Quelles sont les autorisations de base de données recommandées pour WordPress?

10

Je viens de faire fonctionner WP sur mon propre serveur. Je n'essaie pas de verrouiller davantage les choses. Quelles autorisations l'utilisateur db doit-il avoir sur ma base de données WP?

Mike Wills
la source

Réponses:

4

Si vous vouliez verrouiller les choses ... un site wordpress normal ne nécessitera généralement que l'utilisateur de la base de données d'avoir SELECT, INSERT, UPDATE et DELETE.

Si vous souhaitez utiliser la fonction de mise à jour automatique, il faudra également CREER et ALTER.

Certains plugins peuvent nécessiter d'autres autorisations mais la plupart ne le feront pas.

cros13
la source
7

WordPress n'utilise qu'un seul utilisateur DB pour tout, et il devra avoir toutes les autorisations sur la base de données. CREATE et ALTER sont parfois utilisés lors de la mise à niveau. INSERT, UPDATE et SELECT sont utilisés tout le temps.

Otto
la source
2

J'ai posé une question similaire mais un peu plus détaillée ces derniers temps: Utilisateur de la base de données MySQL: Quels privilèges sont nécessaires?

La courte instruction d'installation pour WordPress ( "5 minutes" ) indique que:

Créez une base de données pour WordPress sur votre serveur Web, ainsi qu'un utilisateur MySQL qui a tous les privilèges pour y accéder et le modifier.

Il s'agit du minimum de privilèges / autorisations nécessaires et à côté de ceux-ci, d'autres ne sont pas nécessaires.

Donc, si votre utilisateur a plus de privilèges que ceux-là, vous pouvez les réduire.

hakre
la source
1

Pour une base de données sécurisée, sélectionner TOUS LES PRIVILÈGES n'est certainement PAS la réponse.

Voir le Codex: http://codex.wordpress.org/Hardening_WordPress

> 10 Database Security
>     10.1 Restricting Database User Privileges
Jerry9
la source
C'est un mauvais conseil, de nombreux plugins supposent qu'ils peuvent créer des tables et échoueront s'ils ne le peuvent pas. Le noyau lui-même peut avoir besoin d'introduire une nouvelle table ou de modifier celles existantes.
Mark Kaplun
1
Comme l'explique le codex, vous devez savoir ce que vous faites et quel est votre objectif. Exemple 1: PAS DE SÉCURITÉ Si vous voulez que tout fonctionne mais que vous ne vous souciez pas de la sécurité, alors activez tout et tentez votre chance. Exemple 2: SÉCURITÉ COMPLÈTE Si vous vous souciez de la sécurité, lisez l'article du codex. Lors de la mise à niveau de quoi que ce soit, vous devrez VOUS SOUVENIR d'activer les privilèges requis par le plugin ou la mise à niveau de Wordpress.
Jerry9
Mark Kaplun a raison ... La question (op) de l'affiche originale dit en fait qu'il "n'essaie pas de verrouiller les choses". Donc, attribuer TOUS les privilèges à votre base de données permettra à toutes les mises à niveau de Wordpress de fonctionner - c'est le bon conseil pour lui (l'op). Au fait, voici un article qui montre les CATÉGORIES d'autorisations (Données, Structure, Admin), wpwhitesecurity.com/wordpress-security-hacks/… .
Jerry9
La seule façon appropriée de sécuriser un WP DB est d'en avoir un par site, puis vous avez un utilisateur "root" et vous ne vous souciez pas beaucoup des autorisations. Mais ce n'est pas ce que le PO a demandé. Quant à l'article que vous signalez ... il est amusant de discuter de la sécurité lorsque phpmyadmin est installé et ouvert sur le Web. Quel est l'intérêt de restreindre l'utilisateur wordpress lorsque vous en avez un autre qui n'est pas restreint (ok, il y a un point, mais IMO bâclé).
Mark Kaplun
0

La réponse est tous les privilèges. Ceci est tiré directement de la page d'installation de wordpress ici. Regardez la section phpMyAdmin et elle indique "Cliquez sur Tout vérifier pour sélectionner tous les privilèges.

whodeee
la source