Guide de correction

Définir correctement les permissions de fichiers dans WordPress

14 juillet 2026

Les permissions de fichiers déterminent qui peut lire, écrire ou exécuter un fichier ou un dossier. Sous Linux, elles sont représentées par un nombre octal à trois chiffres : le premier chiffre s’applique au propriétaire, le deuxième au groupe, le troisième à tous les autres. Chaque chiffre se compose de la lecture (4), de l’écriture (2) et de l’exécution (1). Des permissions mal définies – avant tout le répandu mais dangereux 777 – permettent à des utilisateurs quelconques ou à des comptes voisins piratés sur un serveur mutualisé de modifier vos fichiers et d’injecter du code malveillant. La recommandation WordPress est : 755 pour les dossiers, 644 pour les fichiers et une valeur plus stricte de 600 ou 640 pour wp-config.php. Ce guide montre comment définir ces valeurs via SSH ou SFTP et quels cas particuliers surveiller.

Que signifient 755 et 644 ?

ValeurSignificationUtilisation
755Propriétaire : lire+écrire+exécuter ; groupe/autres : lire+exécuterTous les dossiers (exécuter = entrer dedans)
644Propriétaire : lire+écrire ; groupe/autres : lire uniquementTous les fichiers normaux
600propriétaire uniquement : lire+écrirewp-config.php (strict)
640Propriétaire : lire+écrire ; groupe : lirewp-config.php (si le groupe doit lire)
777tout le monde : lire+écrire+exécuterÀ ne jamais utiliser

Étape 1 : mettre les dossiers en 755

Connectez-vous via SSH au répertoire racine de WordPress et définissez tous les dossiers de manière récursive :

cd /pfad/zu/wordpress
find . -type d -exec chmod 755 {} \;

Étape 2 : mettre les fichiers en 644

find . -type f -exec chmod 644 {} \;

Ces deux commandes placent toute l’installation sur des valeurs par défaut sûres. Exécutez-les dans cet ordre (d’abord les dossiers, puis les fichiers).

Étape 3 : traiter les cas particuliers

wp-config.php

Le fichier le plus sensible reçoit une permission plus stricte :

chmod 600 wp-config.php
# oder, falls der Webserver-Prozess über die Gruppe lesen muss:
chmod 640 wp-config.php

.htaccess

Le .htaccess reste en 644. Ne le rendez pas modifiable par les autres, sinon des attaquants pourraient manipuler les règles de réécriture.

wp-content/uploads

Le dossier des téléversements doit être modifiable par le serveur web pour que les téléversements de médias fonctionnent. 755 pour les dossiers suffit généralement – l’essentiel est que le propriétaire soit correct (voir étape 4). N’attribuez pas 777 ici. Important : aucun fichier PHP ne doit être exécutable dans uploads. Pour renforcer la sécurité, ajoutez :

# .htaccess in wp-content/uploads/ (Apache)
<Files *.php>
    Require all denied
</Files>

Étape 4 : définir le bon propriétaire

Presque plus important que les chiffres est le propriétaire des fichiers. Tous les fichiers WordPress doivent appartenir à l’utilisateur sous lequel s’exécute le serveur web ou le processus PHP (souvent www-data, apache, nginx ou votre utilisateur SFTP). Vérifier et définir :

# Aktuellen Eigentümer anzeigen
ls -l

# Eigentümer und Gruppe rekursiv setzen (Beispiel www-data)
sudo chown -R www-data:www-data /pfad/zu/wordpress

Si le propriétaire est correct, WordPress peut effectuer mises à jour et téléversements sans que vous ayez à affaiblir les permissions. Une erreur fréquente consiste à passer trop vite à 777 en cas de problèmes de mise à jour, alors qu’en réalité seul le propriétaire est mauvais.

Tout d’un coup (script)

#!/bin/bash
# Im WordPress-Stammverzeichnis ausführen
find . -type d -exec chmod 755 {} \;
find . -type f -exec chmod 644 {} \;
chmod 600 wp-config.php
echo "Dateiberechtigungen gesetzt: 755 Ordner, 644 Dateien, 600 wp-config.php"

Comment vérifier les permissions ?

  1. Vérifier un fichier isolé :
    ls -l wp-config.php index.php
    # Erwartet: -rw------- für wp-config.php, -rw-r--r-- für index.php
  2. Rechercher des droits 777 non sûrs :
    find . -type d -perm 0777
    find . -type f -perm 0777
    # Erwartet: keine Ausgabe
  3. Vérifiez que PHP n’est pas exécuté dans le dossier des téléversements en appelant un fichier de test (doit renvoyer 403).

Erreurs fréquentes

  • 777 comme solution rapide : Cela semble résoudre les problèmes de mise à jour mais ouvre grand la porte. Presque toujours, le propriétaire est le vrai problème.
  • Scripts exécutables dans uploads : Sans blocage PHP dans le dossier des téléversements, un fichier malveillant téléversé peut être exécuté.
  • Permissions oubliées après une migration : Après un changement de serveur ou d’hébergeur, le propriétaire et les droits ne correspondent souvent plus – redéfinissez-les.
  • Hébergement mutualisé sans SSH : Là, vous définissez les droits dans le client SFTP (clic droit » permissions) ou dans le gestionnaire de fichiers du panneau d’hébergement.

Questions fréquentes (FAQ)

Quelles permissions de fichiers sont recommandées pour WordPress ?

La recommandation WordPress est 755 pour tous les dossiers, 644 pour tous les fichiers normaux et une valeur plus stricte de 600 ou 640 pour wp-config.php. Les dossiers ont besoin du droit d’exécution pour qu’on puisse y entrer, d’où 755 plutôt que 644.

Pourquoi la permission 777 est-elle dangereuse dans WordPress ?

777 permet à tout utilisateur du serveur de lire, modifier et exécuter le fichier ou le dossier. Sur un hébergement mutualisé, un compte voisin piraté peut ainsi injecter du code malveillant dans votre installation. Dans presque tous les cas, la vraie cause des problèmes de mise à jour n’est pas la permission mais un mauvais propriétaire de fichier.

Pourquoi le propriétaire du fichier est-il plus important que les chiffres ?

Tous les fichiers WordPress doivent appartenir à l’utilisateur sous lequel s’exécute le serveur web ou le processus PHP (souvent www-data, apache ou nginx). Si le propriétaire est correct, WordPress peut effectuer mises à jour et téléversements sans que vous ayez à affaiblir les permissions vers des valeurs non sûres comme 777.

Comment empêcher l’exécution de fichiers PHP dans le dossier des téléversements ?

Créez un .htaccess dans wp-content/uploads qui refuse l’accès aux fichiers PHP (sur Apache avec un bloc <Files> et Require all denied). Ainsi un fichier malveillant téléversé ne peut pas être exécuté comme PHP même s’il atteint le dossier des téléversements.

Comment InspectWP aide-t-il pour les permissions de fichiers ?

InspectWP ne peut pas lire les permissions du système de fichiers depuis l’extérieur, mais il vérifie les conséquences symptomatiques de configurations non sûres : par exemple si des fichiers sensibles sont accessibles publiquement, si PHP est exécuté dans le répertoire des téléversements ou si un listing de répertoire est exposé. De tels constats dans le rapport sont un signal fort pour revoir les permissions des fichiers et des dossiers.

Vérifiez votre site WordPress dès maintenant

InspectWP analyse votre site WordPress pour détecter les problèmes de sécurité, de SEO, de conformité RGPD et de performance — gratuitement.

Analyser votre site gratuitement