WordPress权限:了解它们和它们的最佳设置

你正试图找到文件和文件夹的正确的WordPress权限吗？还是你一开始就对WordPress权限的整个概念感到困惑？

WordPress文件权限对你网站的安全和运营至关重要，所以你必须了解它们。如果你正在使用WordPress主机，你的主机几乎肯定会为你配置一些东西，但是如果你遇到任何问题，理解这些概念仍然是有帮助的。

所以，无论你是没听说过文件权限，还是你只是在寻找适合WordPress的文件权限，我们都会在这篇文章里给你介绍。如果你已经熟悉文件权限，可以点击第二个链接直接跳转到WordPress的最佳文件权限。

什么是文件权限？

更正WordPress的文件权限

如何快速检查WordPress文件权限

如何编辑WordPress文件权限

提示:这篇文章100%关注WordPress文件权限以及如何使用它们来保护你的网站。如果你对控制WordPress用户权限更感兴趣，请查看我们的WordPress用户角色和权限文章。

什么是文件权限？

简而言之，文件权限控制不同的用户如何与你的WordPress站点服务器上的文件交互。更具体地说，文件权限控制谁可以读取、写入和执行文件:

读取:读取文件内容的能力。

写:改变文件的能力。

执行:“使用”文件的能力(例如执行脚本)。

什么是用户？

用户分为三种不同的“类型”:

所有者:文件或目录的指定所有者。

组:拥有文件或直接拥有文件的组的成员。

公共:除文件所有者或组成员之外的所有用户。

每个文件或文件夹都归特定的用户或组所有。每个用户可以是多个组的成员，但他们只能有一个主要组。

例如，当您通过SFTP连接到您的站点时，您使用的是服务器上的用户帐户，该用户帐户属于一个或多个组，具体取决于您的服务器的配置。

注意:大多数人不需要掌握“用户”这个概念，因为你的主机会为你配置好所有这些。但是，了解了解文件权限的功能是必不可少的。如果您对这一部分感到有点困惑，请知道在大多数情况下，您的主机已经为您的服务器环境正确地设置了用户。

通过文件权限，您可以控制每种类型的用户(所有者、组、公共)可以对服务器上的文件和文件夹执行的操作(读、写、执行)。

一般来说，文件的所有者应该拥有最多的权限；属于同一组的用户将拥有相同或更少的权限；公共用户将拥有与组相同或更少的权限:

所有者>群组>公共

权限的概念非常类似于WordPress角色和权限系统。如果你是网站的管理员，你比编辑有更多的控制权。例如，管理员可以安装新的插件，但编辑不能。

同样，编辑比匿名访问者对你的网站有更多的控制权，即使编辑没有完全的管理员权力。比如编辑可以编辑别人的博文，发布新的博文，但是编辑不能安装新的插件。

文件权限中的数字是什么意思？

权限由称为权限模式的三位数表示(例如777、440)。

数字中的每个数字对应于特定用户可以执行的操作:

第一:控制主人能做什么。

第二位:控制用户组中的用户账号可以做什么。

第三:控制别人能做什么(公开)。

权限模式中的每个数字是分配给每个操作的数字的总和:

阅读:4

写:2

执行:1

如果您不想授予任何权限，请使用数字0。

同样，您在权限模式中看到的数字是该实体拥有的所有权限的总和。例如，如果所有者可以读(4)和写(2)，权限模式将是6 (4+2)。

或者7 (4+2+1 ),如果所有者拥有所有三种权限。

所以777是最宽松的配置。代表:

第一个数字-7-所有者可以读(4)、写(2)和执行(1)

第二个数字–7–组可以读取(4)、写入(2)和执行(1)

第三个数字-7-公众可以读(4)，写(2)和执行(1)

出于这个原因，你几乎不希望在你的WordPress网站上设置任何权限为777。我们将在下面详细讨论这一点。

如果您想尝试这个想法，您可以使用chmod计算器工具来查看当您为不同的用户分配不同的权限时，这些数字是如何变化的。

文件权限中的字母是什么意思？

虽然您可能最常遇到数字格式，但有时您也会看到用字母和破折号表示的文件权限。

示例:rwxr–r–

这种格式是这样工作的:

R =读取权限

W =写权限

X =执行权限

–(连字符)=没有权限

总共有九个字符-前三个适用于所有者，后三个适用于群体，后三个适用于公众。

在这种格式中，777的等效项将是rwxrwxrwx。

为什么WordPress文件权限很重要？

由于文件权限控制着不同的用户可以对你的服务器上的文件做什么，它们在WordPress安全中扮演着重要的角色。

想象一下，如果您将站点中的所有文件和文件夹都设置为777。这意味着任何人都可以创建新文件、修改现有文件、删除现有文件、执行脚本等等。人们可以将恶意脚本添加到您的站点中并执行它们，这将很快导致各种问题。这将是一场噩梦！

