Какие рекомендуемые права доступа к базе данных для WordPress?

Question

Какие рекомендуемые права доступа к базе данных для WordPress?

5 февр. 2011 г., 07:45:43

Просмотры: 19K

Голосов: 12

Я только что установил WordPress на свой сервер. Хочу усилить защиту. Какие права должен иметь пользователь базы данных для моей WordPress базы?

Mike Wills

497

mysql безопасность разрешения привилегии

Все ответы на вопрос

WordPress использует только одного пользователя базы данных для всех операций, и ему необходимы все разрешения для работы с базой данных. Права CREATE и ALTER используются при обновлении, иногда. Права INSERT, UPDATE и SELECT используются постоянно.

Otto

32.8K

5 февр. 2011 г. 11:23:13

Я недавно задавал похожий, но немного более детальный вопрос: Пользователь базы данных MySQL: Какие привилегии необходимы?

Краткая инструкция по установке WordPress ("5 минут") гласит:

Создайте базу данных для WordPress на вашем веб-сервере, а также пользователя MySQL, который имеет все привилегии для доступа и изменения этой базы данных.

Это минимальный набор необходимых привилегий/прав, и помимо них другие не требуются.

Таким образом, если ваш пользователь имеет больше привилегий, чем эти, вы можете их сократить.

hakre

12.9K

5 февр. 2011 г. 12:31:58

Для обеспечения безопасности базы данных, выбор ВСЕХ ПРИВИЛЕГИЙ определенно НЕ является правильным решением.

См. Кодекс: http://codex.wordpress.org/Hardening_WordPress

> 10 Безопасность базы данных
>     10.1 Ограничение привилегий пользователя базы данных

Jerry-L

51

30 мар. 2016 г. 10:56:44

Комментарии

Это плохой совет, многие плагины предполагают, что могут создавать таблицы и просто не будут работать, если не смогут. Само ядро может потребовать добавления новых таблиц или изменения существующих.

Mark Kaplun

30 мар. 2016 г. 12:42:20

Как объясняется в кодексе, вы должны знать, что делаете и какова ваша цель.

Пример 1: БЕЗ БЕЗОПАСНОСТИ Если вы хотите, чтобы всё работало, но не заботитесь о безопасности, просто включите все привилегии и надейтесь на лучшее.

Пример 2: ПОЛНАЯ БЕЗОПАСНОСТЬ Если вы заботитесь о безопасности, прочитайте статью в кодексе. При обновлении чего-либо вам нужно будет НЕ ЗАБЫТЬ включить все привилегии, требуемые плагином или обновлением WordPress.

Jerry-L

30 мар. 2016 г. 22:02:34

Марк Каплун прав... Вопрос автора (original poster, op) действительно говорит, что он "не пытается усилить безопасность". Поэтому предоставление ВСЕХ привилегий вашей базе данных позволит работать любым обновлениям WordPress — это хороший совет для него (автора вопроса). Кстати, вот статья, которая показывает КАТЕГОРИИ привилегий (Данные, Структура, Администрирование), http://www.wpwhitesecurity.com/wordpress-security-hacks/secure-mysql-database-privileges-wordpress/.

Jerry-L

30 мар. 2016 г. 22:19:46

Единственный правильный способ защитить базу данных WP — это иметь отдельную базу для каждого сайта, с одним "root"-пользователем, и тогда вам не нужно особо заботиться о разрешениях. Но это не то, о чем спрашивал автор. Что касается статьи, на которую вы ссылаетесь... забавно обсуждать безопасность, когда у вас установлен и открыт для веба phpmyadmin. Какой смысл ограничивать пользователя wordpress, если у вас есть другой пользователь без ограничений (ладно, смысл есть, но все равно неряшливо, ИМХО).

Mark Kaplun

30 мар. 2016 г. 22:33:48

Ответ — все привилегии. Это взято прямо со страницы установки WordPress здесь. Посмотрите раздел phpMyAdmin, там указано: «Нажмите Выбрать все, чтобы отметить все привилегии».

whodeee

185

30 сент. 2013 г. 23:16:59

cros13 74 · Accepted Answer · 2014-08-13T19:10:21Z

Если вы хотите усилить безопасность... обычному сайту на WordPress обычно требуются только права SELECT, INSERT, UPDATE и DELETE для пользователя базы данных.

Если вы хотите использовать функцию автоматического обновления, также потребуются права CREATE и ALTER.

Некоторые плагины могут требовать других разрешений, но большинство — нет.

cros13

74

13 авг. 2014 г. 19:10:21