home iconHome / wordpress / Quali problemi di sicurezza dovrei avere quando imposto FS_METHOD su "direct" in wp-config?

Quali problemi di sicurezza dovrei avere quando imposto FS_METHOD su "direct" in wp-config?

    • vote up icon 44 vote down icon
    • translation icon
    • view icon76120 calendar icon2015-05-27

    Recentemente ho riscontrato unproblemaper cuinon sono statoin grado diinstallareilplug-in WP Smush Properchénon sono disponibili le opzioni diinstallazionemanuale o diinstallazione con un clic.

    Mi sonoimbattutoin questopost che ha suggerito dimodificare leimpostazioniin wp-config.php. Ho aggiunto leimpostazioni suggerite,tuttavia quella che sembraessere lapiùimportante è:

    define('FS_METHOD', 'direct');

    Quello che vorrei sapere è quali realipreoccupazioni dovrei avere riguardo all'impostazione di FS_METHOD su direct? Esistono altre alternative all'installazione delplug-in?

    Questo è ciò che dice la documentazione ufficiale:

    FS_METHODforzailmetodo delfilesystem. Dovrebbeessere solo "diretto", "ssh2","ftpext" o "ftpsockets". Ingenerale,dovresti solo cambiare questo se si verificanoproblemi di aggiornamento. Se lo cambie esso non aiuta,cambiarlo dinuovo/rimuoverlo. Nellamaggiorparte dei casi, impostandolo a 'ftpsockets'funzionerà seilfile metodono.

    (Preferenzaprimaria) "diretto" lo costringe a usare richieste di I/Ofile diretto da PHP,questo èirto di sicurezza problemi su host configuratimale,Questo viene scelto automaticamente quando appropriato.

    plugins security wp-config ftp

3  risposta

  • voti
    • accept answer icon
    • translation icon
    • calendar icon 2015-05-27

    Questo è soloilmodoin cui ho capito l'idea dell ' API difile WordPress . Se è sbagliato,perfavore downvote :)

    Va ​​bene. Se carichi unfile,questofile ha unproprietario. Se carichiiltuofile con FTP,effettuiil logine ilfile sarà diproprietà dell'utente FTP. Dato che hai le credenziali,puoimodificare questifiletramite FTP. Ilproprietario di solitopuòeseguire,eliminare,modificareecc. Ilfile. Ovviamentepuoi cambiare questaimpostazionemodificandoi autorizzazioni deifile .

    Se carichi unfile usando PHP,l'utente linux,che staeseguendo PHP,èilproprietario delfile. Questo utentepuò oramodificare,eliminare,eseguireecc. Ilfile. Questo vabene fintanto che solotu sei l'utente,che staeseguendo PHP sultuo sistema.

    Supponiamo chetu sia su un host condiviso "mal configurato". Moltepersonegestisconoi propri siti Web PHP su questo sistema. Diciamo che solo un utente Linux staeseguendo PHPpertutte questepersone. Uno dei webmaster su questo host condiviso ha cattiveintenzioni. Vede latuapaginae capisceilpercorsoper latuainstallazione di WordPress. Adesempio,WP_DEBUG èimpostato sutruee viene visualizzato unmessaggio dierrore come 

     [warning] /var/www/vhosts/userxyz/wp-content/plugins/bad-plugin/doesnt-execute-correctly.php on line 1

    "Ah!" diceil cattivo ragazzo. Vediamo,se questo ragazzo haimpostato FS_METHOD su directe scrive uno script come 

     <?php
unlink( '/var/www/vhosts/userxyz/wp-content/plugins/bad-plugin/doesnt-execute-correctly.php' );
?>

    Poiché solo un utenteesegue PHPe questo utente è utilizzato anche dal cattivo ragazzo,puòmodificare/eliminare/eseguirei file sul sistema se li hai caricatitramite PHPe da questo allegato l'utente PHP comeproprietario.

    Iltuo sito è stato compromesso.

    Oppure,come diceil Codex:

    Molti sistemi di hosting hannoil server webin esecuzione come un utente diverso rispetto alproprietario deifile WordPress. In questo caso,a ilprocesso di scrittura deifile dall'utente del server web avràil risultato file diproprietà dell'account utente del server webinvece dell'effettivo account dell'utente. Questopuòportare a unproblema di sicurezzanell'hosting condiviso situazioniin cuipiù utenti condividono lo stesso server webper siti diversi.

