Недавно я решил включать отличные плагины системной статистики при каждой установке WordPress. ССЫЛКА НА САЙТ: http://wordpress.org/extend/plugins/tpc-memory-usage/screenshots/
Одной из функций этого плагина является вкладка, на которой он анализирует определенные настройки php / сервера и предлагает изменения.
Что мне любопытно, так это то, что, по вашему мнению, является правильными настройками для некоторых ошибок, которые он мне выплевывает. Это включает:
open_basedir Из ВСЕХ настроек php я, кажется, всегда сталкиваюсь с проблемами с установкой плагинов и даже с загрузкой файлов или установками плагинов, когда для этого установлено значение, поэтому я всегда устанавливал для него значение «none». Я хотел бы знать, каково идеальное значение для этой директивы php и насколько важно, по вашему мнению, установить для нее значение, отличное от «none». Насколько мне известно, это ограничивает доступ процесса PHP к файлам за пределами указанных каталогов. Настоятельно рекомендуется устанавливать open_basedir только для документов вашего веб-сайта и общих библиотек.
безопасный режим Интересно, что я всегда чувствовал, что для этого параметра установлено значение «ВКЛ» из соображений безопасности, но что интересно, этот плагин сообщает, что эта функция устарела в PHP 5.3 и удалена в PHP 6.0. Полагаться на эту функцию архитектурно неверно, так как это не должно решаться на уровне PHP. Что вы думаете по этому поводу?
СерверПодпись У меня для этого параметра установлено значение «ВКЛ», и этот плагин утверждает, что включение этого параметра означает, что версия программного обеспечения вашего сервера и другие важные сведения являются общедоступными, что может дать хакерам информацию, необходимую для использования уязвимостей, связанных с версией и программным обеспечением. Если я отключу это, знаете ли вы, ребята, какие у этого могут быть проблемы?
allow_url_fopen В настоящее время у меня установлено значение ON, но я предлагаю отключить allow_url_fopen из соображений безопасности. Как вы, ребята, к этому относитесь? Очевидно, с этим установленным значением он позволяет файловым функциям PHP, таким как include, require и file_get_contents (), получать данные из удаленных мест (пример: FTP, веб-сайт). Согласно Консорциуму безопасности PHP, большое количество уязвимостей внедрения кода вызвано комбинацией включения allow_url_fopen и плохой входной фильтрацией.
mod_security У меня это не установлено, потому что я всегда сталкиваюсь с некоторыми типами проблем с ним. Что вы думаете по этому поводу?