您现在的位置是：首页 > WordPress教程WordPress教程

WordPress文件权限设置

WP集市 2025-09-08 【WordPress教程】 1916人已围观

好的，请看：

咱们今天唠唠WordPress这个文件权限啊，这事儿吧，说大不大，说小不小。你要是弄不对了，轻则网站某个功能突然嗝屁，上传个图片都告诉你“嘿，没门儿！”，重则黑客笑嘻嘻地就进来了，把你网站当成了他的公共厕所，想来就来，想拉就拉。所以这事儿，得重视，但又不用太紧张，跟配中药似的，讲究个“平衡”。
首先得明白，服务器上那些文件和文件夹，不是你想动就能动的。系统得问问：“你是谁？你算老几？” 这就有了权限的概念。主要分三拨人：所有者(user)，就是文件的主人；所属组(group)，主人所在的小团伙；其他人(other)，跟文件屁关系没有的吃瓜群众。然后对这三类人，规定了三种动作：读(read)、写(write)、执行(execute)。合起来，就是你看ls -l命令时左边那一串鬼画符，比如-rw-r--r--。
那对WordPress来说，最理想的状态是啥？就是让它既能正常工作（该写的时候能写，该读的时候能读），又尽可能地把它关在笼子里（不该动的地方绝对动不了）。这听起来有点精神分裂，但确实就是这么个思路。
核心思想来了：文件644，文件夹755。这串数字是八进制表示的，你甭管为啥，记住就行。
- 644 的意思就是：主人能读写，团伙里的人和其他吃瓜群众只能读，不能写。
- 755 的意思就是：主人能读写还能进去（执行），团伙和群众能读和进去，但不能写。
为啥这样设？因为大部分文件（比如.php， .css， .js）只需要被Web服务器（比如nginx或Apache）读就行了，它不需要去写它们。你用FTP/SFTP登录上去，你作为“主人”，你有写的权力，可以去修改它们。完美。

你可以用SSH连到服务器上，跑到WordPress的根目录（比如/var/www/html），然后执行：
```
find /你的/wordpress/路径/ -type f -exec chmod 644 {} \;
find /你的/wordpress/路径/ -type d -exec chmod 755 {} \;
```
这两条命令会把所有文件和文件夹的权限一次性改成理想状态。
但是！总有那么几个家伙是刺头，需要特别的权限。最主要的就是wp-content目录。这地方是干嘛的？专门放插件、主题、还有你上传的图片视频的。Web服务器进程（通常叫www-data或nginx之类的用户）需要能往这里面写东西。不然你咋在后台安装主题？咋上传媒体文件？

所以，这里需要放宽政策。通常我们会把wp-content以及它里面的一些子目录权限设为755甚至775（让组也有写的权力），但最最最常见的、也是相对安全的方法是，只改变特定目录的权限，比如：
```
chmod 755 wp-content
chmod -R 755 wp-content/uploads/
chmod -R 755 wp-content/cache/ # 如果你有缓存插件的话
```
注意看，我们用的是-R参数，意思是递归，把这个文件夹里面的所有东西都改成755。
有时候你会遇到更倔的插件或主题，它不光要在自己的目录里写，它可能还需要往wp-config.php文件里写点东西（比如缓存配置）。这时候，你可能得暂时给这个文件加点写权限，比如：
```
chmod 664 wp-config.php
```
等它写完、一切妥当了，强烈建议你再把它改回更严格的权限，比如644甚至440。这个文件是你的保险柜钥匙，里面是数据库密码，可不能随便让人碰。
最后啊，再提一嘴所有权（ownership）。光有权限不够，还得看文件的主人是谁。如果你的Web服务器用户是www-data，而你的文件主人是你用SSH登录的yourusername。那有时候，Web服务器想写点啥也会被拒绝，因为它不是主人，权限又没放开给“其他人”写。这时候你可能得改变文件的所有者：
```
chown -R www-data:www-data /你的/wordpress/路径/
```
但这招要慎用，特别是共享主机上，因为你可能反而把自己给锁外面了。最好是搞清楚你的服务器环境，让权限和所有权形成一个默契的配合。
总之呢，权限设置没有唯一解，它取决于你的服务器环境、用的插件主题。核心原则就是：给最小权限，给刚好够用的权限。就像你去参加派对，不会把家里所有门的钥匙都给陌生人对吧？先从严开始，如果发现哪里功能不正常（比如不能安装插件、不能上传文件），再有针对性地稍微放宽那一个地方的权限。多试几次，你就找到那个最舒服、最安全的平衡点了。这玩意儿就是个经验活，搞砸一两次，网站打不开了，别慌，改回去就行了。