    • translation icon
    • calendar icon 2016-07-14

    Qual èil rischio?

    Su un host condivisomal configurato,il PHP di ogni cliente verràeseguito come lo stesso utente (diciamo apacheper la discussione). Questa configurazione è sorprendentemente comune.

    Se sei su un host di questotipoe utilizzi WordPressperinstallareilplug-in utilizzando l'accesso diretto aifile,tuttii file delplug-in apparterranno a apache. Un utente legittimo sullo stesso serverpotrebbe attaccarti scrivendo uno script PHP cheinietta codicemalvagionei tuoifileplugin. Caricanoil loro script sulproprio sito webe ne richiedono l'URL. Iltuo codice è stato compromesso con successoperchéil loro script vieneeseguito come apache,lo stesso chepossiedei file deltuoplugin.

    Cosa c'entra FS_METHOD 'direct'?

    Quando WordPress habisogno diinstallarefile (come unplugin) utilizza get_filesystem_method () per determinare come accedere alfilesystem. Senon definisci FS_METHOD,sceglierà un valorepredefinitoperte,altrimenti utilizzerà latua selezionefintanto che ha senso.

    Il comportamentopredefinito proverà a rilevare seti troviin ​​un ambiente a rischio come quello che ho descritto sopra,e sepensa chetu sia al sicuro utilizzeràil 'direct'. In questo caso WordPress creerài file direttamentetramite PHP,facendoli appartenere all'utente apache (in questoesempio). Altrimenti ricadrà su unmetodopiù sicuro,come chiederti le credenziali SFTPe crearei file comete.

    FS_METHOD = 'direct' chiede a WordPress di aggirareil rilevamento a rischioe di creare sempre file utilizzandoilmetodo 'direct'.

    Alloraperché usare FS_METHOD = 'direct'?

    Sfortunatamente,la logica di WordPressper rilevare un ambiente a rischio è difettosae produce siafalsipositivi chefalsinegativi. Ops. Iltestprevede la creazione di unfilee la verifica che appartenga allo stessoproprietario della directoryin cui risiede. Ilpresupposto è che segli utenti sonogli stessi,PHP èin esecuzione cometuo accounted è sicuroinstallareplug-in cometale account. Se sono diversi,WordPresspresume che PHP siain esecuzione come account condivisoe non è sicuroinstallareplug-in cometale account. Sfortunatamenteentrambi questipresupposti sonoipotesiplausibili che spesso saranno sbagliate.

    Utilizzeresti define('FS_METHOD', 'direct' );in uno scenariofalsopositivo come questo:faiparte di unteamfidatoi cuimembri caricanotuttii filetramiteilproprio account . PHP vieneeseguito come un utente separato. WordPresspresumerà che questo sia un ambiente a rischioe nonpasserà automaticamente allamodalità 'direct'. In realtà è condiviso solo congli utenti di cuiti fidie cometale lamodalità 'direct' è sicura. In questo caso dovresti usare define('FS_METHOD', 'direct' );perforzare WordPress a scrivere direttamentei file.

    • translation icon
    • calendar icon 2017-02-23

    Esiste una situazione "ben configurata"in cui "diretto"porterà aproblemi.

    È anchepossibile configurare l'hosting WP condiviso con utenti diesecuzione PHPnon condivisi,diversi dagli utenti diproprietà difile/directory. Quinditi ritroverai coni file diproprietà di utente1e il codice PHP vieneeseguito comephp-utente1.

    In quella situazione,i plugin oil codiceprincipale (a) compromessinonpossono scrivere (opersino leggere,a seconda delle autorizzazioni)nella directory di altri utenti;(b)non èpossibile scriverei file di questo utentee quindinon èpossibile aggiungere codicetrojan al codice core o al codice delplug-in.

    Quindi,se l'hosting èimpostatoin questomodo,DEVI utilizzare FTPpergli aggiornamentie "diretto"nonfunzionerà.

    Seimposti "diretto"in wp-config.phpe l'utente cheesegue PHPnon dispone deipermessi di scrittura,riceveraimessaggi di aggiornamentonon riuscitoe nessunpopup che richiede le credenziali FTP.