Não mantenha as configurações do banco de dados legíveis para o mundo. Limite-os ao usuário e / ou grupo www-data
. Na verdade, limite todos os diretórios base a seus proprietários e o grupo www-data
.
chgrp -R www-data /home/user
chmod -R u=rwX,g=rXs,o= /home/user
(O g=s
bit fará todos os arquivos recém-criados herdarem o grupo www-data
.) Também defina o umask padrão (em /etc/profile
ou via PAM) como 027
, que nega acesso a "outros" por padrão.
Claro, isso é fácil de contornar. Basta escrever uma página da Web (PHP ou similar) que leia as configurações dos outros usuários. Uma solução melhor seria instalar suPHP , o que torna as páginas da Web CGI executadas na conta do proprietário; com suPHP você não precisa da propriedade do grupo www-data
- basta limitar todos os arquivos ao seu proprietário ( u=rwX,go=
). No entanto, isso pode introduzir uma falha de segurança diferente: o WordPress agora teria permissões de gravação para todo o site, e considerando o histórico de segurança do WP, isso é ruim.
Quanto ao resto do sistema - /var
, /usr
, /etc
- a maior parte não é não sensível. As partes que estão, já estão protegidas por permissões padrão. Não se incomode em esconder o resto.