chmod -R 777 /var/www/html 到底有什么危险
http://askubuntu.com/questions/20105/why-shouldnt-var-www-have-chmod-777
如果 PHP 崩溃用户看到了包含密码的脚本又能怎样，我的 SSH 需要 key, 数据库禁止了远程登录，就算用户可以上传图片也会被验证，不存在执行上传恶意脚本的可能 toehold, escalate, how???
本来可以留个最新版的 Wordpress+同名数据库 可是当我删除 history 的时候发现还有其它文件夹，比如.mysql_history 和 .ssh 删除后者我的 public key 没有了 现在我也无法登陆 所以不能说我小气 有本事改掉我的主页

安全问题，就是增加攻击者的成本。
换句话说，就是无关紧要的服务关了，无关紧要的端口关了，常用端口混淆混淆，只需要读权限的，绝不给写权限，对外开放的服务，单独开一个用户去管理，习惯目录 0700 与文件 0600 （特定除外），个别文件 0400 ，只有需要两个用户接管同一个目录的时候，才会考虑将两用户扔到同一个 group ，给目录一个 group 的权限。
当然平时注意更新上游的补丁包是必须的。

真不知道，这就是沟通成本。

0day 的原因是三个 7 ？

的确，如果我的知识或实战水平达到了那个程度，就不会问这个问题

尽管实际上我否认折腾自己，并且指明了系统配置安全的假设

后一个比较明白

参见 马航波音 777

嗯你真厉害。

只有达到了一定层次，才能解释的这么简单
到时间了结这个问题了，设计的好，就会比较安全和舒适,

以前小单位，运维也是程序员管， DedeCMS 三天两头出问题，被人提权了还要跑机房，因为他们拔网线…… 经过这样的设置后，后来几年都出过问题，只需要定时去目录里收割 php 木马，看看最近又流行什么木马了。

都出过问题 => 都没出过问题

Wordpress 我都不信任，国内的 CMS 我认为就是一口锅，谁用谁背，一个小团队能搞定的事偏要弄一个山寨轮子，我记得黑客与画家 Paul Graham 提到，大概意思是，我的理解，开发的人少，背锅的人多

以前小公司开项目都不是 PHP 程序员开出来的，而是一个国内 CMS 加一个懂一点点的前端折腾一个月就出来了，然后做 SEO ，流量还真上来了…… 这个时候再去接手，就相当被动。

其实我很佩服你的勇气，因为我没有，但是我遇到过一个不错的老板，他说你能开发出来和这个一模一样的网站就可以不用 CMS... 他问要多久，你要多少钱，我说两个周，后面就犹豫了，比较惊讶，当时我毕业几乎什么都不懂， w3schools.com 看过一遍就自认为比很多人强，实际上现在我还是个新手，因为我没有勇气面对一个烂摊子