Які рекомендовані дозволи бази даних для WordPress?

10

Щойно я запустив WP на власному сервері. Я не намагаюся більше зафіксувати речі. Які дозволи повинен користувач db мати для мого WP db?

— Майк Уіллс
джерело

4

Якщо ви хочете заблокувати речі .... звичайний сайт Wordpress зазвичай вимагає лише користувача SELECT, INSERT, UPDATE та DELETE.

Якщо ви хочете скористатися функцією автоматичного оновлення, вона також потребує CREATE та ALTER.

Деякі плагіни можуть вимагати інших дозволів, але більшість - не.

— cros13
джерело

7

WordPress використовує лише одного користувача БД для всього, і йому потрібно мати всі дозволи на базу даних. CREATE і ALTER використовуються при модернізації, іноді. INSERT, UPDATE та SELECT використовуються постійно.

— Отто
джерело

2

Я задав подібне, але трохи детальніше запитання останнім часом: Користувач бази даних MySQL: Які привілеї потрібні?

Коротка інструкція з установки WordPress ( "5 хвилин" ) зазначає, що:

Створіть на своєму веб-сервері базу даних для WordPress, а також користувача MySQL, який має всі привілеї для доступу та модифікації.

Це мінімум пільг / дозволів, які потрібні, а поруч із тими, інші не потрібні.

Отже, якщо ваш користувач має більше привілеїв, ніж ті, ви можете їх зменшити.

— хакре
джерело

1

Для безпечної бази даних вибір ВСІХ ПРИВИЛЕГІВ, безумовно, НЕ є відповіддю.

Дивіться Кодекс: http://codex.wordpress.org/Hardening_WordPress

> 10 Database Security
>     10.1 Restricting Database User Privileges

— Джеррі9
джерело

Це погана порада, багато плагінів припускають, що вони можуть створювати таблиці і просто не зможуть, якщо не зможуть. Ядро Core може знадобитися ввести нову таблицю або змінити існуючу.

— Марк Каплун

1

Як пояснює кодекс, ви повинні знати, що ви робите, і яка ваша мета для цього. Приклад 1: НЕ БЕЗПЕЧЕННЯ Якщо ви хочете, щоб усе працювало, але не піклувалося про безпеку, просто увімкніть усе і ризикніть. Приклад 2. Повна безпека Якщо ви дбаєте про безпеку, то прочитайте статтю про кодекс. Оновлюючи що-небудь, вам потрібно ЗАБУТИТИ, щоб увімкнути будь-які привілеї, необхідні плагіну або оновлення Wordpress.

— Джеррі9

Марк Каплун правильний ... Оригінал (оп) питання афіші насправді говорить, що він "не намагається зафіксувати речі". Таким чином, присвоєння ВСІХ привілеїв вашій базі даних дозволить працювати будь-яким та всім оновленням Wordpress - це хороша порада для нього (оп). До речі, ось стаття, яка показує КАТЕГОРІЇ для дозволів (Data, Structure, Admin), wpwhitesecurity.com/wordpress-security-hacks/… .

— Джеррі9

Єдиний правильний спосіб захистити WP DB - це мати один на одному сайті, тоді у вас є один "root" користувач, і ви не дуже дбаєте про дозволи. Але це не те, що просили ОП. Щодо статті, на яку ви вказуєте, ... смішно обговорювати безпеку, коли у вас встановлений phpmyadmin та відкрито для Інтернету. Який сенс обмежувати користувача WordPress, коли у вас є інший, який не обмежений (нормально, є точка, але все ще неохайний IMO).

— Марк Каплун

0

Відповідь - всі привілеї. Це зроблено прямо зі сторінки установки WordPress тут. Подивіться розділ phpMyAdmin, і там зазначено "Клацніть Перевірити все, щоб вибрати всі привілеї.

— белига
джерело