Você está tentando descobrir as permissões adequadas do WordPress para arquivos e pastas? Ou você está confuso com toda a idéia das permissões do WordPress em primeiro lugar?
As permissões dos arquivos WordPress são essenciais para a segurança e funcionamento do seu site, portanto você deve entendê-las. Se você estiver usando hospedagem WordPress, é quase certo que seu host já configurou as coisas para você, mas ainda é útil entender estes conceitos se você se deparar com algum problema.
Portanto, se você nunca ouviu falar de permissões do arquivo ou se você está apenas procurando as permissões do arquivo corretas para o WordPress, nós o cobrimos neste artigo. Se você já está familiarizado com as permissões do arquivo, você pode clicar no segundo link para pular diretamente para as permissões do arquivo ideais para o WordPress.
O que são permissões do arquivo?
Em resumo, as permissões dos arquivos controlam como diferentes usuários podem interagir com os arquivos no servidor do seu site WordPress. Mais especificamente, as permissões dos arquivos controlam quem pode ler, escrever e executar arquivos:
- Ler: A capacidade de ler o conteúdo de um arquivo.
- Escrever: A capacidade de alterar um arquivo.
- Executar: A capacidade de “usar” um arquivo (por exemplo, executar um script).
O que são usuários?
Existem três “tipos” diferentes de usuários:
- Proprietário: O proprietário designado do arquivo ou diretório.
- Grupo: Membros do grupo que possui o arquivo ou diretamente.
- Público: Todos os usuários que não sejam o proprietário do arquivo ou membros do grupo.
Cada arquivo ou pasta é propriedade de um usuário específico ou de um grupo em particular. Cada usuário pode ser membro de vários grupos, mas eles podem ter apenas um grupo primário.
Por exemplo, quando você se conecta ao seu site via SFTP, você está usando uma conta de usuário em seu servidor, e essa conta de usuário pertence a um ou mais grupos, dependendo de como seu servidor está configurado.
Nota: A maioria das pessoas não precisa entender o conceito de “usuários” porque sua hopedagem configura tudo isso para você. Entretanto, entenda que é essencial aprender o funcionamento das permissões dos arquivos. Se você se sentir um pouco perdido nesta seção, saiba que, na maioria dos casos, seu host configurou apropriadamente os usuários para seu ambiente de servidor.
Com as permissões do arquivo, você pode controlar o que cada tipo de usuário (Proprietário, Grupo, Público) pode fazer com os arquivos e pastas em seu servidor (Ler, Escrever, Executar).
Em geral, os proprietários do arquivo deveriam ter mais permissões; os usuários que pertencem ao mesmo grupo teriam as mesmas ou menos permissões; os usuários públicos teriam as mesmas ou menos permissões do que o grupo:
Proprietário > Grupo > Público
A idéia de permissões do arquivo é muito semelhante ao sistema de funções e capacidades do WordPress. Se você é o Administrador do seu site, você tem mais controle do que um Editor. Os administradores podem instalar novos plugins, por exemplo, mas um Editor não pode.
Da mesma forma, um Editor tem muito mais controle do que um visitante anônimo do seu site, mesmo que o Editor não tenha tanto poder quanto um Administrador completo. Por exemplo, um Editor pode editar os artigos de outras pessoas e publicar novos artigos no blog, mas um Editor não pode instalar novos plugins.
O que significam os números nas permissões dos arquivos?
As permissões do arquivo são representadas por um número de três dígitos chamado modo de permissão (por exemplo, 777, 440).
Cada dígito no número corresponde ao que um usuário específico pode fazer:
- Primeiro dígito: Controla o que um Proprietário pode fazer.
- Segundo dígito: Controla o que as contas de usuário no Grupo do usuário podem fazer.
- Terceiro dígito: Controla o que todos os outros podem fazer (Público).
