扫描您的完整安装并与原始文件进行比较。(大多数安全插件都有这方面的特性，请注意，这可能是资源密集型的，因此您可能希望在夜间自动执行。)
4. 强制所有后端用户使用安全密码，如果可能的话，甚至强制使用2FA。(将其强加给管理员是一个开始，但也存在“权限升级”的情况，所以对所有具有后端访问权限的用户强制使用它通常是最好的。)
5. 使用像根基岩这样的高级设置。如果您通过composer管理您的依赖关系(核心、插件、主题)，那么设置一个新站点就容易多了。基岩还能更好地区分核心文件和自定义文件，因此您可以使用更严格的文件访问。
6. 内部提供相关服务。例如，您的DB和Redis不需要公开，而只能由WP本身访问。