Divulgazione: sono uno sviluppatore e non un esperto di sicurezza
Sto lavorando su un sito Wordpress per un cliente che è (comprensibilmente) preoccupato per la sicurezza di WP. Il client ospiterà il sito sulla propria infrastruttura e il reparto IT che gestisce i propri server mi chiede di configurare SFTP. Questo è stato sollevato quando ho dato la proprietà del server web (www-data) sui file del sito WP.
Una delle cose che mi ha fatto dubitare del vantaggio di SFTP è stata la realizzazione di memorizzare le credenziali SFTP ei dettagli chiave nel file WP-config.php.
La preoccupazione, a mio parere, era che se c'era una vulnerabilità sfruttata e l'hacker riusciva a compromettere l'installazione di WP, potevano ottenere queste credenziali SFTP con una singola riga di codice ( file_get_contents (ABSPATH . "wp-config.php");
)
Quindi le mie domande sono: se il server stesso non ha accesso FTP esterno a causa dei loro firewall, qual è il vantaggio di SFTP su FTP? Ho letto numerosi problemi da incubo con il debug degli errori SFTP con Wordpress, quindi sono riluttante a farlo.