Cada dígito no modo de permissão é a soma dos números atribuídos a cada ação:
- Leia: 4
- Escreva: 2
- Executar: 1
Se você não quiser conceder nenhuma permissão, use o número 0.
Novamente, o número que você vê no modo de permissões é a soma de todas as permissões que uma entidade tem. Por exemplo, se o Proprietário pode ler (4) e escrever (2), o modo de permissão seria 6 (4+2).
Ou, se um proprietário tem as três permissões, seriam 7 (4+2+1).
Assim, 777 é a configuração mais permissiva. Isso significa que:
- Primeiro dígito – 7 – O proprietário pode ler (4), escrever (2), e executar (1)
- Segundo dígito – 7 – Grupo pode Ler (4), Escrever (2), e Executar (1)
- Terceiro dígito – 7 – O público pode Ler (4), Escrever (2) e Executar (1)
Por este motivo, você nunca vai querer definir nenhuma permissão para 777 em seu site WordPress. Falaremos mais sobre isto abaixo.
Se você quiser brincar com esta idéia, você pode usar a ferramenta chmod calculator para ver como os números mudam à medida que você atribui diferentes permissões a diferentes usuários.
O que significam as Cartas de Permissões do Arquivo?
Embora você provavelmente encontrará o formato numérico com mais freqüência, você também verá às vezes as permissões do arquivo representadas por cartas e traços.
Por exemplo:
rwxr--r--
Veja como este formato funciona:
- r = Permissões de leitura
- w = Permissões de escrita
- x = Permissões de execução
- – (hífen) = Sem permissões
Há nove caracteres no total – os três primeiros se aplicam ao Proprietário, os três seguintes se aplicam ao Grupo, e os três últimos se aplicam ao Público.
Neste formato, o equivalente a 777 seria rwxrwxrwx.
Por que as permissões dos arquivos WordPress são importantes?
Como as permissões dos arquivos controlam o que diferentes usuários podem fazer com os arquivos em seu servidor, eles desempenham um papel crítico na segurança do WordPress.
Imagine se você definisse todos os arquivos e pastas do seu site para 777. Isso significaria que qualquer pessoa pode criar novos arquivos, modificar arquivos existentes, apagar arquivos existentes, executar scripts e muito mais. As pessoas poderiam adicionar scripts maliciosos ao seu site e executá-los, o que rapidamente levaria a todos os tipos de problemas. Isso seria um pesadelo!
Entretanto, as permissões do arquivo são um ato de equilíbrio, e se você for muito restritivo, seu site também deixaria de funcionar.
Por exemplo, se você definir suas permissões para 000, seu site WordPress deixaria de funcionar inteiramente porque seu site não seria capaz de ler nenhum dos arquivos em seu servidor.
Por essa razão, as permissões ideais para o WordPress sempre vão cair entre 000 (ninguém tem nenhuma permissão) e 777 (todos têm todas as permissões).
Mas as permissões do arquivos também podem ser complicadas, porque, mesmo em cenários mais realistas, você ainda pode encontrar problemas. Por exemplo, o 444 é uma configuração muito segura para o arquivo .htaccess do seu site.
No entanto, se você o configurar assim, provavelmente terá problemas com alguns plugins que precisam ser capazes de escrever no arquivo .htaccess do seu site (tais como plugins de cache como WP Rocket e W3 Total Cache).
Portanto, se você estiver usando um desses plugins que precisam de acesso por escrito, você pode precisar mudar para um 644 ou mesmo 666 um pouco mais permissivo, dependendo de como seu servidor web está configurado.
Por que você precisa alterar as permissões do arquivo WordPress?
A resposta curta é que a maioria das pessoas não precisa alterar manualmente as permissões dos arquivos.
Se você instalou o WordPress usando o instalador automático do seu host, qualquer bom host deve configurar automaticamente as permissões do arquivo ideais para você como parte desse processo de configuração. Se você usar o instalador do WordPress aqui em Kinsta, por exemplo, você pode estar confiante de que estamos configurando as permissões do arquivo corretas – isso faz parte do que fazemos como um host WordPress gerenciado para facilitar sua vida.
