Какие права доступа к файлам необходимо установить

Обновлено: 01.07.2024

В компьютерных файловых системах различные файлы и каталоги имеют разрешения, определяющие, кто и что может их читать, записывать, изменять и получать к ним доступ. Это важно, потому что WordPress может потребоваться доступ для записи файлов в вашем каталоге wp-content для включения определенных функций.

Режимы разрешений

Режим разрешений вычисляется путем сложения следующих значений для пользователя, файловой группы и всех остальных. На схеме показано, как это сделать.

  • Чтение 4 — разрешено чтение файлов
  • Запись 2 — разрешено записывать/изменять файлы
  • eXecute1 — чтение/запись/удаление/изменение/каталог

Примеры разрешений

< td>-r–rwxrwx
РежимStr PermsОбъяснение
0477владелец имеет только чтение (4), другие и группа имеют rwx (7)
0677-rw-rwxrwxвладелец имеет только rw(6), другие и группа имеют rwx (7)
0444 -r–r–r–все только для чтения (4)
0666-rw-rw-rw- все имеют только rw (6)
0400-r——владелец имеет только чтение(4), группа и другие пользователи не имеют разрешения(0)
0600-rw——-владелец имеет только rw, группа и другие не имеют разрешения
0470-r–rwx—владелец имеет только чтение, группа имеет rwx, у других нет разрешений
0407-r—rwxвладелец имеет только чтение, у других есть rwx, у группы нет разрешений
0670-rw-rwx—у владельца есть только права доступа, у группы есть разрешения rwx, у остальных нет разрешение
0607-rw—-rwxвладелец имеет только право чтения, gr oup не имеет разрешения, а у других есть rwx

Схема разрешений для WordPress

Разрешения будут различаться от хоста к хосту, поэтому в этом руководстве приводятся только общие принципы. Он не может охватить все случаи. Это руководство относится к серверам со стандартной настройкой (обратите внимание, что для виртуального хостинга с использованием методов «suexec» см. ниже).

Как правило, все файлы должны принадлежать вашей учетной записи пользователя (ftp) на вашем веб-сервере и должны быть доступны для записи этой учетной записи. На общих хостах файлы никогда не должны принадлежать самому процессу веб-сервера (иногда это www, apache или никнейм-пользователь).

Любой файл, которому требуется доступ для записи из WordPress, должен принадлежать или принадлежать группе учетной записи пользователя, используемой WordPress (которая может отличаться от учетной записи сервера). Например, у вас может быть учетная запись пользователя, которая позволяет передавать файлы по FTP на ваш сервер и обратно, но сам ваш сервер может работать с использованием отдельного пользователя в отдельной группе пользователей, такой как dhapache или none. Если WordPress работает как учетная запись FTP, эта учетная запись должна иметь права на запись, т. е. быть владельцем файлов или принадлежать к группе с правами на запись. В последнем случае это будет означать, что разрешения установлены более либерально, чем по умолчанию (например, 775 вместо 755 для папок и 664 вместо 644).

Разрешения для файлов и папок WordPress должны быть одинаковыми для большинства пользователей, в зависимости от типа выполненной вами установки и настроек umask вашей системной среды во время установки.

ПРИМЕЧАНИЕ. Если опытный пользователь установил для вас WordPress, вам, скорее всего, не потребуется изменять права доступа к файлам. Если у вас не возникло проблем с ошибками доступа или вы не хотите, вам, вероятно, не следует связываться с этим.

ПРИМЕЧАНИЕ. Если вы установили WordPress самостоятельно, вам, вероятно, НЕОБХОДИМО изменить права доступа к файлам. Некоторые файлы и каталоги должны быть «укреплены» более строгими разрешениями, в частности, файл wp-config.php. Этот файл изначально создается с правами доступа 644, и оставлять его таким опасно. См. раздел «Безопасность и усиление».

Если вы хотите использовать встроенный редактор тем, все файлы должны быть доступны для групповой записи. Попробуйте использовать его перед изменением прав доступа к файлам, это должно сработать. (Это может быть правдой, если разные пользователи загрузили пакет WordPress и плагин или тему. Это не будет проблемой для плагина и тем, установленных через администратора. При загрузке файлов с разными пользователями ftp необходима группа с возможностью записи. убедитесь, что группа является эксклюзивной для пользователей, которым вы доверяете... пользователь apache не должен входить в группу и не должен владеть файлами.)

Некоторые плагины требуют, чтобы папка /wp-content/ была доступна для записи, но в таких случаях они сообщат вам об этом во время установки. В некоторых случаях для этого может потребоваться назначение разрешений 755. То же самое верно для /wp-content/cache/ и, возможно, /wp-content/uploads/ (если вы используете MultiSite, вам также может понадобиться сделать это для /wp-content/blogs.dir/)

Дополнительные каталоги в /wp-content/ должны быть задокументированы любым подключаемым модулем/темой, для которых они требуются. Разрешения будут различаться.

Общий хостинг с suexec

Вышеизложенное может не относиться к системам общего хостинга, использующим подход «suexec» для запуска двоичных файлов PHP.Это популярный подход, используемый многими веб-хостами. Для этих систем процесс php выполняется как владелец самих php-файлов, что позволяет упростить настройку и создать более безопасную среду для конкретного случая виртуального хостинга.

Примечание: методы suexec НИКОГДА не следует использовать в конфигурации сервера с одним сайтом, они более безопасны только для конкретного случая виртуального хостинга.

В такой конфигурации suexec правильная схема разрешений проста для понимания.

