Come configurare i permessi corretti di file e cartelle su WordPress

I permessi di file e cartelle sono una delle prime linee di difesa del tuo sito WordPress, eppure vengono quasi sempre ignorati. Permessi troppo permissivi aprono la porta a malware e modifiche non autorizzate, mentre permessi troppo restrittivi impediscono a WordPress di funzionare correttamente. In questa guida ti spiego come configurare i permessi WordPress corretti, perché sono importanti e come verificare che il tuo sito sia impostato nel modo giusto.

Cosa sono i permessi di file e perché contano

Ogni file e cartella sul server ha tre livelli di permesso che determinano chi può fare cosa:

• Lettura (Read – R): permette di visualizzare il contenuto del file o elencare il contenuto della cartella.
• Scrittura (Write – W): permette di modificare il file o creare/eliminare file nella cartella.
• Esecuzione (Execute – X): permette di eseguire il file come programma o di accedere alla cartella.

Questi permessi si applicano a tre categorie di utenti: il proprietario del file, il gruppo a cui appartiene e tutti gli altri. Il sistema dei permessi viene espresso con un numero a tre cifre (es. 755, 644) dove ogni cifra rappresenta una categoria. Capire questo sistema è fondamentale perché permessi errati sono una delle cause più comuni di:

• Errori 500 Internal Server Error.
• Impossibilità di installare plugin o caricare media.
• Vulnerabilità che permettono l’iniezione di malware.
• WordPress che non riesce ad aggiornarsi automaticamente.

I permessi raccomandati per WordPress

Ecco i permessi che WordPress stesso raccomanda nella documentazione ufficiale:

Cartelle: 755

Il proprietario può leggere, scrivere e accedere. Gruppo e altri possono solo leggere e accedere. Questo permette a WordPress di leggere e creare file nelle cartelle (tramite il processo PHP che gira come proprietario), mentre gli altri utenti del server possono solo leggere.

File: 644

Il proprietario può leggere e scrivere. Gruppo e altri possono solo leggere. WordPress può modificare i propri file (per gli aggiornamenti automatici), ma nessun altro utente può alterarli.

wp-config.php: 400 o 440

Questo file contiene le credenziali del database, le chiavi di sicurezza e altre informazioni sensibili. Impostare il permesso a 400 (solo il proprietario può leggere, nessuno può scrivere) o 440 (proprietario e gruppo possono leggere) è la scelta più sicura. Se WordPress non riesce a leggere il file con 400, prova 440.

.htaccess: 644

WordPress deve poter leggere e scrivere questo file per gestire i permalink e le regole di riscrittura URL. Se vuoi impedire modifiche automatiche (ad esempio da parte dei plugin), puoi impostarlo a 444 (solo lettura per tutti), ma dovrai modificarlo manualmente quando cambi le impostazioni dei permalink.

Come verificare i permessi attuali

Prima di cambiare qualcosa, verifica lo stato attuale dei permessi sul tuo sito.

Via FTP (FileZilla)

1. Collegati al server e naviga nella cartella WordPress.
2. Fai clic destro su un file o una cartella e seleziona “Permessi file” (o “File permissions”).
3. Vedrai il valore numerico attuale e le caselle di spunta per ogni permesso.

Via SSH

Se hai accesso SSH, il comando più utile è:

ls -la /percorso/wordpress/

L’output mostra i permessi in formato leggibile (es. drwxr-xr-x per 755, -rw-r–r– per 644). Per una verifica più approfondita, puoi cercare file con permessi troppo aperti:

find /percorso/wordpress/ -type f -perm 777
find /percorso/wordpress/ -type d -perm 777

Se questi comandi restituiscono risultati, hai file o cartelle con permessi 777 (tutti possono fare tutto), che è un rischio di sicurezza grave e va corretto immediatamente.

Come correggere i permessi in blocco

Se i permessi del tuo sito sono disallineati (succede spesso dopo migrazioni, ripristini da backup o installazioni manuali), puoi correggerli in blocco.

