home iconInicio / wordpress / ¿Qué problemas de seguridad debo tener al configurar FS_METHOD en "directo" en wp-config?

¿Qué problemas de seguridad debo tener al configurar FS_METHOD en "directo" en wp-config?

    • vote up icon 44 vote down icon
    • translation icon
    • view icon76120 calendar icon2015-05-27

    Recientementetuve unproblemaen el quenopudeinstalarel complemento WP Smush Proporquenotengo las opciones de Instalaciónmanual o Instalación con un clic disponibles.

    Meencontré con estapublicación que sugirió ajustar la configuraciónen wp-config.php. Agregué la configuración sugerida,sinembargo la queparece ser lamásimportantees:

    define('FS_METHOD', 'direct');

    Lo queme gustaría saberes quépreocupaciones reales deberíatener acerca de configurar FS_METHODen direct. ¿Existen otras alternativasparainstalarel complemento?

    Estoes lo que dice la documentación oficial:

    FS_METHODfuerzaelmétodo del sistema de archivos. Solo debe ser "directo", "ssh2","ftpext" o "ftpsockets". Generalmente,solo debes cambiar esto sitiene problemas de actualización. Si lo cambias y no ayuda,cámbielo denuevo/elimínelo. En lamayoría de circunstancias, establecerloen 'ftpsockets'funcionará sielelegido automáticamente elmétodono lo hace.

    (Preferenciaprimaria) "directo" lo obliga a usar solicitudes de E/S de archivos directos desde PHP,estoestá lleno de seguridad problemasen hostsmal configurados,esto seelige automáticamente cuando apropiado.

    plugins security wp-config ftp

3  respuestas

  • votos
    • accept answer icon
    • translation icon
    • calendar icon 2015-05-27

    Asíes comoentendí laidea de la API de archivos de WordPress . Sinoes correcto,votaen contra :)

    Estábien. Si carga un archivo,este archivotiene unpropietario. Si carga su archivo con FTP,inicie sesión yel archivo serápropiedad del usuario de FTP. Comotiene las credenciales,puedemodificarestos archivos através de FTP. Elpropietarionormalmentepuedeejecutar,eliminar,alterar,etc.el archivo. Por supuesto,puede cambiaresto cambiando los permisos de archivo .

    Si carga un archivo usando PHP,el usuario de Linux,queestáejecutando PHP,eselpropietario del archivo. Este usuario ahorapuedeeditar,eliminar,ejecutar,etc.el archivo. Estoestábien siempre y cuando solo usted seael usuario,queestáejecutando PHPen su sistema.

    Supongamos que seencuentraen un host compartido "mal" configurado. Muchagente ejecuta sus sitios web PHPen este sistema. Digamos que solo un usuario de Linuxestáejecutando PHPparatodasestaspersonas. Uno de los webmasters deeste host compartidotiene malasintenciones. Él ve supágina y descubre la ruta a suinstalación de WordPress. Porejemplo,WP_DEBUG seestableceen verdadero y hay unmensaje deerror como 

     [warning] /var/www/vhosts/userxyz/wp-content/plugins/bad-plugin/doesnt-execute-correctly.php on line 1

    "¡Ja!" diceel chicomalo. Veamos,siestetipo ha configurado FS_METHODen direct yescribe un script como 

     <?php
unlink( '/var/www/vhosts/userxyz/wp-content/plugins/bad-plugin/doesnt-execute-correctly.php' );
?>

    Dado que solo un usuarioestáejecutando PHP yeste usuariotambiénes utilizadoporel chicomalo,puede alterar/eliminar/ejecutar los archivosen su sistema si los ha subido através de PHP y adjuntando al usuario de PHP comopropietario.

    Su sitio ha sidopirateado.

    O,como diceel Codex:

    Muchos sistemas de alojamientotienen el servidor webejecutándose como un usuario diferente queelpropietario de los archivos de WordPress. Cuandoesteesel caso,un proceso deescritura de archivos desdeel usuario del servidor webtendráel resultado archivospropiedad de la cuenta de usuario del servidor weben lugar de la cuenta de usuario. Estopuedeprovocar unproblema de seguridaden el alojamiento compartido. situacionesen las que varios usuarios compartenelmismo servidor webpara diferentes sitios.