В этом конкретном типе настройки WordPress обнаружит, что он может напрямую создавать файлы с правильным владельцем, и поэтому не будет запрашивать учетные данные FTP при обновлении или установке плагинов.

    , работает через php-cgi, в настоящее время не поддерживается с 2013 г., модуль apache, в настоящее время не поддерживается с 2013 г., модуль apache. , модуль Apache и сервер FastCGI с более обширной конфигурацией. , альтернативный сервер FastCGI с общим OPCode для использования с Apache и Nginx.

Использование FTP-клиента

FTP-программы («клиенты») позволяют вам устанавливать разрешения для файлов и каталогов на удаленном хосте. Эту функцию часто называют chmod или установка разрешений в меню программы.

При установке WordPress вы, вероятно, захотите изменить два файла: индексную страницу и css, управляющий макетом. Вот как изменить index.php — процесс одинаков для любого файла.

На приведенном ниже снимке экрана обратите внимание на последний столбец, в котором показаны разрешения. Это выглядит немного запутанно, но пока просто обратите внимание на последовательность букв.

Нажмите правой кнопкой мыши на файл index.php и выберите «Разрешения на доступ к файлам».
Появится всплывающее окно.

Изменение прав доступа к файлам

Не беспокойтесь о флажках. Просто удалите «Числовое значение:» и введите нужное число — в данном случае это 666. Затем нажмите «ОК».

Разрешения изменены.

Теперь вы можете видеть, что права доступа к файлам были изменены.

Показать скрытые файлы

По умолчанию большинство FTP-клиентов, включая FileZilla, не отображают скрытые файлы, начинающиеся с точки (.). Но в какой-то момент вам может понадобиться увидеть ваши скрытые файлы, чтобы вы могли изменить разрешения для этого файла. Например, вам может потребоваться сделать файл .htaccess, управляющий постоянными ссылками, доступным для записи.

Чтобы отобразить скрытые файлы в FileZilla, необходимо выбрать «Просмотр» в верхнем меню, затем выбрать «Показать скрытые файлы». Отображение файлов на экране обновится, и все ранее скрытые файлы должны появиться в поле зрения.

Чтобы FileZilla всегда отображала скрытые файлы, в разделе «Правка», «Настройки», «Список удаленных файлов» установите флажок «Всегда показывать скрытые файлы».

В последней версии Filezilla параметр «Показать скрытые файлы» был перемещен на вкладку «Сервер». Выберите «Принудительно показывать скрытые файлы».

Использование командной строки

Если у вас есть доступ через shell/SSH к вашей учетной записи хостинга, вы можете использовать chmod для изменения прав доступа к файлам, что является предпочтительным методом для опытных пользователей. Прежде чем вы начнете использовать chmod, рекомендуется прочитать несколько руководств, чтобы убедиться, что вы понимаете, чего вы можете с его помощью достичь. Установка неверных разрешений может привести к отключению вашего сайта, поэтому не торопитесь.

Вы можете сделать все файлы в вашем каталоге wp-content доступными для записи в два этапа, но прежде чем сделать каждый отдельный файл и папку доступными для записи, вы должны сначала попробовать более безопасные альтернативы, такие как изменение только каталога. Сначала попробуйте каждую из этих команд, и если они не сработают, используйте рекурсию, что сделает даже файлы изображений ваших тем доступными для записи. Замените DIR на папку, в которую вы хотите записать

Если они не позволяют вам писать, попробуйте их снова по порядку, за исключением того, что на этот раз замените -v на -R, что рекурсивно изменит каждый файл, расположенный в папке. Если после этого вы по-прежнему не можете писать, попробуйте 777.

О Chmod

chmod – это команда Unix, которая означает "изменить режим" для файла. Флаг -R означает применение изменения к каждому файлу и каталогу внутри wp-content. 766 — это режим, на который мы меняем каталог, это означает, что каталог доступен для чтения и записи WordPress и любым другим пользователям в вашей системе. Наконец, у нас есть имя каталога, который мы собираемся изменить, wp-content. Если 766 не работает, вы можете попробовать 777, который делает все файлы и папки доступными для чтения, записи и выполнения всеми пользователями, группами и процессами.

Если вы используете постоянные ссылки, вам также следует изменить разрешения .htaccess, чтобы убедиться, что WordPress может обновлять его при изменении настроек, таких как добавление новой страницы, перенаправление, категория и т. д., что требует обновления файла .htaccess при mod_rewrite. Используются постоянные ссылки.

  1. Перейдите в главный каталог WordPress
  2. Введите chmod -v 666 .htaccess

ПРИМЕЧАНИЕ. С точки зрения безопасности даже небольшой уровень защиты предпочтительнее, чем открытый для записи каталог.Начните с низких разрешающих настроек, таких как 744, увеличивая их до тех пор, пока это не сработает. Используйте 777 только в случае необходимости и желательно только на время.

Опасности 777

Суть этой проблемы с разрешениями заключается в том, как настроен ваш сервер. Имя пользователя, которое вы используете для подключения к серверу по FTP или SSH, скорее всего, не является именем пользователя, используемым самим серверным приложением для обслуживания страниц.

Часто сервер Apache «принадлежит» учетным записям пользователей www-data, dhapache или Nobody. Эти учетные записи имеют ограниченный доступ к файлам на сервере по очень веской причине. Установив для ваших личных файлов и папок, принадлежащих вашей учетной записи пользователя, доступ для записи во всем мире, вы буквально делаете их доступными для записи во всем мире. Теперь пользователи www-data, dhapache и none, которые запускают ваш сервер, обслуживают страницы, запускают интерпретаторы php и т. д., будут иметь полный доступ к файлам вашей учетной записи пользователя.

