L'SFTP migliorerà la sicurezza di Wordpress?

0

Divulgazione: sono uno sviluppatore e non un esperto di sicurezza

Sto lavorando su un sito Wordpress per un cliente che è (comprensibilmente) preoccupato per la sicurezza di WP. Il client ospiterà il sito sulla propria infrastruttura e il reparto IT che gestisce i propri server mi chiede di configurare SFTP. Questo è stato sollevato quando ho dato la proprietà del server web (www-data) sui file del sito WP.

Una delle cose che mi ha fatto dubitare del vantaggio di SFTP è stata la realizzazione di memorizzare le credenziali SFTP ei dettagli chiave nel file WP-config.php.

La preoccupazione, a mio parere, era che se c'era una vulnerabilità sfruttata e l'hacker riusciva a compromettere l'installazione di WP, potevano ottenere queste credenziali SFTP con una singola riga di codice ( file_get_contents (ABSPATH . "wp-config.php"); )

Quindi le mie domande sono: se il server stesso non ha accesso FTP esterno a causa dei loro firewall, qual è il vantaggio di SFTP su FTP? Ho letto numerosi problemi da incubo con il debug degli errori SFTP con Wordpress, quindi sono riluttante a farlo.

    
posta Daniel 15.05.2017 - 15:35
fonte

1 risposta

0

Um, penso che tu sia davvero confuso riguardo alle tecnologie in uso.  non usi affatto FTP quando usi SFTP. Sftp utilizza una connessione SSH tra server e client e utilizza il protocollo sftp per la gestione dei file. (quindi nessun ftp viene usato affatto).

SSH è un protocollo shell affidabile, affidabile e sicuro che utilizza sempre più metodologie per non solo crittografare ma anche per identificare connessioni e sessioni utente. Devi usare sempre una chiave pubblica / privata quando usi SSH per una maggiore sicurezza, ma anche senza di essa SSH protegge già contro MiTM e lo spoofing del server

('noto' l'hash della chiave pubblica del server dopo la connessione iniziale e lì per i noti quando è diverso e avvisa quando è il caso).

questo è tutto quando si utilizza SFTP per inserire un aggiornamento.

Quando si inviano aggiornamenti a wordpress, l'intero profilo di sicurezza cambia. SSH memorizza in modo predefinito i dati di accesso in una posizione che NON è accessibile dal tuo sito web (la casa degli utenti o il file shadow di systtesms) Inoltre puoi impostare i tuoi accessi in modo tale che la connessione SFTP sia 'jailed'.

Questo significa che la 'shell' ha solo permessi di accesso a un sottoinsieme molto limitato del filesystem e a nessuno dei file o strumenti di sistema al di fuori di ciò che è configurato.

Il modo in cui descrivi "SFTP" suona come FTPS o TLS + FTP. ciò significherebbe che sul server è presente un demone FTP con funzionalità TLS (proprio come un deamon HTTP dovrebbe utilizzare i siti HTTPS del server)

Anche in quella situazione potresti avere maggiore sicurezza dall'uso di FTPS, ma è molto più difficile da configurare e ha tutti gli svantaggi di FTP.

    
risposta data 15.05.2017 - 16:11
fonte

Leggi altre domande sui tag