Como o @ Viper007Bond observou, atualizar seu núcleo, plug-ins e temas por meio dos mecanismos de atualização integrados é bastante seguro, já que as permissões de arquivos podem ser usadas, porque elas podem usar suas credenciais de usuário reais. Para máxima segurança, você quer ter certeza de que você tem a extensão PHP SSH2 instalada. O método de instalação (se possível) pode variar de host para host, por isso, se ele ainda não estiver lá, talvez seja necessário solicitar o serviço de hospedagem ou fazer algumas pesquisas no Google.
Muitos serviços de hospedagem compartilhada usarão suexec
em sua configuração do Apache, para que o serviço da Web seja executado como o usuário real. Isso elimina a maioria dos problemas de permissão e ajuda a proteger seus arquivos de outros usuários no servidor. No entanto, nos casos em que o Apache é executado como um usuário separado, se você deseja carregar arquivos no WordPress, é necessário abrir as permissões no diretório de upload.
Nesse caso, você provavelmente deseja que o diretório wp-content/uploads
tenha 0713
de permissões, (AKA rwx--x-wx
). Isto dá ao proprietário do diretório permissões completas, seu grupo pode ler arquivos se eles conhecem o caminho completo, e outros (incluindo o servidor web) podem ler arquivos que conhecem o caminho e podem criar / gravar arquivos .
Alguns plug-ins de cache também esperam ter disponível um diretório wp-content/cache
(ou similar) para o qual podem gravar. O mesmo aviso de permissões se aplicaria a isso.
Por último, para permalinks bastante, o WordPress precisa modificar o arquivo .htaccess
, a menos que você planeje atualizá-lo manualmente. Nesse caso, você deseja 0646
para o modo de arquivo. No entanto, uma vez que você tenha decidido sobre sua estrutura de permalink, você normalmente não precisará alterar isso novamente, para que você possa desativar as permissões de gravação adicionais e defini-la como 0644
. Ocasionalmente, um plug-in ou atualização de núcleo pode exigir acesso a ele e você pode ativar temporariamente as permissões de gravação para isso e desativá-lo novamente.
Todos os outros arquivos devem ter 0644
de permissões. Os diretórios devem ser 0711
se você for extra-paranóico, mas isso pode interferir em qualquer plug-in que precise obter uma lista de arquivos de um diretório. Nesse caso, ou se você não for tão paranóico, use 0755
, o que permitirá que outras pessoas leiam, mas não escrevam.
A maior parte disso é principalmente uma preocupação se você estiver em hospedagem compartilhada. Se você tiver um servidor dedicado (incluindo o VPS), sem outros usuários que tenham acesso ssh / ftp, você poderá relaxar um pouco mais. Não quero dizer que você deve simplesmente tornar tudo abertamente gravável, mas provavelmente você pode confiar apenas nos padrões do sistema, que provavelmente serão 0755
permissões nos diretórios em vez de 0711
.
Se for uma opção, obtenha um certificado SSL instalado para o site e, depois de testar se pode acessar seu site por meio de https
, você poderá forçar o SSL para logins e acesso de administrador adicionando essas linhas ao seu site. wp-config.php
file, logo antes do comentário "Stop editing":
define('FORCE_SSL_ADMIN', true);
define('FORCE_SSL_LOGIN', true);