Quali sono i permessi del database raccomandati per WordPress?

Question

Quali sono i permessi del database raccomandati per WordPress?

5 feb 2011, 07:45:43

Visualizzazioni: 19K

Voti: 12

Ho appena installato WordPress sul mio server personale. Voglio aumentare la sicurezza. Quali permessi dovrebbe avere l'utente del database per il database di WordPress?

Mike Wills

497

mysql sicurezza permessi privilegi

Tutte le risposte alla domanda

WordPress utilizza un solo utente del database per tutto, e dovrà avere tutti i permessi sul database. CREATE e ALTER vengono utilizzati durante gli aggiornamenti, occasionalmente. INSERT, UPDATE e SELECT vengono utilizzati continuamente.

Otto

32.8K

5 feb 2011 11:23:13

Ho posto una domanda simile ma un po' più dettagliata recentemente: Utente del database MySQL: Quali privilegi sono necessari?

Le brevi istruzioni di installazione per WordPress ("5 minuti") affermano che:

Crea un database per WordPress sul tuo server web, così come un utente MySQL che abbia tutti i privilegi per accedervi e modificarlo.

Questo è il minimo di privilegi/permessi necessari e oltre a questi, altri non sono richiesti.

Quindi se il tuo utente ha più privilegi di questi, puoi ridurli.

hakre

12.9K

5 feb 2011 12:31:58

Per un database sicuro, selezionare TUTTI I PRIVILEGI non è assolutamente la soluzione corretta.

Consulta il Codex: http://codex.wordpress.org/Hardening_WordPress

> 10 Sicurezza del Database
>     10.1 Limitazione dei Privilegi dell'Utente del Database

Jerry-L

51

30 mar 2016 10:56:44

Commenti

Questo è un consiglio sbagliato, molti plugin presuppongono di poter creare tabelle e semplicemente falliranno se non possono. Lo stesso core potrebbe aver bisogno di introdurre nuove tabelle o modificare quelle esistenti.

Mark Kaplun

30 mar 2016 12:42:20

Come spiega il codex, devi sapere cosa stai facendo e qual è il tuo scopo nel farlo.

Esempio 1: NESSUN LIVELLO DI SICUREZZA Se vuoi che tutto funzioni ma non ti preoccupi della sicurezza, allora abilita tutto e accetta i rischi.

Esempio 2: SICUREZZA TOTALE Se invece tieni alla sicurezza, leggi l'articolo del codex. Quando aggiorni qualcosa, dovrai RICORDARTI di abilitare i privilegi richiesti dal plugin o dall'aggiornamento di Wordpress.

Jerry-L

30 mar 2016 22:02:34

Mark Kaplun ha ragione... La domanda del post originale (op) dice chiaramente che non sta cercando di "bloccare le cose". Quindi assegnare TUTTI i privilegi al tuo database permetterà a qualsiasi aggiornamento di Wordpress di funzionare - questo è il consiglio giusto per lui (l'op). A proposito, ecco un articolo che mostra le CATEGORIE dei permessi (Dati, Struttura, Admin), http://www.wpwhitesecurity.com/wordpress-security-hacks/secure-mysql-database-privileges-wordpress/.

Jerry-L

30 mar 2016 22:19:46

L'unico modo corretto per proteggere un database WP è averne uno per sito, poi hai un utente "root" e non ti preoccupi troppo dei permessi. Ma questa non era la domanda dell'OP. Per quanto riguarda l'articolo che citi... è divertente discutere di sicurezza quando hai phpmyadmin installato e accessibile dal web. Qual è il senso di limitare l'utente wordpress quando ne hai un altro che non è limitato (ok, c'è un senso, ma comunque approssimativo secondo me).

Mark Kaplun

30 mar 2016 22:33:48

La risposta è tutti i privilegi. Questo è preso direttamente dalla pagina di installazione di WordPress qui Guarda la sezione phpMyAdmin e dice "Clicca Seleziona tutto per selezionare tutti i privilegi.

whodeee

185

30 set 2013 23:16:59

cros13 74 · Accepted Answer · 2014-08-13T19:10:21Z

Se vuoi davvero limitare i permessi... un normale sito WordPress di solito richiede all'utente del database solo i privilegi SELECT, INSERT, UPDATE e DELETE.

Se vuoi utilizzare la funzionalità di aggiornamento automatico, saranno necessari anche i permessi CREATE e ALTER.

Alcuni plugin potrebbero richiedere altri permessi, ma la maggior parte non ne ha bisogno.

cros13

74

13 ago 2014 19:10:21