¿SFTP va a mejorar la seguridad de Wordpress?

Question

¿SFTP va a mejorar la seguridad de Wordpress?

#1 de LvB (0 votos)

0

Divulgación: soy un desarrollador y no un experto en seguridad

Estoy trabajando en un sitio de Wordpress para un cliente que está (comprensiblemente) preocupado por la seguridad de WP. El cliente alojará el sitio en su propia infraestructura y su departamento de TI que administra sus servidores me está pidiendo que configure SFTP. Esto surgió cuando le di la propiedad al servidor web (www-data) sobre los archivos del sitio WP.

Una de las cosas que me hicieron cuestionar el beneficio de SFTP fue darse cuenta de que almacena las credenciales de SFTP y los detalles clave en el archivo WP-config.php.

La preocupación aquí, en mi opinión, era que si se explotaba una vulnerabilidad y el pirata informático lograba comprometer la instalación de WP, podían obtener estas credenciales de SFTP con una sola línea de código ( file_get_contents (ABSPATH . "wp-config.php"); )

Entonces, mi pregunta es: si el servidor en sí no tiene acceso a FTP externo debido a sus firewalls, ¿cuál es el beneficio de SFTP sobre FTP? He leído numerosos problemas de pesadilla con la depuración de errores de SFTP con Wordpress, por lo que me resisto a hacerlo.

sftp wordpress

pregunta Daniel 15.05.2017 - 15:35

fuente

1 respuesta

Lea otras preguntas en las etiquetas sftp wordpress

Eliminar el malware adf.ly [duplicar] URL de Honeypot y sitio de informes

score 0 · Accepted Answer

Um, creo que realmente estás confundido acerca de las tecnologías en uso. no utiliza FTP en absoluto cuando usa SFTP. Sftp usa una conexión SSH entre el servidor y el cliente y usa el protocolo sftp para el manejo de archivos. (por lo que no se utiliza ftp en absoluto).

SSH es un protocolo de shell remoto seguro, confiable y comprobado que siempre tiene múltiples metodologías para no solo cifrar, sino también para identificar conexiones y sesiones de usuario. Siempre debe usar una clave pública / privada cuando use SSH para mayor seguridad, pero incluso sin ella, SSH ya protege contra MiTM y la suplantación de identidad del servidor

('conoce' el hash de clave pública del servidor después de la conexión inicial y se conoce cuando es diferente y avisa cuando ese es el caso).

todo esto suponiendo que usas SFTP para activar una actualización.

Cuando presiona actualizaciones en su wordpress, todo el perfil de seguridad cambia. De manera predeterminada, SSH almacena sus permisos de acceso en una ubicación a la que NO puede acceder su sitio web (la casa de los usuarios o el archivo de la sombra del sistema). También puede configurar su acceso de tal manera que la conexión SFTP esté "en la cárcel".

Esto significa que el 'shell' solo tiene permisos de acceso a un subconjunto muy limitado del sistema de archivos y a ninguno de los archivos o herramientas del sistema que no estén configurados.

La forma en que describe los sonidos 'SFTP' como FTPS o TLS + FTP. eso significaría que hay un demonio FTP ejecutándose en el servidor que también tiene capacidades TLS (al igual que un demonio HTTP tendría que ser servidor de sitios HTTPS)

Incluso en esa situación, podrías tener seguridad adicional al usar FTPS, pero es mucho más difícil de configurar y tiene todos los inconvenientes de FTP.