WP-CONTENT/UPLOADS的777，775，744，644，444文件权限设置

时间：2023-06-30 19:12:01 | 来源：网站运营

时间：2023-06-30 19:12:01 来源：网站运营

WP-CONTENT/UPLOADS的777，775，744，644，444文件权限设置：

WP-CONTENT/UPLOADS 文件夹到底应该设怎么样的权限呢？世意欧详细解答了777、755、644、744等文件权限的利弊、风险提示及相关的结论建议！

本文是需要一定计算机基础或者是对Wordpress稍比较熟悉的！

众所周知，wordpress是世界上建站程序最多，更新最快，开源程度最好的建站程序！广泛运用于博客、公司网站、门户网站、跨境电商自建站等。

国内很多的专业出海服务公司，也采用Wordpress建站 ，如外贸牛等！不少企业，还因此上市！

很多人甚至是使用Wordpress多年的用户，反馈Wordpress的安全问题！世意欧根据这些年的实战经验，汇集worpress安全运维问题！

因每个人使用的Web服务器不太一样，有些是Nginx，有些是Apache, 有些是Java, 有些是Python等， 甚至有很大部分人使用是虚拟主机（比较难清楚是使用哪种具体服务器了！因此在我们网站，我们都会标注是使用什么样的Web服务器及怎么样的版本，方便参考！

WP-CONTENT/UPLOADS 文件夹到底应该设怎么样的权限呢？

先看网络搜索结果：基本很少这方面的专业详细描述！

先看网络查到的第一种：设置为777 权限！

777 是全面开放权限，对任何级别都不限制任何限制！读、写、执行任何操作，任何人如所有者、管理者、访客、注册用户、非注册用户等，均可操作任何权限。

世意欧解答：如果您的Web服务器或操作系统，安全性足够好！特别是安全装备或配备非常好，如沙盒技术，防篡改技术，禁止上传文件限制，或者Wordpress仅限管理员上传，别的任何用户无法使用等，防病毒软件良好等的前提下，可以试试！

小篇世意欧曾经在十几年前，租用国外虚拟主机，当时安装插件时，需要开放权限，就wp-content 文件夹及其下的文件夹或文件，全部都设为777， 结果没过两天，网站打不开。当时还是Wordpress的小白，实施上传备份，恢复快！ 折腾来折腾去，最后就放在那里！当时就是不懂开放全部权限的意思！现在想想，当时还误以为是虚拟主机不好使，是不客观的！

世意欧风险提示：如果把操作系统安全比作国家安全，把Web服务器安全比作各省市安全，把Wordpress网站安全比作村镇安全，把uploads的安全比作是住宅的门户安全。如果一个住宅，大门一直都大开着，是不是什么人都可以进来啊！黑客是最喜欢这种所有权限都开放的设置！

世意欧结论：能不能信网络把uploads的文件权限设为777 ，得根据您各项系统安全性及各项安全配置而定，我个人有前车之鉴，最终还得您自己决定！毕竟安全是整体防御的系统性，Uploads 仅是占其中一个小环节！

网络查到的第二种：设置为755权限！

我还在国外权威文章中，看到这幅图！觉得非常好！具体哪篇文章，还真有点忘记了，小编Jacky基本上是看国内几十篇，国外几十篇；直到找到自己的满意！ 安全软件Security 提醒是 建议 设置为755 权限！

世意欧解答：这个755的意思 就是，仅所有者拥有读、写、执行的权限；用户组是读和执行的权限；公共访客组也是读和执行的权限！

世意欧实战测试如下：如果所有者默认是WWW 组的，还是运行得通的。

但我把所有者改为 ROOT组的，结果可能会更安全！ 但是 使用Wordpress管理员登录后台，进行上传图片等操作时，却出现权限问题！

世意欧结论：这个设置755 是有前提的，就是所有者最好是公共的WWW网络组。而非ROOT组。不然只有ROOT组角色的才能写入（如上传）图片等，即使是Wordpress管理员都无法上传，因为Wordpress管理员不算是操作系统的ROOT组成员，需要额外增加的。

第三种：Upload 能不能是644的文件权限呢

1. 测试环境一： 使用Nginx 1.19.8
2. 测试环境二：使用Wordpress 5.7.2
3. 测试环境三：所有防火墙、安全软件、防护软件、报警软件均关闭！
4. 测试环境四：Wordpress所有文件的所有者均为 www

世意欧解答：644 是指 所有者 拥有读和写入的权限；用户组及公共组仅有读取的权限的，无法写入的权限。无论是所有者还用户组还是公共组均无法执行。

世意欧实战测试如下： 这种方法会出现错误提示！

“640.SEO.Logo.jpg” has failed to upload.The uploaded file could not be moved to wp-content/uploads.世意欧结论： 对upload 设置644权限，理论上很对；实际操作是不可以的！像544，444 就更不行的了啊！ 具体原因，我一知半解，不是非常清楚，欢迎留言告知小编啊！

第四种：根据给权限最小原则，能不能是744的文件权限呢？

1. 测试环境一： 使用Nginx 1.19.8
2. 测试环境二：使用Wordpress 5.7.2
3. 测试环境三：所有防火墙、安全软件、防护软件、报警软件均关闭！
4. 测试环境四：Wordpress所有文件的所有者均为 www

世意欧解答： 因wordpress外贸自建站，upload 主要用于上传图片、视频、PDF等常见的，公共组主要是读取即可；客户注册成为用户，多用户并操作后台的比较少。同时主要是外贸业务员在管理后台！根据这种实际情况，一是完全没有必要开放公共组执行的权限，也没有开放用户组的执行的权限！只要给用户组和公共组他们开放读的权限即可，就是44 了。 所有者权限经上面测试，6是不行的，最高也仅是7 。因此744文件权限可能是行得通！

世意欧实战测试如下： 暂时没有发现问题！因为没有给用户组及公共组执行的权限，理论上是遇到别人恶意上传的文件，因无法执行，也较难攻击！

世意欧结论： 花了不少时间在测试来测试去，思考来思考去，也不知道在您们的Wordpress 配置能否生效？毕竟很多的插件还会使用到Upload这个文件夹的，比如Stastic 及Elementor 都会在Upload 创建相关的文件夹及文件，以便随时数据的调用。下图这些插件在744权限均可以自由写入和执行！如果您的Uploads 设置为744后，插件不能正常使用，欢迎留言反馈！

本文结语：

关于WordPress网站的WP-CONTENT/UPLOADS的文件夹及其文件的权限设置，是由杭州世意欧科技有限公司的外贸出海安全运营组成员Jacky原创！欢迎转发到各位网站平台，或分享给有需求的朋友！