WordPress корректные права доступа для файлов и директорий

Корректные права доступа для файлов и папок WordPress — залог безопасности и правильного функционирования CMS. Неправильные права доступа на файлы и директории в этой CMS могут быть ключом для успешных атак на сайт. Многочисленные плагины безопасности могут оказаться бесполезными. Корректная настройка прав доступа должна быть самым первым шагом после установки WordPress.

Актуальная схема разрешений для WordPress доступна на официальном сайте WP.

Основные положения:

Все файлы корневого каталога WordPress должны быть доступны для записи только вашей учетной записи, кроме .htaccess, если вы хотите, чтобы WordPress автоматически генерировал rewrite rules.

все файлы должны быть доступны для записи только учетной записи пользователя.

Все файлы должны быть доступны для записи только учетной записи пользователя.

Директория с пользовательским контентом: доступна для записи учетной записью пользователя и процессом веб-сервера.

Внутри /wp-content/ содержатся:

Файлы темы. Если вы хотите использовать встроенный редактор тем, то все файлы должны быть доступны для записи процессу веб-сервера. Если вы не хотите использовать встроенный редактор тем, все файлы могут быть доступны для записи только вашей учетной записи пользователя.

Файлы плагинов: все файлы должны быть доступны для записи только для учетной записи пользователя.

Другие каталоги, которые могут присутствовать в /wp-content/, должны быть задокументированы любым плагином или темой, для которых они требуются. Разрешения могут различаться.

 

Изменение прав доступа через shell:

или

Для директорий:

Для файлов:

 

Когда вы разрешаете WordPress выполнять автоматическое обновление, все операции с файлами выполняются от имени пользователя, которому принадлежат файлы, а не как пользователь веб-сервера. Права на все файлы установлены — 0644, а все каталоги — 0755, и доступны для записи только пользователю, доступны для чтения всем остальным, включая веб-сервер.