然而，文件权限是一个平衡的行为，如果你限制太多，你的网站将停止工作。

例如，如果你设置权限为000，你的WordPress站点将完全停止运行，因为你的站点甚至不能读取服务器上的任何文件。

因此，WordPress的最佳文件权限始终在000(无人拥有任何权限)和777(所有人拥有所有权限)之间。

然而，文件权限也很棘手，因为即使在更现实的场景中，您仍然可能会遇到问题。例如，444是一个非常安全的设置。htaccess文件。

然而，如果你设置了这个，你可能会遇到一些问题，需要插件来写你的网站。htaccess文件(例如WP Rocket、W3 Total Cache等缓存插件)。

因此，如果您正在使用需要写权限的插件，您可能需要切换到稍微宽松的644甚至666，这取决于您的Web服务器的配置。

为什么需要更改WordPress文件权限？

简而言之，大多数人不需要手动更改文件权限。

如果你用主机的自动安装程序安装了WordPress，那么作为这个安装过程的一部分，任何一个好的主机都应该自动为你设置最好的文件权限。

因此，如果你使用主机的自动安装程序并且你的WordPress站点运行良好，你可能不需要修改站点的文件权限。

但是如果自己手动安装WordPress，可能会有问题。在插件安装和使用过程中，还可能会遇到文件权限问题，比如上一节的缓存插件例子。

更正WordPress的文件权限

在这一部分，我们将讨论WordPress的正确文件权限。然后，如果您需要帮助，我们将在下一节告诉您如何更改它们。

首先，需要注意的是，最好的文件权限部分取决于你的主机环境是如何配置的。对于一种环境来说，它是最佳的和安全的，但对于其他环境来说就不一定了。对于使用suEXEC的共享主机来说尤其如此。

一般来说，解决这个问题的一个很好的经验法则是从最少允许的配置开始，只在需要时添加权限以使事情正常工作。例如，当谈到wp-config.php文件时，您会看到从400到644的任何值。如果你不确定从哪里开始，你可以从400开始，只要你意识到这个设置可能会导致服务器配置出现问题，如果你遇到问题，你可能需要让它更宽松。

在任何情况下，您都不应该将任何权限设置为777(除非您是专家并且有很好的理由这样做)。

大多数WordPress文件/文件夹的默认文件权限

一般来说，WordPress的正确文件权限应该如下:

文件:644

文件夹:755

但是，需要注意一些特殊的例外情况:

Wp-config.php文件

。htaccess文件

Nginx.conf文件

Wp-config.php当局

您站点的wp-config.php文件是一个超级敏感的文件，它包含您站点的数据库凭证和许多其他重要信息。

wp-config.php的一个好的起点是644。但是，你会在这里发现很多其他的建议，包括640和600。为了更锁，甚至有人用444。

但是，如果使用444，可能会导致问题，因为许多WordPress插件依赖于wp-config.php文件的写权限。

。htaccess权限

你的网站。htaccess文件是另一个值得特别注意的重要配置文件。

一个很好的起点。htaccess权限是644，这是WordPress Codex推荐的。也有开发者推荐444。但是如果用444，可能会限制需要写的插件。htaccess文件(比如大部分缓存插件)。

注意:没有. htaccess文件，那可能是因为主机使用Nginx web服务器提高性能。的。htaccess文件只是Apache web服务器上的一个特性。

Nginx.conf权限

一样的。htaccess文件权限也适用于Nginx.conf，如果您的主机使用nginx web服务器，这是主要的配置文件。

一般nginx.conf文件也用644。也有开发者推荐444。

如何快速检查WordPress文件权限

如果你想用一种快速而非技术性的方式来检查你网站的文件权限，看看有没有问题，你可以使用WordPress.org上免费的iThemes安全插件。

你也可以使用FTP或cPanel文件管理器，我们将在下一节向你展示——我们只是分享这个插件作为一种快速检测潜在问题的方法。

激活插件后，转到安全→设置，然后单击文件权限下的显示详细信息按钮:

WordPress中文件权限工具的位置

在这里，你可以找到你当前的WordPress文件权限，以及它们与iThemes Security推荐的权限的比较。可以看到iThemes对wp-config.php文件和nginx.conf或推荐444。htaccess文件。

但是请记住，444可能会导致与某些插件的冲突，因此您可能希望避免使用它。

WordPress中的iThemes安全特性将现有的文件权限与建议的权限设置进行比较。

如果你不想在安装后继续使用插件，我们建议你删除它。

如何编辑WordPress文件权限

现在，我们来谈谈如何在需要的时候更改WordPress网站的文件权限。您可以使用几种不同的方法，我们将向您展示三种方法:

文件传送协议

CPanel文件管理器

SSH/终端

FTP/SFTP

如果你知道如何使用FTP/SFTP连接到你的服务器，那么任何高质量的FTP客户端都可以让你快速改变文件权限。

我们将使用流行的免费开源客户端FileZilla向您展示它是如何工作的。

使用SFTP连接到服务器后，右键单击要编辑的文件/文件夹，然后选择文件权限:

如何在FileZilla中使用FTP更改文件权限

然后，您可以使用复选框或直接输入编号:

如何使用FileZilla输入新的文件权限

CPanel文件管理器

如果你的主机提供cPanel，你可以使用cPanel的文件管理工具来编辑WordPress文件权限。

在cPanel文件管理器中，右键单击要编辑的文件或文件夹，然后选择更改权限:

如何使用cPanel文件管理器更改文件权限

然后，选中相关的框来分配权限。执行此操作时，您将在底部看到总的变化:

如何使用cPanel输入新的文件权限

设置正确的权限，一切顺利！

命令行

如果您喜欢从命令行工作，也可以使用chmod。我们喜欢使用这个chmod计算器来快速获得适当的权限。

总结

正确的WordPress文件权限是创建一个安全且运行良好的网站的重要部分。但是不需要太担心文件权限的问题，因为如果使用主机的自动安装工具，大部分主机都会正确配置一切。

但是，如果你手动安装WordPress，或者你的站点的原始文件权限被某些东西搞乱了，你可能需要编辑站点的文件权限。

一般来说，WordPress目录权限应该是755，WordPress文件权限应该是644。一些重要的例外包括您站点的wp-config.php文件和。htaccess或nginx.conf文件，您可以稍微降低它们的权限。

无论如何，确保你永远不要在现场设置文件权限为777(即使你知道你在做什么)。这样做会使你的网站和服务器暴露在巨大的安全漏洞下。