Вернуться   Форум об интернет-маркетинге > >
Ответ
 
Опции темы
Старый 19.12.2011, 20:13   #1
Студент
 
Регистрация: 19.12.2011
Сообщений: 43
Репутация: 10

По умолчанию Настройка Apache для WordPress (не ошибся ли я где в конфиге)

Здравствуйте.

Прошу знающих людей посмотреть не ошибся ли я где в конфиге апача в плане безопасности.
На VPS (512 RAM/LAMP (debian) + nginx) будет 2 сайта, конфиг такой:

Код:
Timeout 300

KeepAlive On

MaxKeepAliveRequests 100

KeepAliveTimeout 5

<IfModule mpm_prefork_module>
    StartServers          2
    MinSpareServers       3
    MaxSpareServers      5
    MaxClients          17
    MaxRequestsPerChild   5000
</IfModule>

# These need to be set in /etc/apache2/envvars
User ${APACHE_RUN_USER}
Group ${APACHE_RUN_GROUP}

AccessFileName .htaccess

#
# The following lines prevent .htaccess and .htpasswd files from being 
# viewed by Web clients. 
#
<Files ~ "^\.ht">
    Order allow,deny
    Deny from all
    Satisfy all
</Files>

DefaultType text/plain

HostnameLookups Off

ErrorLog ${APACHE_LOG_DIR}/error.log

LogLevel warn

# Include module configuration:
Include mods-enabled/*.load
Include mods-enabled/*.conf

# Include all the user configurations:
Include httpd.conf

# Include ports listing
Include ports.conf

Include conf.d/

NameVirtualHost *:81
<VirtualHost *:81 >
	ServerName SITE1.RU
        <Directory />
                Options FollowSymLinks
                AllowOverride All
        </Directory>
        CustomLog /var/www/httpd-logs/SITE1.access.log "combined"
	DocumentRoot /var/www/SITE1
        ErrorLog /var/www/hvp/httpd-logs/SITE1.error.log
	ServerAdmin 
	ServerAlias www.*****.RU
	AddType application/x-httpd-php .php .php3 .php4 .php5 .phtml
	AddType application/x-httpd-php-source .phps
LogLevel warn

<VirtualHost *:81 >

     	ServerName SITE2.RU
        <Directory />
                Options FollowSymLinks
                AllowOverride All
        </Directory>
        CustomLog /var/www/httpd-logs/SITE2.access.log "combined"
	DocumentRoot /var/www/SITE2
        ErrorLog /var/www/hvp/httpd-logs/SITE2.error.log
	ServerAdmin 
	ServerAlias www.*****.RU
	AddType application/x-httpd-php .php .php3 .php4 .php5 .phtml
	AddType application/x-httpd-php-source .phps
</VirtualHost>

Вопрос заключается в следующем - до того как я добавил
<Directory />
Options FollowSymLinks
AllowOverride All
</Directory>

из гайда по настройке, у меня по запросам типа site1.ru/wp-includes/ выдавало всё содержимое этого каталога.
Но как я понимаю это строго неправильно и так быть не должно. После добавления указанных выше строк, по такому запросу выводит "forbidden", однако меня смущают 3 вещи:

1. В другом гайде пишут что такую настройку <Directory /> и т.д. использовать не надо т.к. апач начинает искать по всем папкам .htacess и это мол замедляет работу
2. По запросу site1.ru/wp-includes/*имя любого php файла* выкидывает не forbidden, а пустую страницу. Это нормально?
3. Опять же в первом гайде пишут что надо добавить
Код:
    <Directory /var/www/>
                Options Indexes FollowSymLinks MultiViews
                AllowOverride All
                Order allow,deny
                allow from all
        </Directory>
Надо это делать или нет? т.к. сайт то у меня лежит в /var/www/site1/

Заранее спасибо.
Zbt вне форума   Ответить с цитированием

Реклама
Старый 19.12.2011, 20:29   #2
myhand
Академик
 
Регистрация: 16.09.2009
Сообщений: 4,853
Репутация: 138734

По умолчанию Re: Настройка Apache для WordPress (не ошибся ли я где в конфиге)

Цитата:
Сообщение от Zbt Посмотреть сообщение
до того как я добавил ... из гайда по настройке, у меня по запросам типа site1.ru/wp-includes/ выдавало всё содержимое этого каталога.
Потому что до того как вы добавили - вы добавили (извините за каламбур) нечто (типа Options Indexes), разрешившее подобную глупость.

Цитата:
Сообщение от Zbt Посмотреть сообщение
Но как я понимаю это строго неправильно и так быть не должно.
Это и правильно и неправильно. Есть ситуации, когда это надо - есть, когда не надо.

Цитата:
Сообщение от Zbt Посмотреть сообщение
1. В другом гайде пишут что такую настройку <Directory /> и т.д. использовать не надо т.к. апач начинает искать по всем папкам .htacess и это мол замедляет работу
Совет вам простой и единственный: перестаньте читать всякие "гайды". Есть вопросы по опциям - обратитесь в документацию апача.

Нет желания нормально учиться - используйте примеры конфигов апача, которые вам дают разработчики CMS.
Цитата:
Сообщение от Zbt Посмотреть сообщение
2. По запросу site1.ru/wp-includes/*имя любого php файла* выкидывает не forbidden, а пустую страницу. Это нормально?
И да. И нет. "Пустая страница" - скорее всего означает, что скрипт отработал. Если вы знаете, что прямого доступа через веб к этому файлу быть не должно - запретите его стандартными средствами веб-сервера.

Цитата:
Сообщение от Zbt Посмотреть сообщение
3. Опять же в первом гайде пишут что надо добавить
Узнайте, что означают эти директивы - и на основе этого решите.

Удачи.
__________________
Абонементное сопровождение серверов (Debian)
Отправить личное сообщение,
написать письмо.
myhand вне форума   Ответить с цитированием
Старый 19.12.2011, 22:17   #3
iHead
iHead.ru
 
Аватар для iHead
 
Регистрация: 25.04.2008
Адрес: Kirov
Сообщений: 874
Репутация: 76775
Отправить сообщение для iHead с помощью ICQ
Социальные сети

По умолчанию Re: Настройка Apache для WordPress (не ошибся ли я где в конфиге)

выключите модуль autoindex и наступит вам счастье.
iHead вне форума   Ответить с цитированием
Ответ



Опции темы

Быстрый переход


Регистрация Справка Календарь Поддержка Все разделы прочитаны