wordpress - WordPress - 通过自动更新强化权限?
问题描述
有没有办法让 WordPress 在仍然使用强化权限的同时自动更新?
似乎 WordPress 推荐的安全设置是使用强化权限,这主要是使用此答案中给出的权限来实现的。但是,这些权限导致 WordPress 无法自动更新,或者无法通过管理员网页界面使用更新,从而导致错误:
Downloading update from https://downloads.wordpress.org/release/wordpress-x.x.x-partial-x.zip…
Unpacking the update…
The update cannot be installed because we will be unable to copy some files. This is usually due to inconsistent file permissions.: wp-admin/includes/update-core.php
Installation Failed
通过允许网络服务器更新update-core.php,我们违反了强化权限(据我所知)。不幸的是,如果没有自动更新,我们还会遇到无法获得自动安全更新的问题,从而导致另一个安全问题。有没有办法允许自动更新而不需要弱权限?在仍然允许自动更新的同时可以使用的最强权限是什么,这是否足够强大?
解决方案
Hardening Wordpress指南描述了什么是安全设置并推荐自动更新,但方便地省略了前者不适用于它们。
据我所知,每个管理员都有一个非常不愉快的选择:
- 保留强化的权限,需要掌握每一个小更新并来回更改权限以执行它
- 以未记录的方式放宽权限,并冒着相关的不安全感增加的风险
作为主要处理自动化的人,我个人无法落后于手动方法。这似乎风险较小,但前提是您从未碰巧让更新在一两个星期内无人看管。那么可以说,由于未修补的漏洞,风险会比权限更宽松的风险更高。
这是我用来在更新所需的几秒钟内切换到“不安全”模式的摘录(我将一直使用它,直到出现更好的情况或我对这种手动方法的耐心结束):
sudo chown -R <wordpress_user> <wp_rootdir>; read; sudo chown -R <myuser> <wp_rootdir>
它将所有内容的所有者更改为运行 WordPress 的进程,并使用“读取”命令来暂停,直到您按下任何按钮然后恢复为原始所有者。
TL;DL:不,只有两个末端的选择。