Это дает возможность кому-то получить доступ к вашим файлам путем захвата практически любого процесса на вашем сервере, включая любых других пользователей на вашем компьютере. Поэтому вам следует тщательно подумать об изменении разрешений на вашем компьютере. Я никогда не встречал ничего, что требовало бы больше, чем 767, поэтому, когда вы видите 777, спросите, зачем это нужно.

Худший результат

Самое худшее, что может произойти в результате использования разрешений 777 для папки или даже файла, это то, что если злоумышленник или организация сможет загрузить вредоносный файл или изменить текущий файл для выполнения кода, у них будет полный контроль над вашим блогом, включая информацию о вашей базе данных и пароль.

Найти обходной путь

Обычно получить расширенные функции впечатляющих плагинов WordPress довольно просто, не подвергая себя риску. Свяжитесь с автором плагина или со службой поддержки вашего сервера и запросите обходной путь.

Поиск безопасных прав доступа к файлам

Файл .htaccess — это один из файлов, к которым обращается владелец процесса, выполняющего сервер. Поэтому, если вы установите слишком низкие разрешения, ваш сервер не сможет получить доступ к файлу и вызовет ошибку. В этом заключается способ найти наиболее безопасные настройки. Начните со слишком строгих ограничений и повышайте разрешения, пока это не сработает.

Пример настроек разрешений

В следующем примере используется специально скомпилированный двоичный файл php-cgi и пользовательский файл php.ini, расположенный в каталоге cgi-bin для выполнения php-скриптов. Чтобы предотвратить прямой доступ к интерпретатору и файлу php.ini в веб-браузере, они защищены файлом .htaccess.

Разрешения по умолчанию (umask 022)

Разрешения .htaccess

644 > 604 — удален бит, разрешающий группе-владельцу права на чтение файла .htaccess. 644 обычно требуется и рекомендуется для файлов .htaccess.

разрешения php.ini

644 > 600 — Раньше все группы и все пользователи, имеющие доступ к серверу, могли получить доступ к php.ini, даже просто запросив его с сайта. Хитрость заключается в том, что, поскольку файл php.ini используется только php.cgi, нам нужно было только убедиться, что процесс php.cgi имеет доступ. php.cgi запускается от имени того же пользователя, которому принадлежат оба файла, поэтому теперь этот единственный пользователь может получить доступ к этому файлу.

разрешения php.cgi

755 > 711 Этот файл представляет собой скомпилированный двоичный файл php-cgi, используемый вместо mod_php или стандартного ванильного php, предоставленного хостинговой компанией. Разрешения по умолчанию для этого файла — 755.

Разрешения php5.cgi

755 > 100 — из-за настройки, в которой учетная запись пользователя является владельцем процесса, выполняющего php cgi, никакому другому пользователю или группе не требуется доступ, поэтому мы отключаем весь доступ, кроме доступа для выполнения. Это интересно, потому что это действительно работает. Вы можете попробовать прочитать файл, записать в файл и т. д., но единственный доступ к этому файлу, который у вас есть, — это запуск php-скриптов. И как владелец файла вы всегда можете снова изменить режимы разрешений.

СЕлинукс

Security Enhanced linux — это модуль безопасности ядра, предоставляющий механизмы, с помощью которых процессы могут быть изолированы в определенных контекстах. Это особенно полезно для ограничения действий, которые веб-страницы могут выполнять в других частях операционной системы. Действия, запрещенные политикой безопасности, часто трудно отличить от обычных ошибок прав доступа к файлам.

selinux обычно устанавливается в дистрибутивах семейства Redhat (например, CentOS, Fedora, Scientific, Amazon и других).

Как определить, что проблема в selinux?

Если вы используете дистрибутив на основе Debian, у вас, вероятно, все в порядке.

Выполните следующую команду (в системах на базе rpm);

и проверить, не является ли это причиной отказа в разрешениях:

Одна из проблем, которую вызывает selinux, заключается в том, что инструменты wp-admin не могут записать файл `.htaccess`, необходимый для перезаписи URL. Есть несколько команд для проверки этого поведения

Вы можете временно отключить selinux, чтобы определить, не является ли он причиной проблем;

Юникс-подобные операционные системы, такие как Linux, работающие на общих высокопроизводительных компьютерах, используют настройки, называемые разрешениями, для определения того, кто может получать доступ и изменять файлы и каталоги, хранящиеся в их файловых системах. Каждому файлу и каталогу в файловой системе назначаются атрибуты «владелец» и «группа».

Чаще всего по умолчанию пользователь, создавший файл или каталог, назначается владельцем этого файла или каталога. При необходимости (например, когда член вашей исследовательской группы увольняется) корневой администратор системы может изменить атрибут пользователя для файлов и каталогов.

Обозначение группы можно использовать для предоставления товарищам по команде и/или соавторам совместного доступа к файлам и каталогам владельца, а также предоставляет удобный способ предоставления доступа нескольким пользователям.

Просмотр прав доступа к файлам

Чтобы просмотреть разрешения для всех файлов в каталоге, используйте команду ls с параметрами -la. Добавьте другие параметры по желанию; справку см. в разделе Список файлов в каталоге в Unix.

Например, если вы введете:

Вы должны увидеть вывод, аналогичный следующему:

В приведенном выше примере вывода первый символ в каждой строке указывает, является ли указанный объект файлом или каталогом. Каталоги обозначаются ( d ); отсутствие буквы d в начале первой строки указывает на то, что myfile.txt является обычным файлом.

