lightalex
@lightalex

Как запретить PHP лезть в каталоги выше уровнем?

Привет
Появилась задача - поставить WordPress в каталог blog ( site.com/blog )
Но был печальный опыт, когда через дырку WP заразили весь хостинг вирусняком просто поднявшись по каталогу вверх (это был тестовый хостинг, поэтому не сильно заморачивался с выделением каталога под сайт на WP)
Но в этот раз поставить WP как отдельный сайт не получится и он будет стоять в непосредственно близости к основному сайту
Посему хочу изолировать каталог с WP, чтобы если даже ломанут WP, файлы основного сайта не пострадали
Вопрос - как запретить PHP подниматься по каталогу выше? Как запретить всему что запускается в директории blog выходить из этой самой директории?
Может htaccess поможет? Или может есть более простое решение для задачи в целом?
  • Вопрос задан
  • 878 просмотров
Пригласить эксперта
Ответы на вопрос 4
gobananas
@gobananas
finishhim.ru
Есть довольно простой способ через панель управления сайтов типа VestaCP или ISPManager. Создаётся отдельный пользователь, ему создаётся отдельный ФТП аккаунт, в качестве корневой директории указываем site.com/blog и всё, ему оттуда и его скриптам доступа никуда нет.
Ответ написан
Комментировать
Sanasol
@Sanasol Куратор тега PHP
нельзя просто так взять и загуглить ошибку
@a0lwq
chroot
LXC
Ответ написан
Комментировать
xmoonlight
@xmoonlight
https://sitecoder.blogspot.com
Максимально обезопасить возможно только в случае, если движок блога расположен выше www-директории.
А доступ к нужной публичной директории (site.com/blog) - предоставляется из центральной точки, являющейся роутером запросов: php-файл или правила .htaccess.
И тоже самое - для другого движка, стоящего рядом.

1. Для защиты от атак (входящие запросы GET/POST и т.д.): читаем здесь.
2. Для контроля запуска shell-функций : php-security
3. Runkit Sandbox (для подмены стандартных функций на свои): здесь
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы