Oplossingsgids

Bestandsrechten in WordPress correct instellen

14 juli 2026

Bestandsrechten bepalen wie een bestand of map mag lezen, schrijven of uitvoeren. Onder Linux worden ze weergegeven als een octaal getal van drie cijfers: het eerste cijfer geldt voor de eigenaar, het tweede voor de groep, het derde voor alle anderen. Elk cijfer bestaat uit lezen (4), schrijven (2) en uitvoeren (1). Verkeerd ingestelde rechten – vooral het wijdverbreide maar gevaarlijke 777 – laten willekeurige gebruikers of gehackte buuraccounts op een gedeelde server toe je bestanden te wijzigen en schadelijke code te injecteren. De WordPress-aanbeveling luidt: 755 voor mappen, 644 voor bestanden en een strengere 600 of 640 voor wp-config.php. Deze handleiding laat zien hoe je deze waarden via SSH of SFTP instelt en op welke bijzondere gevallen je moet letten.

Wat betekenen 755 en 644?

WaardeBetekenisGebruik
755Eigenaar: lezen+schrijven+uitvoeren; groep/anderen: lezen+uitvoerenAlle mappen (uitvoeren = erin gaan)
644Eigenaar: lezen+schrijven; groep/anderen: alleen lezenAlle normale bestanden
600alleen eigenaar: lezen+schrijvenwp-config.php (streng)
640Eigenaar: lezen+schrijven; groep: lezenwp-config.php (als de groep moet lezen)
777iedereen: lezen+schrijven+uitvoerenNooit gebruiken

Stap 1: mappen op 755 zetten

Maak via SSH verbinding met de WordPress-hoofdmap en stel alle mappen recursief in:

cd /pfad/zu/wordpress
find . -type d -exec chmod 755 {} \;

Stap 2: bestanden op 644 zetten

find . -type f -exec chmod 644 {} \;

Deze twee commando’s zetten de hele installatie op veilige standaardwaarden. Voer ze in deze volgorde uit (eerst mappen, dan bestanden).

Stap 3: bijzondere gevallen behandelen

wp-config.php

Het meest gevoelige bestand krijgt een strenger recht:

chmod 600 wp-config.php
# oder, falls der Webserver-Prozess über die Gruppe lesen muss:
chmod 640 wp-config.php

.htaccess

De .htaccess blijft op 644. Maak hem niet schrijfbaar voor anderen, anders kunnen aanvallers rewrite-regels manipuleren.

wp-content/uploads

De uploadmap moet door de webserver beschrijfbaar zijn zodat media-uploads werken. 755 voor de mappen volstaat meestal – doorslaggevend is dat de eigenaar klopt (zie stap 4). Ken hier geen 777 toe. Belangrijk: in uploads mogen geen PHP-bestanden uitvoerbaar zijn. Voeg ter beveiliging toe:

# .htaccess in wp-content/uploads/ (Apache)
<Files *.php>
    Require all denied
</Files>

Stap 4: de juiste eigenaar instellen

Bijna belangrijker dan de cijfers is de eigenaar van de bestanden. Alle WordPress-bestanden zouden moeten toebehoren aan de gebruiker waaronder de webserver of het PHP-proces draait (vaak www-data, apache, nginx of je SFTP-gebruiker). Controleren en instellen:

# Aktuellen Eigentümer anzeigen
ls -l

# Eigentümer und Gruppe rekursiv setzen (Beispiel www-data)
sudo chown -R www-data:www-data /pfad/zu/wordpress

Als de eigenaar klopt, kan WordPress updates en uploads uitvoeren zonder dat je de rechten hoeft te verzwakken. Een veelgemaakte fout is bij updateproblemen te snel naar 777 te grijpen, terwijl in werkelijkheid alleen de eigenaar verkeerd is.

Alles in één keer (script)

#!/bin/bash
# Im WordPress-Stammverzeichnis ausführen
find . -type d -exec chmod 755 {} \;
find . -type f -exec chmod 644 {} \;
chmod 600 wp-config.php
echo "Dateiberechtigungen gesetzt: 755 Ordner, 644 Dateien, 600 wp-config.php"

Hoe controleer ik de rechten?

  1. Eén bestand controleren:
    ls -l wp-config.php index.php
    # Erwartet: -rw------- für wp-config.php, -rw-r--r-- für index.php
  2. Zoeken naar onveilige 777-rechten:
    find . -type d -perm 0777
    find . -type f -perm 0777
    # Erwartet: keine Ausgabe
  3. Controleer of PHP niet in de uploadmap wordt uitgevoerd door een testbestand op te vragen (moet 403 teruggeven).

Veelgemaakte fouten

  • 777 als snelle oplossing: Het lijkt updateproblemen op te lossen maar zet de deur wagenwijd open. Bijna altijd is de eigenaar het echte probleem.
  • Uitvoerbare scripts in uploads: Zonder PHP-blokkade in de uploadmap kan een geüpload schadelijk bestand worden uitgevoerd.
  • Rechten na migratie vergeten: Na een server- of hostwissel kloppen eigenaar en rechten vaak niet meer – opnieuw instellen.
  • Shared hosting zonder SSH: Daar stel je de rechten in de SFTP-client in (rechtsklik » rechten) of in de bestandsbeheerder van het hostingpaneel.

Veelgestelde vragen (FAQ)

Welke bestandsrechten worden aanbevolen voor WordPress?

De WordPress-aanbeveling is 755 voor alle mappen, 644 voor alle normale bestanden en een strengere 600 of 640 voor wp-config.php. Mappen hebben het uitvoerrecht nodig om erin te kunnen, daarom 755 in plaats van 644.

Waarom is recht 777 gevaarlijk in WordPress?

777 staat elke gebruiker op de server toe het bestand of de map te lezen, te wijzigen en uit te voeren. Op shared hosting kan een gehackt buuraccount zo schadelijke code in je installatie injecteren. In vrijwel alle gevallen is niet het recht maar de verkeerde bestandseigenaar de eigenlijke oorzaak van updateproblemen.

Waarom is de bestandseigenaar belangrijker dan de cijfers?

Alle WordPress-bestanden zouden moeten toebehoren aan de gebruiker waaronder de webserver of het PHP-proces draait (vaak www-data, apache of nginx). Als de eigenaar klopt, kan WordPress updates en uploads uitvoeren zonder dat je de rechten hoeft te verzwakken naar onveilige waarden zoals 777.

Hoe voorkom ik dat PHP-bestanden in de uploadmap worden uitgevoerd?

Maak in wp-content/uploads een .htaccess aan die toegang tot PHP-bestanden weigert (bij Apache met een <Files>-blok en Require all denied). Zo kan een geüpload schadelijk bestand niet als PHP worden uitgevoerd, zelfs als het in de uploadmap belandt.

Hoe helpt InspectWP bij bestandsrechten?

InspectWP kan van buitenaf geen bestandssysteemrechten uitlezen, maar controleert symptomatische gevolgen van onveilige configuraties: bijvoorbeeld of gevoelige bestanden publiek opvraagbaar zijn, of PHP in de uploadmap wordt uitgevoerd of dat een directory listing openligt. Zulke bevindingen in het rapport zijn een sterk signaal om de bestands- en maprechten te controleren.

Controleer nu uw WordPress-site

InspectWP analyseert uw WordPress-site op beveiligingsproblemen, SEO-problemen, GDPR-naleving en prestaties — gratis.

Analyseer uw site gratis