Буквы rwx обозначают разные уровни разрешений:

Обратите внимание на несколько экземпляров r , w и x . Они сгруппированы в три набора, которые представляют разные уровни владения:

    Разрешения владельца или пользователя: после слота каталога ( d ) первый набор из трех символов указывает настройки разрешений для владельца (также известного как пользователь).

В примере -rw-r--r-- права владельца равны rw- , что указывает на то, что владелец может читать и писать в файл, но не может выполнять его как программу.

В примере drwxr-xr-x права владельца — rwx , что указывает на то, что владелец может просматривать, изменять и входить в каталог.

В примере -rw-r--r-- члены группы могут только читать файл.

В примере drwxr-xr-x члены группы могут просматривать каталог и входить в него.

Изменить права доступа к файлам

Чтобы изменить права доступа к файлам и каталогам, используйте команду chmod (изменить режим). Владелец файла может изменить разрешения для пользователя ( u ), группы ( g ) или других ( o ), добавив ( + ) или вычтя ( - ) разрешения на чтение, запись и выполнение.

Существует два основных способа использования chmod для изменения прав доступа к файлам: символьный метод и абсолютная форма.

Символический метод

Первый и, возможно, самый простой способ – это относительный (или символический) метод, который позволяет указывать разрешения с помощью однобуквенных сокращений. Команда chmod, использующая этот метод, состоит как минимум из трех частей из следующих списков:

Например, чтобы разрешить всем читать файл в текущем каталоге с именем myfile , в командной строке Unix введите:

A означает "все", + – "добавить", а r – "прочитать".

Это предполагает, что у всех уже есть доступ к каталогу, в котором находится myfile, и к его родительским каталогам; то есть вы должны установить права доступа к каталогу отдельно.

Если вы опустите класс доступа, предполагается, что это все, поэтому вы также можете ввести предыдущий пример как:

Вы также можете указать несколько классов и типов с помощью одной команды. Например, чтобы удалить права на чтение и запись для группы и других пользователей (оставив только себя с правами на чтение и запись) для файла с именем myfile , вы должны ввести:

Вы также можете указать, что разные разрешения добавляются и удаляются в одной и той же команде. Например, чтобы удалить разрешение на запись и добавить выполнение для всех пользователей в файле myfile , введите:

В каждом из этих примеров неуказанные типы доступа остаются неизменными. Предыдущая команда, например, не изменяет никаких существующих настроек, определяющих, могут ли другие пользователи, кроме вас, иметь доступ на чтение ( r ) к myfile . Вы также можете использовать точную форму, чтобы явно указать, что доступ группы и других пользователей установлен только для чтения с оператором =:

Команда chmod также работает с каталогами. Например, чтобы удалить разрешение на запись для других пользователей в подкаталоге с именем mydir, введите:

Чтобы сделать то же самое для текущего каталога, введите:

Чтобы рекурсивно изменить разрешения во всех подкаталогах ниже указанного каталога, добавьте параметр -R; например, чтобы предоставить другим пользователям права на выполнение для каталога ( mydir ) и всех содержащихся в нем подкаталогов, введите:

Будьте осторожны при настройке разрешений для каталогов, особенно для вашего домашнего каталога; вы не хотите заблокировать себя, удалив собственный доступ. Кроме того, у вас должно быть разрешение на выполнение для каталога, чтобы переключиться на него ( cd ).

Абсолютная форма

Другим способом использования команды chmod является абсолютная форма, в которой вы указываете набор из трех чисел, которые вместе определяют все классы и типы доступа. Вместо того, чтобы иметь возможность изменять только определенные атрибуты, вы должны указать полное состояние разрешений файла.

Три номера указаны в порядке: пользователь (или владелец), группа и прочее. Каждое число представляет собой сумму значений, определяющих доступ для чтения, записи и выполнения:

Добавьте номера разрешений, которые вы хотите предоставить; например:

  • Для файла myfile , чтобы предоставить разрешения на чтение, запись и выполнение себе (4+2+1=7), разрешения на чтение и выполнение пользователям в вашей группе (4+0+1=5) и только выполнение разрешение другим (0+0+1=1), вы должны использовать:
  • Чтобы предоставить права на чтение, запись и выполнение в текущем каталоге только себе, вы должны использовать:

Трехзначную последовательность можно представить как сумму атрибутов, выбранных из следующей таблицы:

Класс доступа Оператор Тип доступа
u (пользователь) + (добавить доступ) r (чтение)
g (группа) - (удалить доступ) w (записать)
o (другое)< /td> = (установить точный доступ) x (выполнить)
a (все: u, g и o)
Прочитано владельцем 400
Запись владельцем 200
Выполнение владельцем 100
Чтение по группе 040
Запись по группе 020
Выполнить группой 010
Читать другими 004
Написание другими 002
Выполнение другими 001

Суммируйте все доступы, которые вы хотите разрешить. Например, чтобы предоставить права на запись и выполнение владельцу myfile (200+100=300) и предоставить права на чтение всем (400+040+004=444), вы должны ввести:

777 каждый может делать что угодно (читать, писать или выполнять)
755 вы можете делать что угодно; другие могут только читать и выполнять
711 вы можете делать что угодно; другие могут только выполнять
644 вы можете читать и писать; другие могут только читать

Распространенные проблемы при обмене данными с другими пользователями

Убедитесь, что вы понимаете свои обязанности при обработке, хранении и передаче данных, содержащих защищенную медицинскую информацию (PHI). Дополнительную информацию см. в разделе Ваши юридические обязанности по защите данных, содержащих защищенную медицинскую информацию (PHI), при использовании систем и услуг UITS Research Technologies.