    • translation icon
    • calendar icon 2016-07-14

    ¿Cuálesel riesgo?

    En un host compartidomal configurado,el PHP de cada cliente seejecutará comoelmismo usuario (digamos apachepara discusión). Esta configuraciónes sorprendentemente común.

    Siestáen un host deestetipo y usa WordPressparainstalarel complementomedianteel acceso directo a archivos,todos los archivos del complementopertenecerán a apache. Un usuario legítimoen elmismo servidorpodría atacarteescribiendo un script PHP queinyecta códigomalignoen tus archivos de complementos. Suben su script a supropio sitio web y solicitan su URL. Su código se vio comprometido con éxitoporque su secuencia de comandos seejecuta como apache,elmismo queposee los archivos de su complemento.

    ¿Quétiene que ver FS_METHOD 'direct' conesto?

    Cuando WordPressnecesitainstalar archivos (como un complemento),utiliza get_filesystem_method () funciónpara determinar cómo acceder al sistema de archivos. Sino define FS_METHOD,elegirá un valorpredeterminadopara usted; de lo contrario,usará su selección siempre quetenga sentido.

    El comportamientopredeterminado intentará detectar si seencuentraen unentorno de riesgo comoel que describí anteriormente,y si cree queestá a salvo,utilizaráel 'direct'. Eneste caso,WordPress creará los archivos directamente através de PHP,haciendo quepertenezcan al usuario apache (enesteejemplo). De lo contrario,recurrirá a unmétodomás seguro,como solicitarle las credenciales SFTP y crear los archivos como usted.

    FS_METHOD = 'direct'pide a WordPress que omitaesa detección de riesgo y siempre cree archivos utilizandoelmétodo 'direct'.

    Entonces,¿por qué usar FS_METHOD = 'direct'?

    Desafortunadamente,la lógica de WordPresspara detectar unentornoen riesgoes defectuosa yproducetantofalsospositivos comofalsosnegativos. ¡Ups! Lapruebaimplica la creación de un archivo y asegurarse de quepertenece almismopropietario queel directorioen el que vive. Se supone que si los usuarios son losmismos,PHP seestáejecutando como supropia cuenta yes seguroinstalar complementos comoesa cuenta. Si son diferentes,WordPress asume que PHP seejecuta como una cuenta compartida ynoes seguroinstalar complementos comoesa cuenta. Desafortunadamente,estas dos suposiciones son conjeturasfundamentadas que confrecuenciaestaránequivocadas.

    Usaría define('FS_METHOD', 'direct' );en unescenario defalsopositivo comoeste: ustedesparte de unequipo confiable cuyosmiembros cargan archivos através de supropia cuenta . PHP seejecuta como supropio usuarioindependiente. WordPress asumirá queestees unentornoen riesgo ynoestarápredeterminadoen elmodo 'direct'. En realidad,solo se comparte con usuarios de confianza y,comotal,elmodo 'direct'es seguro. Eneste caso,debe usar define('FS_METHOD', 'direct' );para obligar a WordPress aescribir archivos directamente.

    • translation icon
    • calendar icon 2017-02-23

    Existe una situación "bien configurada"en la que "directo"generaráproblemas.

    Tambiénesposible configurarel alojamiento WP compartido con usuarios deejecución PHPno compartidos,diferentes de los usuarios depropiedad de archivos/directorios. Así queterminas con los archivospropiedad de user1 yel código PHP seejecuta comophp-user1.

    Enesa situación,los complementospirateados oel código central (a)nopuedenescribir (oincluso leer,según lospermisos) de los directorios de otros usuarios;(b)nopuedeescribir este archivos de usuario y,por lotanto,nopuede agregar códigotroyano al código delnúcleo o del complemento.

    Entonces,siel alojamientoestá configurado deesamanera,DEBE usar FTPpara las actualizaciones y "directo"nofuncionará.

    Si configura 'directo'en wp-config.php yel usuario deejecución de PHPnotiene permiso deescritura,obtendrámensajes Update Failed yno apareceráninguna ventanaemergente solicitando las credenciales de FTP.