提到 WordPress 的安全性,我们经常想到暴力攻击,跨站点脚本或恶意软件。你是否听说过 WordPress 文件和文件夹权限?安装 WordPress 之后,这应该是你首先要注意的事情。你可能不会注意到,但是如果你的文件和文件夹系统权限有任何问题,你的所有站点安全措施将被破坏并且容易受到攻击。此外,你无法在 WordPress 网站上上传文件,或在加载页面时显示白屏。

在本文中,我们将简要说明什么是 WordPress 文件和文件夹权限以及 3 种解决文件系统权限发生错误的方法。

WordPress 文件上传权限是什么?

WordPress 由各种文件和文件夹组成,用于存储主题,插件,图像等。每个文件都有一组权限,这些权限定义了哪些角色或哪些类型的用户可以访问它。WordPress 中的一些典型文件夹包括 wp-admin,wp-includes,wp-content 等,而 .htaccess,index.php 和wp-login.php 是主要的 WordPress 文件。

默认情况下,有 3 种主要类型的用户被允许访问你的 WordPress 文件和文件夹:所有者或管理员,一组用户角色,例如编辑者,贡献者,订户以及互联网上的任何人。每种类型都有一组权限,授权它们采取特定的操作。

尽管管理员可以编写和执行代码,但只允许该组在文件夹上读写。另一方面,其余的将能够读取该文件夹。

必须确定正确的文件和文件夹权限以保护 WordPress 网站。以 wp-config.php 文件夹为例。它是自托管 WordPress 网站配置的一部分,用于存储数据库信息并包含高级设置。由于其重要性,应将该文件设置为只读。如果用户可以编写和更改文件夹,则黑客可以编辑,添加垃圾邮件并轻松破坏你的网站。

正确的 WordPress 文件和文件夹权限

如果你使用的是 FTP 或 SSH,则不应将文件和文件夹的权限设置为 777,因为这是为所有人提供了对文件的完全访问权限。444 都不允许同时接受 WordPress 和网络上的所有人查看文件的权限。

建议如下设置文件和文件夹权限。你可以参考 WordPress 权限模式以获取有关如何定义这些数字的更多信息。

  • 文件夹– 755
  • 文件– 644
  • wp-config.php – 600
  • .htaccess – 644 或 600

了解了 WordPress 文件和文件夹及其正确的权限集后,让我们进入如何修复文件和文件夹权限错误的下一部分。

使用 FTP 修复 WordPress 文件夹权限

FTP 是一种工具,可让你将文件从计算机上传到 WordPress 网站。要使用它,你需要 FTP 客户端的帮助才能将计算机与托管帐户连接。之后,请执行以下 4 个步骤:

  1. 转到根目录,然后选择 3 个最重要的文件夹:wp-admin,wp-content 和 wp-includes
    使用FTP工具设置文件夹的权限
  2. 右键单击这些文件夹,然后选择“文件权限”
  3. 在数值框中输入“755”
  4. 勾选“ 仅应用于目录 ”选项,然后单击“ 确定”
    使用 FTP 修复 WordPress 文件夹权限

之后,对目录中的其他文件夹执行相同的步骤。你需要做的就是选择所有剩余文件→右键单击以设置文件权限→在数值中输入“644” 。保存更改之前,请记住勾选“ 仅应用于文件 ”。

使用 cPanel 更正你的文件和文件夹权限错误

解决 WordPress 文件和文件夹权限错误的另一种方法是通过网络托管 cPanel。以下说明为你提供了清晰的过程:

  1. 登录你的 cPanel 帐户,然后打开根目录
  2. 右键单击并更改这些文件夹的权限
    使用 cPanel 更正你的文件和文件夹权限错误
  3. 在“更改权限”弹出窗口的“权限”框中输入“755”
    使用 cPanel 更正你的文件和文件夹权限错误

与FTP方法类似,要更新文件权限,应选择所有文件,然后将权限模式设置为 644。

使用 PDA Gold 保护你的 WordPress 文件夹

与其在服务器级别上固定 WordPress 文件夹权限,不如让你更轻松地尝试使用第三方插件的方法。与前面提到的 2 个需要你转到目录的解决方案不同,你只需要安装 Prevent Direct Access 插件及其强大的扩展 Access Restriction 即可。

这2个插件可保护 WordPress 上传目录下特定文件夹中的所有文件。当你要保护媒体库中未包含的文件(例如通过表单提交到你的站点的文件)时,它非常有用。你可以选择要授予特定用户角色访问权限的受保护文件夹。以下带有屏幕截图的简单步骤将清楚地向你展示如何开始使用插件:

  1. 下载,安装和激活 2 个插件 PDA 金牌和访问限制
  2. 从 WordPress 管理仪表板转到插件文件夹保护页面
  3. 选择要保护的文件夹
  4. 设置允许查看这些文件夹中受保护文件的用户角色
    使用 PDA Gold 保护你的 WordPress 文件夹

你还可以设置某些引荐来源链接,以定义哪个网页将用户引导到你的网站。有 3 个选项供你选择:

  • 禁用引荐链接 -来自所有其他网站或网页的用户将无法访问你的受保护文件。
  • 允许所有引荐链接 –来自任何网页的所有人都可以打开你的文件。
  • 允许特定的引荐来源链接 –只有特定页面的用户才能查看受保护文件夹中的文件。这些页面将在“输入 URL”框中列出。

确保设置正确的 WordPress 文件和文件夹权限

在配置 WordPress 网站安全性时,文件和文件夹权限应该是你的首要任务。设置正确的权限可以阻止未经授权的用户访问你的文件和文件夹,并防止潜在的攻击风险。