Чтобы поделиться файлом или каталогом, которым вы владеете, с кем-либо, вы можете предоставить этому пользователю права на чтение и выполнение. Однако вы также должны установить те же привилегии для любых родительских каталогов над элементом, которым вы делитесь; если вы этого не сделаете, пользователь не сможет просмотреть и перейти ( cd ) во все родительские каталоги над вашим файлом или каталогом.

Если вы думаете о файловой системе как о физическом месте, то разрешения работают как ключи, которые позволяют вам получать доступ к различным каталогам:

  • Разрешение на чтение ( r ) позволяет пользователям просматривать ( ls ) каталоги.
  • Разрешение на выполнение ( x ) позволяет пользователям перемещаться ( cd ) в каталоги.
  • Разрешение на запись ( w ) позволяет пользователям добавлять и удалять файлы.

Например, вы хотите предоставить кому-либо доступ к /N/u/username/Carbonate/scripts . Представьте путь как физическое пространство:

  • /N – закрытый поселок, в котором вы живете.
  • /u — единица измерения.
  • /username – это ваша квартира.
  • /Карбонат — это комната в вашей квартире.
  • /scripts — это чулан в вашей комнате.

Если кто-то захочет запустить ваши скрипты, вам нужно будет предоставить этому человеку доступ ко всем частям /N/u/username/Carbonate/scripts . Вы можете попробовать сделать это следующим образом:

Однако пользователь не может читать или получать доступ к подкаталогу, если у него также нет разрешений x на родительские каталоги. Другими словами, приведенная выше команда выдает ключ от вашего шкафа, но не от вашей комнаты или квартиры.

Чтобы решить эту проблему, предоставьте разрешения x родительским каталогам, которыми вы управляете:

Это позволит другим перемещаться ( cd ) в каталог сценариев. Поскольку у родительских каталогов нет разрешений r, пользователи смогут просматривать ( ls ) только каталог scripts, сохраняя приватность остальной части вашей файловой системы.

Получить помощь

Чтобы узнать больше о chmod , обратитесь к странице руководства.В командной строке Unix введите:

В Университете Индианы для личной или ведомственной поддержки систем Linux или Unix см. раздел Получение справки по Linux или Unix в IU.

Права доступа к файлам определяют, кто и что может их читать, записывать, изменять и получать к ним доступ. Это важно, как объясняет Кодекс, потому что WordPress может потребоваться доступ для записи файлов в вашем каталоге wp-content для включения определенных функций.

Если ваши файлы не имеют наилучших возможных разрешений, хакерам будет легче проникнуть в ваши файлы и на ваш сайт. Правильная настройка прав доступа к файлам может не защитить вас от всех атак, но поможет сделать ваш сайт немного более безопасным, что станет отличным дополнением к вашим текущим мерам безопасности.

В Кодексе WordPress есть некоторая информация о правах доступа к файлам WordPress, но она не содержит подробностей, поэтому за ней может быть сложно следить. Поэтому в сегодняшнем проекте Weekend WordPress мы подробно рассмотрим права доступа к файлам и папкам, а также способы их изменения для повышения безопасности вашего сайта.

Как выглядят права доступа к файлам?

Вообще говоря, при просмотре прав доступа к файлам необходимо учитывать две категории: действия и группы пользователей.

  • Чтение — разрешает доступ к файлу только для просмотра его содержимого.
  • Запись — позволяет изменить файл
  • Выполнить – предоставляет доступ к файлу для запуска содержащихся в нем программ или скриптов.

Группы пользователей действий могут быть:

  • Пользователь – вы как владелец своего сайта.
  • Группа — другие пользователи, которые также могут иметь доступ к выбранным вами файлам, например участники вашего сайта.
  • Мир – любой, у кого есть подключение к Интернету и кто пытается просмотреть ваши файлы.

Права доступа к файлам в основном представлены тремя последовательными числами:

  • Первая цифра — доступ к действиям с файлами, предоставленный пользователю
  • Вторая цифра – доступ к файлу, предоставленный группе.
  • Третье число — объем доступа к файлам, предоставленный миру.

Чтобы получить эти числа, каждой возможной комбинации действий присваивается значение:

В этом случае максимальный доступ, который вы можете предоставить, равен 777, когда пользователь, группа и мир имеют доступ для чтения, записи и выполнения файлов.

Минимальный уровень доступа, который вы можете предоставить (кроме полного отсутствия), — это если для файла установлено разрешение 444, когда каждый может только читать файл.

Однако вам нужно запомнить только значения, заданные для действий чтения, записи и выполнения, потому что сложение их соответствующих номеров вместе даст вам правильное значение прав доступа к файлу.

Например, вот как можно было бы рассчитать права доступа к файлу, если бы вы хотели, чтобы у пользователя был полный доступ, а для всех остальных были более строгие ограничения:

  • Пользователь — с правами на чтение (со значением 4), запись (со значением 2) и выполнение (со значением 1), 4 + 2 + 1 = 7
  • Группа — имеет доступ для чтения (4) и записи (2), 4 + 2 = 6
  • Мир — доступ только для чтения файлов, 4

В этом примере окончательное разрешение файла будет равно 764. Однако обычно это не идеальное разрешение для файлов WordPress.

Вы можете заметить, что права доступа к файлам записываются по-разному при просмотре их через FTP или SSH (доступ через Shell). Они могут выглядеть примерно так:

Права доступа к файлам записываются в виде текста , например

Этот формат отображения прав доступа к файлам фактически совпадает с их числовым аналогом.

Буквы обозначают действия для разрешения: чтение, запись и выполнение.