Portanto, se você usar o instalador automático do seu host e seu site WordPress estiver funcionando bem, você provavelmente não precisará mexer nas permissões dos arquivos do seu site.
Entretanto, os problemas podem entrar em jogo se você mesmo instalar manualmente o WordPress. Você também pode ter problemas com as permissões do arquivo durante a instalação e uso do plugin, como nosso exemplo de plugin de cache da seção anterior.
As permissões corretas do arquivo para WordPress
Nesta seção, falaremos sobre as permissões do arquivo corretas para o WordPress. Depois, se você precisar de ajuda, mostraremos como mudá-las na próxima seção.
Primeiro, é importante observar que as permissões do arquivo ideais dependem em parte de como seu ambiente de hospedagem é configurado. O que é ótimo e seguro para um ambiente não será necessariamente assim para outros ambientes; isto é especialmente verdadeiro para hospedagem compartilhada usando o suEXEC.
Em geral, uma boa regra geral para explicar isso é começar com a configuração menos permissiva e apenas adicionar permissões conforme necessário para que as coisas funcionem. Por exemplo, ao falar sobre o arquivo wp-config.php, você verá valores em qualquer lugar entre 400 e 644. Se você não tiver certeza por onde começar, você pode começar com 400, desde que você reconheça que esta configuração pode causar problemas com a configuração do seu servidor, e você pode precisar torná-la mais permissiva se você tiver problemas.
E não importa o que aconteça, você nunca deve definir as permissões para nada a 777 (a menos que você seja um especialista e tenha uma excelente razão para fazer isso).
Permissões do arquivo padrão para a maioria dos arquivos/pastas do WordPress
Em geral, as permissões do arquivo corretas para o WordPress devem ser as seguintes:
- Arquivos: 644
- Pastas: 755
Entretanto, existem algumas isenções específicas que são importantes a serem observadas:
- arquivo wp-config.php
- arquivo .htaccess
- arquivo nginx.conf
Permissões wp-config.php
O arquivo wp-config.php do seu site é um arquivo super-sensível contendo as credenciais do banco de dados do seu site e um monte de outras informações importantes.
Um bom ponto de partida para o arquivo wp-config.php é o 644, que é o que usamos em Kinsta. Entretanto, você encontrará muitas outras recomendações aqui, incluindo 640 e 600. Para trancá-lo mais, algumas pessoas até usam 444.
Entretanto, se você usar 444, poderá causar problemas, já que muitos plugins WordPress dependem do acesso de escrita para o arquivo wp-config.php.
Permissões de acesso .htaccess
O arquivo .htaccess do seu site é outro arquivo de configuração vital que merece atenção especial.
Um bom ponto de partida para as permissões .htaccess é 644, que é o que o Codex WordPress recomenda. Alguns desenvolvedores também recomendam 444. Entretanto, se você usar 444, pode restringir os plugins que precisam escrever no arquivo .htaccess (como a maioria dos plugins de cache).
Nota: Se você estiver hospedando com Kinsta, você não terá um arquivo .htaccess, pois usamos o Nginx webserver para melhorar o desempenho. Os arquivos .htaccess são apenas uma característica dos servidores web Apache.
Você não precisa se preocupar com permissões .htaccess se você estiver hospedando em Kinsta porque não há nenhum arquivo .htaccess em primeiro lugar.
Permissões nginx.conf
As mesmas permissões do arquivo .htaccess também se aplicam ao nginx.conf, que é o arquivo de configuração principal se seu host utiliza um servidor web Nginx (como Kinsta faz).
Aqui em Kinsta, usamos 644 para este arquivo nginx.conf. Alguns desenvolvedores também recomendam 444.
