Давайте поговорим о безопасности и правах на файлы (permissions)

По умолчанию: файлы 644, папки 755.
Для того, куда WP пишет сам: файлы 666, папки 777.
Обычно WP пишет в cache и uploads.

А что тогда делать с wp-cahce который требует для работы разрешения 777 для wp-content? Я сталкивался с модификацией файлов wp-cache для улучшенной безопасности и возможности работы с правами 755 но они не подошли к новой версии плагина.

тоже интересует вопрос безопасности вордпресса.
2 ponosov поделись пожалуйста модификацией wp-cache.

Если мне не изменяет память, то wp-cahce пытается создать симлинк на один из своих скриптов прямо в wp-content. Самое прикольное, что далеко не на всех системах это в принципе возможно. И еще что-то ему там надо, конфиг свой, что ли, он там хранит. Не помню, единственный мой сайт с wp-cache был уволен.

Поставьте 777 на wp-content, активируйте плагин, чуток поюзайте и закрывайте обратно до 755. Должно все работать.

Если мне не изменяет память, то wp-cahce пытается создать симлинк на один из своих скриптов прямо в wp-content. Самое прикольное, что далеко не на всех системах это в принципе возможно. И еще что-то ему там надо, конфиг свой, что ли, он там хранит. Не помню, единственный мой сайт с wp-cache был уволен.  

Поставьте 777 на wp-content, активируйте плагин, чуток поюзайте и закрывайте обратно до 755. Должно все работать.

C 755 не работает, wp-cache кричит что нужны права на запись wp-content 🙂
А что посоветуете юзать в качестве кеша вместо wp-cache? слышал у WP есть встроенный кеш, но не пойму как и где он активируется и как работает.

тоже интересует вопрос безопасности вордпресса.
2 ponosov поделись пожалуйста модификацией wp-cache.

Как я понял можно сделать только на старой версии, потому что в новой я не нашел этих строк

1. Keep wp-content/ chmod’ed to 755.
* Initially, you must chmod wp-content/ to 777 so the WP-Cache plugin can write wp-cache-config.php.
* After wp-cache-config.php is created in wp-content/:
o Chmod wp-content/ to 755
o Chmod wp-content/wp-cache-config.php to 666.
o Change line 430 of wp-content/plugins/wp-cache/wp-cache.php to

                 if ( !file_exists($wp_cache_config_file) && !is_writable($dir)) {

+ Replace

 if ( !is_writable($dir)) {

+ Credit: Joerg
2. Secure the wp-content/cache/ directory
* Chmod wp-content/cache/ to 777 (this is unavoidable)
* Place the following .htaccess file in wp-content/cache. (This prevents the cache directory from being Web-accessible. If anyone on your shared hosting box writes to this directory, their files won’t be accessible and they can’t steal your bandwidth. Yes, this is a fringe scenario, but that’s kinda what security is about.)

  Options -Indexes
            <Files *>
                    order deny,allow
                    deny from all
            </Files>

По умолчанию: файлы 644, папки 755.
Для того, куда WP пишет сам: файлы 666, папки 777.
Обычно WP пишет в cache и uploads.

А на файлы темы какие должны быть права, чтобы можно было редактировать тему из админки? Получается что 666. А это безопасно?

Жить опасно – можно умереть. 😎

Да, на файлы темы для редактирования из админки нужно ставить 666. Я не думаю, что Вы собираетесь их править всю оставшуюся жизнь, так что после доведения до ума, можно вернуть 644 или даже 444. Хотя, лично мне кажется, что лучше править тему "дома", а потом готовое произведение искусства заливать по ftp на сайт.

Насчет опасности. При нормально настроенном хостинге "соседи" не смогут менять ваши файлы, даже если у файлов будет стоять 666, потому что у соседей просто не будет доступа никуда, выше их домашнего каталога и, может быть, общего /tmp. Как показывает практика, основные проблемы с целостностью сайтов возникают не от вмешательства "соседей", а от троянов. А трояну (или хакеру, подсадившему вам трояна) пофигу какие там права, он поставит нужные ему, потому как действовать будет от вашего имени.