Первый символ может иметь и другие значения, но менее вероятно, что вы столкнетесь с ними при работе с WordPress. Дефисы означают отсутствие действия, за исключением первого символа в последовательности, который показывает, что разрешение дано для файла. Если бы это была папка, которую часто называют каталогом, вместо нее была бы буква «d».

Следующие символы сгруппированы в наборы по три. Первый набор представляет пользователя, второй набор — группу, а третий — мир.

Каждый набор отображает разрешенные действия для каждой группы пользователей. Вот пример:

Первый дефис означает разрешение для файла. Следующие три символа показывают, что пользователь имеет доступ к чтению, записи и выполнению файла, в то время как наборы групп и миров имеют разрешение на чтение и выполнение файла, но не на запись, как показано дефисами.

Если вы присвоите действиям те же значения, которые мы рассмотрели ранее, результатом будет числовое разрешение на доступ к файлу. В этом примере в сумме получается 755.

Также может быть полезно упомянуть, что использование разрешения файла 777 дает доступ всем, поэтому это опасно и не должно использоваться для вашего сайта WordPress, но использование 444 также не идеально, потому что это означает, что ваш сайт WordPress не будет иметь разрешение на запуск вообще.

Если эти комбинации не подходят, то какие у вас должны быть права доступа к файлам?

Какие разрешения следует использовать?

Если вы настраиваете свой сайт WordPress самостоятельно, скорее всего, права доступа к файлам установлены правильно. Если вы обнаружите, что получаете ошибки прав доступа или ваш сайт не был настроен вами, пришло время подумать об изменении прав доступа к файлам.

Каждый подключаемый модуль будет иметь разные права доступа к файлам в зависимости от назначения подключаемого модуля, а права доступа к файлам и папкам будут зависеть от настроек вашего хостинга.

Если у вас есть собственный сервер, вы, как правило, можете нормально управлять своим сайтом, следуя этим общим рекомендациям, рекомендованным Кодексом WordPress:

Для наиболее важных файлов в вашей установке WordPress, таких как wp-config.php, вы можете установить разрешение 600, если хотите.

Файл .htaccess является исключением, так как WordPress должен получить к нему доступ, если вы хотите, чтобы файл обновлялся автоматически. Рекомендуемое значение — 644. Если вы хотите, чтобы этот файл был более безопасным, в большинстве случаев можно установить значение 604.

Где можно найти права доступа к файлам?

Они есть только на серверах на базе Linux и Unix, поэтому, если ваш сайт настроен на Windows, вы нигде их не найдете.

В cPanel после входа в систему выберите «Файлы» > «Диспетчер файлов». Если появится всплывающее окно «Выбор каталога», нажмите «Перейти» внизу.

Выберите файл из списка и нажмите значок «Изменить разрешения» в верхней части страницы.

Ширина

Существует множество способов просмотреть права доступа к файлам и папкам, и этот способ не самый эффективный для большинства пользователей.

Появится встроенное всплывающее окно, в котором вы сможете просмотреть и изменить разрешения для файла или папки.


Если вы решите изменить разрешения, будьте осторожны, так как это может нарушить работу вашего сайта или иным образом дать хакерам гораздо больше возможностей для атаки на ваш сайт.

Установив или сняв флажки, разрешение будет обновлено. Нажмите кнопку «Изменить разрешения» в правом нижнем углу, чтобы сохранить изменения.

Вы также можете обновить свои разрешения через FTP. В FileZilla после успешного подключения вы можете щелкнуть правой кнопкой мыши файл или папку, а затем выбрать «Разрешения файла» из списка.

Папка cgi-bin содержит был щелкнут правой кнопкой мыши, и мышь находится над

Вы также можете выбрать несколько папок или файлов одновременно для массового изменения разрешений, но все выбранные будут иметь одинаковые разрешения.

Появится всплывающее окно, в котором можно установить соответствующие флажки или ввести числовое разрешение рядом с меткой Числовое значение.

Ширина

Если вы используете другой FTP-клиент, обратитесь к его документации за точными инструкциями по изменению разрешений.

Если вы довольны своими изменениями, нажмите "ОК", чтобы сохранить их.

Вы также можете изменить разрешения для SSH. После входа на сервер введите следующие команды.

Вот команда для папок:

Команда для файлов немного отличается, и вот она:

Просто обязательно введите правильный путь к файлу или папке, а также измените разрешение на то, которое соответствует вашим потребностям. В этих примерах вам потребуется изменить значения 755 и 644 соответственно.

Заключение

Мы рассмотрели основы разрешений WordPress, а также способы их изменения в cPanel и через FTP. Однако есть еще одна вещь: также важно, чтобы вы поддерживали установку WordPress в актуальном состоянии.

Это обеспечит автоматическое применение любых обновлений безопасности к вашим разрешениям, чтобы обезопасить вас, ваш сайт и его посетителей.

Если вы предпочитаете использовать плагины, есть три часто обновляемых и надежных плагина, которые вы можете попробовать: Triagis® WordPress Security Evaluation, SECURE и BulletProof Security. Эти плагины могут проверять права доступа к файлам и сообщать вам о неправильных настройках.

Если вы хотите узнать больше о шагах, которые вы можете предпринять для дополнительной защиты своего сайта, ознакомьтесь с другими нашими публикациями о безопасности WordPress: 5 простых советов по .htaccess для повышения безопасности вашего сайта, Основы безопасности WordPress: попрощайтесь хакерам и 6 лучших плагинов проверки подлинности безопасности WordPress.

Приходилось ли вам когда-нибудь обновлять разрешения? Вы не уверены, стоит ли? Не стесняйтесь поделиться своим опытом в комментариях ниже.