Via SSH (metodo più rapido)

find /percorso/wordpress/ -type d -exec chmod 755 {} ;
find /percorso/wordpress/ -type f -exec chmod 644 {} ;
chmod 400 /percorso/wordpress/wp-config.php

Il primo comando imposta 755 su tutte le cartelle, il secondo 644 su tutti i file, e il terzo protegge wp-config.php. Questi tre comandi risolvono la quasi totalità dei problemi di permessi.

Via FTP

In FileZilla puoi selezionare più file o cartelle, fare clic destro → “Permessi file” e impostare il valore. Spunta l’opzione “Applica alle sottodirectory” per applicare ricorsivamente. Fai l’operazione in due passaggi: prima le cartelle (755), poi i file (644).

Dal pannello hosting

Alcuni pannelli hosting come Plesk e cPanel offrono strumenti per reimpostare i permessi dei file. In Plesk, ad esempio, puoi usare la funzione “Ripristina permessi” dalla sezione Siti web e domini.

Permessi specifici per cartelle critiche

Alcune cartelle di WordPress meritano un’attenzione particolare:

• wp-content/uploads/ (755): WordPress deve poter scrivere qui per caricare immagini e media. Se imposti permessi più restrittivi, il caricamento dei media fallirà con un errore “Impossibile creare la directory”.
• wp-content/cache/ (755): i plugin di caching scrivono file statici qui. Senza permesso di scrittura, la cache non funziona.
• wp-content/plugins/ e wp-content/themes/ (755): necessario per l’installazione e l’aggiornamento automatico di plugin e temi.

Se usi gli aggiornamenti automatici di WordPress, tutte queste cartelle devono avere permesso di scrittura per il proprietario. Se preferisci aggiornare solo manualmente via FTP, puoi impostare permessi più restrittivi (555 per le cartelle) come misura di sicurezza aggiuntiva.

Errori comuni con i permessi WordPress

• Impostare 777 su tutto: è la “soluzione” più comune trovata nei forum e anche la più pericolosa. Il permesso 777 significa che chiunque sul server può leggere, scrivere e eseguire qualsiasi file. Non usarlo mai, nemmeno temporaneamente. Se un plugin o una guida ti suggerisce di usare 777, cerca un’alternativa.
• Permessi diversi dopo una migrazione: quando migri un sito o ripristini un backup, i permessi possono non essere preservati. Verifica e correggi sempre i permessi dopo una migrazione.
• Proprietario errato: oltre ai permessi numerici, anche il proprietario del file conta. I file WordPress devono appartenere all’utente sotto cui gira il server web (spesso www-data, apache o l’utente del tuo hosting). Se il proprietario è sbagliato, anche i permessi corretti non funzioneranno.
• Plugin che richiedono 777: alcuni plugin mal sviluppati richiedono permessi 777 su determinate cartelle. Evita questi plugin: esistono sempre alternative che funzionano con permessi standard.

Monitorare i cambiamenti ai permessi

Un malware può modificare i permessi dei file per garantirsi l’accesso anche dopo una pulizia. Per monitorare i cambiamenti:

• Wordfence: lo scanner rileva file con permessi anomali e ti avvisa.
• WP Activity Log: registra le modifiche ai file, inclusi i cambiamenti di permessi fatti dall’interno di WordPress.
• Controllo manuale periodico: una volta al mese, verifica con il comando find che non ci siano file 777 o file PHP nella cartella uploads.

Hai problemi con i permessi? Ti aiutiamo noi

Se il tuo sito mostra errori legati ai permessi, non riesci a caricare media o installare plugin, o sospetti che permessi errati abbiano facilitato un’infezione malware, il team di SoccorsoWP può intervenire rapidamente. Correggiamo i permessi, verifichiamo la sicurezza dell’intera installazione e ci assicuriamo che tutto funzioni correttamente. Apri un ticket e metti in ordine il tuo sito.