Cum gestionezi permisiunile fișierelor și folderelor pe server

Cum gestionezi permisiunile fișierelor și folderelor pe server este o cunoaștere tehnică esențială pentru orice proprietar de website găzduit pe un server Linux sau Unix.

Permisiunile incorecte reprezintă una dintre cele mai frecvente vulnerabilități de securitate, putând permite atacatorilor să citească fișiere sensibile, să modifice conținutul sau să execute cod malițios.

Cum gestionezi permisiunile fișierelor și folderelor pe server

Sistemul de permisiuni Linux funcționează pe trei niveluri: proprietar, grup și alți utilizatori. Fiecare nivel poate avea permisiuni de citire (r), scriere (w) și execuție (x), reprezentate numeric prin valorile 4, 2 și 1.

O configurare corectă a permisiunilor completează celelalte măsuri de securitate prezentate în ghidul de securitate esențială pentru WordPress.

Sistemul de permisiuni Linux explicat

Înțelegerea notației numerice (octal) a permisiunilor este fundamentală. Fiecare cifră reprezintă suma permisiunilor pentru un nivel de acces.

Calculul permisiunilor

• Citire (r) = 4, scriere (w) = 2, execuție (x) = 1
• 7 = citire + scriere + execuție (4+2+1)
• 6 = citire + scriere (4+2)
• 5 = citire + execuție (4+1)
• 4 = numai citire
• 0 = nicio permisiune

Astfel, permisiunea 755 înseamnă: proprietarul are toate drepturile (7), grupul poate citi și executa (5), alții pot citi și executa (5).

Permisiuni pentru foldere vs. fișiere

Folderele și fișierele au cerințe diferite de permisiuni. Pentru foldere, permisiunea de execuție (x) este necesară pentru a putea accesa conținutul folderului, nu pentru a rula cod.

Permisiunile recomandate pentru WordPress

WordPress are cerințe specifice de permisiuni care echilibrează funcționalitatea cu securitatea. Abaterea de la aceste recomandări poate crea vulnerabilități sau poate bloca funcții esențiale.

Configurarea standard pentru WordPress

• Directorul rădăcină WordPress: 755
• Fișierele PHP (inclusiv wp-config.php): 644 sau mai restrictiv
• Directorul wp-content: 755
• Directorul uploads: 755 (necesar pentru upload de fișiere)
• Fișierul .htaccess: 644
• Fișierul wp-config.php: 400 sau 440 pentru securitate maximă

Detalii suplimentare despre securizarea fișierelor critice găsiți în ghidul de securizare a fișierelor de configurare WordPress.

Identificarea și remedierea permisiunilor incorecte

Permisiunile prea permisive (777 sau 666 aplicate pe scară largă) sunt o vulnerabilitate frecventă. Acestea permit oricărui utilizator de pe server să modifice fișierele, facilitând atacurile în mediile de hosting partajat.

Cum să identificați permisiunile incorecte

1. Conectați-vă la server prin SSH sau SFTP
2. Folosiți comanda find /cale/site -type f -perm 777 pentru a lista fișierele cu permisiuni 777
3. Verificați recursiv folderele cu permisiuni prea permisive
4. Comparați cu standardele recomandate pentru WordPress

Corectarea permisiunilor prin SSH

Comenzile chmod și chown vă permit să corectați permisiunile rapid pentru întreaga instalare WordPress.

• find /cale/site -type d -exec chmod 755 {} \; corectează toate folderele
• find /cale/site -type f -exec chmod 644 {} \; corectează toate fișierele
• Aplicați permisiuni speciale pentru fișierele critice după aceea
• Verificați că WordPress funcționează corect după modificări

Proprietatea fișierelor (ownership)

Pe lângă permisiuni, proprietatea fișierelor este la fel de importantă. Fișierele trebuie să aparțină utilizatorului sub care rulează serverul web, nu root-ului sau altui utilizator sistem.

Configurarea proprietății corecte

Utilizatorul corect depinde de configurația serverului. Pe serverele partajate, de obicei este contul FTP principal, iar pe VPS poate fi www-data (Apache/Nginx) sau cpanel.

• Verificați utilizatorul serverului web cu comanda ps aux | grep apache sau ps aux | grep nginx
• Schimbați proprietatea cu chown -R user:group /cale/site
• Asigurați-vă că WordPress poate scrie în directoarele necesare
• Nu lăsați niciodată fișierele în proprietatea root

Securizarea directorului de uploads

Directorul wp-content/uploads este o țintă frecventă pentru atacatori, deoarece permite în mod normal scrierea de fișiere. Fără protecție suplimentară, un atacator poate încărca fișiere PHP malițioase.

Aceasta se corelează cu prevenirea atacurilor descrisă în ghidul de prevenire XSS și SQL Injection și cu scanarea pentru detectarea și eliminarea malware.

Protejarea directorului uploads

• Blocați execuția PHP în directorul uploads prin .htaccess sau configurarea serverului
• Validați tipul fișierelor la upload pe server, nu doar pe client
• Scanați fișierele uploadate pentru conținut malițios
• Configurați un firewall pentru website care blochează upload-urile suspecte

Gestionarea permisiunilor pe hosting partajat

Pe hosting-ul partajat, opțiunile de control al permisiunilor sunt mai limitate decât pe un VPS sau server dedicat. Totuși, există măsuri pe care le puteți implementa.

• Folosiți panoul de control (cPanel, DirectAdmin) pentru modificarea permisiunilor
• Evitați setarea permisiunilor 777 chiar dacă un plugin o solicită
• Contactați furnizorul de hosting pentru sfaturi specifice platformei
• Considerați migrarea la un plan VPS pentru control mai mare dacă este necesar

Monitorizarea modificărilor de permisiuni

Un atacator care obține acces limitat poate încerca să schimbe permisiunile unor fișiere pentru a-și extinde accesul. Monitorizarea acestor modificări este esențială.

Integrați această monitorizare cu soluția generală de monitorizare a securității în timp real și asigurați-vă că aveți backup-uri automate pentru recuperare rapidă.

Instrumente recomandate

• Plugin-uri WordPress cu monitorizarea integrității fișierelor (Wordfence, iThemes Security)
• Soluții de monitorizare la nivel de server cu notificări în timp real
• Jurnale de audit pentru toate modificările de permisiuni
• Sisteme de alertare pentru detectarea automată a anomaliilor

Concluzie

Gestionarea corectă a permisiunilor fișierelor și folderelor este o bază esențială a securității oricărui website. Deși poate părea un subiect tehnic, principiile de bază sunt clare și implementarea lor nu necesită cunoștințe avansate.

Combinați permisiunile corecte cu autentificarea în doi pași, cu antetele de securitate HTTP și cu plugin-uri de securitate dedicate pentru o protecție completă a site-ului dumneavoastră WordPress.