Дженни Маккиннон Копирайтер, копи-редактор, веб-разработчик и преподаватель курсов, Дженни посвятила более 15 лет разработке веб-сайтов и почти столько же – WordPress. Она называет себя фанатом WordPress, любит смотреть «Симпсонов» и называет свои тестовые сайты в честь отсылок к сериалу.

Обычно вам не нужно беспокоиться о разрешениях в Windows, потому что об этом уже позаботилась операционная система. У каждого пользователя есть свой профиль и свой набор разрешений, что предотвращает несанкционированный доступ к файлам и папкам.

Однако бывают случаи, когда вам может потребоваться вручную настроить разрешения для набора файлов или папок, чтобы предотвратить доступ других пользователей к данным. В этом посте предполагается, что другие «люди» также имеют доступ к тому же компьютеру, который используете вы.

Если нет, вы можете просто зашифровать свой жесткий диск и все. Однако, когда к компьютеру могут получить доступ другие люди, например члены семьи или друзья, разрешения могут пригодиться.

Конечно, существуют и другие альтернативы, такие как скрытие файлов и папок с помощью атрибутов файлов или с помощью командной строки для скрытия данных. Вы даже можете скрыть весь диск в Windows, если хотите.

Если вы хотите установить разрешения для обмена файлами с другими, ознакомьтесь с моей статьей о создании скрытого общего сетевого ресурса или о том, как обмениваться файлами на компьютерах, планшетах и ​​телефонах.

блокировка папки

Безопасность данных

Еще один случай, когда вам придется возиться с правами доступа к папке или файлу, — это когда вы получаете сообщение об ошибке «Отказано в доступе» при попытке доступа к данным. Это означает, что вы можете стать владельцем файлов, которые не принадлежат вашему текущему аккаунту пользователя, и по-прежнему иметь к ним доступ.

Это важно, поскольку это означает, что установка разрешений для файла или папки не гарантирует безопасность этого файла или папки. В Windows администратор любого ПК с Windows может переопределить разрешения для набора файлов и папок, взяв их в собственность. Как только вы станете владельцем, вы сможете установить свои собственные разрешения.

Итак, что это значит на английском языке? По сути, если у вас есть данные, которые вы не хотите, чтобы другие видели, вам следует либо вообще не хранить их на этом компьютере, либо использовать инструмент шифрования, такой как TrueCrypt.

Для тех технически подкованных читателей вы, вероятно, скажете: «Эй, подождите, TrueCrypt больше не поддерживается из-за уязвимостей в системе безопасности, и его нельзя использовать!» Что ж, это верно, однако TrueCrypt прошел аудит независимой организации, и этапы I и II завершены.

Единственная версия, которую вам следует загрузить, — это TrueCrypt 7.1a, которая была загружена на подтвержденное зеркало на GitHub. Если вам совсем не нравится использовать TrueCrypt, единственное другое предложение, которое у меня есть, это VeraCrypt, который был преемником TrueCrypt, но исправил многие недостатки.

Разрешения для файлов и папок

Теперь, когда мы со всем этим разобрались, давайте поговорим о разрешениях в Windows. Каждый файл и каждая папка в Windows имеют свой собственный набор разрешений. Разрешения могут быть разбиты на списки контроля доступа с пользователями и их соответствующими правами. Вот пример со списком пользователей вверху и правами внизу:

изменить разрешения

Разрешения также либо наследуются, либо нет. Обычно в Windows каждый файл или папка получает свои разрешения от родительской папки. Эта иерархия продолжается вплоть до корня жесткого диска. Простейшие разрешения имеют как минимум трех пользователей: СИСТЕМА, учетная запись пользователя, вошедшего в систему, и группа администраторов.

Эти разрешения обычно предоставляются из папки C:\Users\Имя пользователя на жестком диске. Вы можете получить доступ к этим разрешениям, щелкнув правой кнопкой мыши файл или папку, выбрав «Свойства», а затем щелкнув вкладку «Безопасность». Чтобы изменить разрешения для определенного пользователя, щелкните этого пользователя, а затем нажмите кнопку "Изменить".

разрешения Windows

Обратите внимание: если разрешения выделены серым цветом, как в приведенном выше примере, разрешения наследуются от содержащей папки. Ниже я расскажу о том, как можно удалить унаследованные разрешения, но сначала давайте разберемся в различных типах разрешений.

Типы разрешений

В Windows существует шесть основных типов разрешений: Полный доступ, Изменение, Чтение и выполнение, Список содержимого папки, Чтение и Запись. Список содержимого папки — это единственное разрешение, доступное исключительно для папок. Есть и более сложные атрибуты, но вам никогда не придется беспокоиться о них.

Так что же означает каждое из этих разрешений? Что ж, вот хорошая диаграмма с веб-сайта Microsoft, в которой показано, что означает каждое разрешение для файлов и папок:

разрешения Windows, означающие

Теперь, когда вы понимаете, что контролирует каждое разрешение, давайте взглянем на изменение некоторых разрешений и проверим результаты.

Редактирование разрешений

Прежде чем вы сможете изменить какие-либо разрешения, вы должны стать владельцем файла или папки. Если владельцем является другая учетная запись пользователя или системная учетная запись, например Local System или TrustedInstaller, вы не сможете изменить разрешения.

Прочитайте мой предыдущий пост о том, как стать владельцем файлов и папок в Windows, если вы в настоящее время не являетесь их владельцем. Теперь, когда вы стали владельцем, давайте уточним еще несколько моментов:

Если щелкнуть файл или папку правой кнопкой мыши, выбрать «Свойства» и перейти на вкладку «Безопасность», теперь мы можем попытаться изменить некоторые разрешения. Чтобы начать, нажмите кнопку "Изменить".

