Molti problemi di sicurezza su Magento sono definiti dai permessi impostati sulle cartelle ed i file. Per impostare i corretti parametri potetefare riferimento a http://devdocs.magento.com/ o seguire questa rapida guida.
Note preliminari:
- Il proprietario del file system Magento: deve avere il controllo completo (lettura / scrittura / esecuzione) di tutti i file e directory.
- Non deve essere l’utente del server web; Dovrebbe essere un utente diverso.
- L’utente del server web deve disporre dell’accesso di scrittura ai seguenti file e directory: var app / etc pub
- Inoltre, il gruppo del server web deve possedere il sistema di file di Magento in modo che l’utente Magento (che è nel gruppo) possa condividere l’accesso ai file con l’utente del server web. (Questo include i file creati dall’amministratore di Magento o da altre utilità basate sul web.)
Si consiglia di impostare le autorizzazioni come segue:
Tutte le cartelle devono avere i permessi 770.
I permessi 770 danno il pieno controllo (lettura/scrittura/esecuzione) al proprietario ed al gruppo e non permette l’accesso ad altri.
Tutti i files devono avere i permessi 660.
Per fare ciò da terminale dovresti accedere alla cartella principale di magento
cd <your Magento install dir>
find . -type f -exec chmod 644 {} \;
find . -type d -exec chmod 755 {} \;
find ./var -type d -exec chmod 777 {} \;
find ./pub/media -type d -exec chmod 777 {} \;
find ./pub/static -type d -exec chmod 777 {} \;
chmod 777 ./app/etc
chmod 644 ./app/etc/*.xml
Un ulteriore impostazione è quella di convertire il proprietario dei files e cartelle da utente root a quella limitata all’accesso web
chown -R :<web server group> . chmod u+x bin/magento