Como verificar rapidamente as permissões dos arquivos WordPress
Se você quiser uma maneira rápida e não técnica de verificar as permissões do arquivo do seu site para ver se você tem algum problema, você pode usar o plugin gratuito iThemes Security no WordPress.org.
Você também pode usar FTP ou cPanel File Manager, que lhe mostraremos na próxima seção – primeiro estamos apenas compartilhando este plugin como uma maneira rápida de detectar possíveis problemas.
Uma vez ativado o plugin, vá para Segurança → Configurações e clique no botão Mostrar Detalhes em Permissões do Arquivo:
Aqui, você encontrará suas permissões do arquivo WordPress atuais e como elas se comparam às permissões do arquivo recomendadas pelo iThemes Security. Você pode ver que o iThemes recomenda 444 para o arquivo wp-config.php e o arquivo nginx.conf ou .htaccess (Kinsta usa Nginx, por isso você vê o nginx.conf, mas você veria .htaccess se seu host usasse Apache).
Lembre-se, porém, que 444 causará conflitos com alguns plugins, portanto, talvez você queira evitar usá-lo.
Se você não quiser continuar usando o plugin após a configuração, recomendamos a eliminação do mesmo.
Como editar as permissões do arquivo WordPress
Agora, vamos falar sobre como você pode mudar as permissões do arquivo do seu site WordPress, se necessário. Há vários métodos diferentes que você pode usar – nós lhe mostraremos três maneiras de fazer isso:
- FTP
- cPanel File Manager
- SSH/Terminal
FTP/SFTP
Se você sabe como usar FTP/SFTP para se conectar ao seu servidor, qualquer cliente FTP de qualidade deve permitir que você altere rapidamente as permissões dos arquivos.
Mostraremos a você como funciona usando FileZilla, um popular cliente gratuito e de código aberto.
Uma vez conectado ao seu servidor usando SFTP, clique com o botão direito do mouse no arquivo/pasta que você deseja editar e escolha File permissions:
Então, você pode usar as caixas de seleção ou digitar o número diretamente:
cPanel File Manager
Se seu host fornece o cPanel, você pode usar a ferramenta File Manager do cPanel para editar as permissões dos arquivos do WordPress.
No cPanel File Manager, clique com o botão direito do mouse no arquivo ou pasta que você deseja editar e escolha Change Permissions:
Em seguida, marque as caixas relevantes para atribuir as permissões. Ao fazer isso, você verá os totais mudarem na parte inferior:
Defina as permissões corretas, e você está pronto para ir!
Linha de Comando
Se você se sentir confortável trabalhando a partir da linha de comando, você também pode alterar as permissões do arquivo do seu site usando o chmod. Nós gostamos de usar esta calculadora chmod para obter as permissões adequadas rapidamente.
Resumo
As permissões adequadas dos arquivos WordPress são parte essencial da criação de um site seguro e funcional. Mas você não precisa se preocupar muito com as permissões do arquivo porque a maioria dos hosts configurará tudo corretamente se você usar a ferramenta de auto-instalação do host. Isso também é verdade no Kinsta.
No entanto, se você estiver instalando manualmente o WordPress, ou se alguma coisa tiver bagunçado as permissões do arquivo originais do seu site, você pode precisar editar as permissões do arquivo do seu site.
Em geral, as permissões do diretório WordPress devem ser 755, e as permissões dos arquivos WordPress devem ser 644. Algumas exceções cruciais incluem o arquivo wp-config.php do seu site e o arquivo .htaccess ou nginx.conf do seu servidor, que você pode tornar um pouco menos permissivo.
E não importa o que aconteça, certifique-se de nunca definir permissões do arquivo para 777 em um site ao vivo (mesmo se você souber o que está fazendo). Fazendo isso, abriria seu site e seu servidor a enormes vulnerabilidades de segurança.
Você ainda tem alguma pergunta sobre as permissões dos arquivos do WordPress? Pergunte-nos nos comentários!
Deixe um comentário