изменить разрешения

На этом этапе вы можете сделать несколько вещей. Во-первых, вы заметите, что столбец «Разрешить», вероятно, неактивен и не может быть отредактирован. Это из-за наследования, о котором я говорил ранее.

разрешения для файла

Однако вы можете отметить элементы в столбце "Запретить". Поэтому, если вы просто хотите заблокировать доступ к папке для определенного пользователя или группы, сначала нажмите кнопку "Добавить", а после добавления нажмите кнопку "Запретить" рядом с "Полный доступ".

добавить пользователя или группу

Когда вы нажимаете кнопку «Добавить», вы должны ввести имя пользователя или имя группы в поле, а затем нажать «Проверить имена», чтобы убедиться, что они верны. Если вы не помните имя пользователя или группы, нажмите кнопку «Дополнительно», а затем просто нажмите «Найти сейчас». Он покажет вам всех пользователей и группы.

найти все группы пользователей

Нажмите «ОК», и пользователь или группа будут добавлены в список контроля доступа. Теперь вы можете проверить столбец «Разрешить» или «Запретить». Как уже упоминалось, попробуйте использовать Запретить только для пользователей, а не для групп.

запретить разрешения windows

Что произойдет, если мы попытаемся удалить пользователя или группу из списка. Ну, вы можете легко удалить пользователя, которого только что добавили, но если вы попытаетесь удалить любой из элементов, которые уже были там, вы получите сообщение об ошибке.

нельзя удалить разрешения

Чтобы отключить наследование, необходимо вернуться на главную вкладку "Безопасность" для файла или папки и нажать кнопку "Дополнительно" внизу.

расширенные разрешения

В Windows 7 у вас будет одна дополнительная вкладка для владельца. В Windows 10 они просто переместили это вверх, и вам нужно нажать «Изменить». В любом случае, в Windows 7 нажмите «Изменить разрешения» внизу первой вкладки.

изменить разрешения

В диалоговом окне «Дополнительные параметры безопасности» снимите флажок «Включить наследуемые разрешения от родительского объекта этого объекта».

разрешить наследуемые разрешения

Когда вы это сделаете, появится другое диалоговое окно, в котором вас спросят, хотите ли вы преобразовать унаследованные разрешения в явные разрешения или просто хотите удалить все унаследованные разрешения.

явные разрешения

Если вы точно не знаете, какие разрешения вам нужны, я предлагаю выбрать «Добавить» (явные разрешения), а затем просто удалить все, что вам не нужно. По сути, нажатие «Добавить» сохранит все те же разрешения, но теперь они не будут выделены серым цветом, и вы можете нажать «Удалить», чтобы удалить любого пользователя или группу. Нажав Удалить, вы начнете с чистого листа.

В Windows 10 это выглядит немного иначе. После нажатия кнопки «Дополнительно» необходимо нажать «Отключить наследование».

отключить наследование

Нажав эту кнопку, вы получите те же параметры, что и в Windows 7, но в другой форме. Параметр «Преобразовать» аналогичен «Добавить», а второй вариант — «Удалить».

преобразование разрешений

Единственное, что вам нужно сейчас понять, это вкладка «Действующие разрешения» или «Действующий доступ». Так что же такое эффективные разрешения? Что ж, давайте посмотрим на пример выше. У меня есть текстовый файл, и моя учетная запись Asem имеет полный доступ. А что, если я добавлю в список еще один элемент, чтобы группе «Пользователи» было отказано в полном доступе.

отказано в полном контроле

Единственная проблема заключается в том, что учетная запись Asem также является частью группы пользователей. Итак, у меня есть Полный доступ в одном разрешении и Запретить в другом, какое из них победит? Ну, как я упоминал выше, Запретить всегда важнее Разрешить, поэтому Запретить победит, но мы также можем подтвердить это вручную.

Нажмите «Дополнительно» и перейдите на вкладку «Действующие разрешения» или «Действующий доступ». В Windows 7 нажмите кнопку «Выбрать» и введите имя пользователя или группы. В Windows 10 нажмите ссылку Выбрать пользователя.

В Windows 7, как только вы выберете пользователя, он сразу же отобразит разрешения в списке ниже. Как видите, все разрешения сняты, что имеет смысл.

действующие разрешения

В Windows 10 после выбора пользователя необходимо нажать кнопку «Просмотр действующего доступа». Вы также получите красивый красный крестик для отсутствия доступа и зеленую галочку для разрешенного доступа, что немного легче читать.

эффективный доступ

Итак, теперь вы практически все знаете о правах доступа к файлам и папкам в Windows. Чтобы во всем разобраться, нужно немного поиграть с собой.

Главное, что нужно понимать, это то, что вам нужно быть владельцем, чтобы изменять разрешения, и что любой администратор может стать владельцем файлов и папок независимо от разрешений на эти объекты. Если у вас есть какие-либо вопросы, не стесняйтесь оставлять комментарии. Наслаждайтесь!

Основатель Online Tech Tips и главный редактор. Он начал вести блог в 2007 году и уволился с работы в 2010 году, чтобы вести блог на постоянной основе. Он имеет более чем 15-летний опыт работы в отрасли информационных технологий и имеет несколько технических сертификатов. Прочитать полную биографию Асема

Понравился ли вам этот совет? Если это так, загляните на наш собственный канал на YouTube, где мы рассказываем о Windows, Mac, программном обеспечении и приложениях, а также предлагаем множество советов по устранению неполадок и видео с практическими рекомендациями. Нажмите кнопку ниже, чтобы подписаться!

Читайте также: