chmod (Permissões)

chmod WordPress é o comando Unix usado para alterar permissões de arquivos e pastas no servidor onde o site roda. WordPress usa por padrão 644 para arquivos e 755 para diretórios, e essa combinação é o ponto de equilíbrio entre segurança e funcionalidade. Permissões erradas são causa comum de erros como “failed to open stream”, upload bloqueado, atualizações que não rodam e em casos extremos, vulnerabilidades exploradas por atacantes que conseguem escrever em arquivos protegidos. Saber chmod é skill básica de qualquer admin WordPress sério.

O que é chmod

chmod é abreviação de change mode, comando original do Unix presente desde os anos 70 e herdado pelo Linux. Define quem pode ler, escrever e executar cada arquivo ou pasta no sistema. As permissões existem em três dimensões: o dono do arquivo (user), o grupo (group) e os outros (others, qualquer usuário).

Em hospedagens WordPress, o servidor web (Apache, Nginx, LiteSpeed) roda como um usuário específico. Esse usuário precisa ter permissões adequadas nos arquivos do site para servir conteúdo. Permissões muito restritas impedem o servidor de ler. Permissões muito abertas permitem que outros usuários do servidor (em hospedagem compartilhada) ou processos invasores escrevam onde não deveriam.

O conceito de permissões linux é universal. Mesmo em hospedagens Windows ou cPanel, o que está por baixo é Linux com regras de chmod. Saber interpretar e ajustar permissões é skill que serve em qualquer ambiente WordPress, do micro VPS ao Kinsta.

A notação numérica (chmod 644) é a mais usada na prática e a que você vai encontrar em tutoriais e documentação oficial. A notação simbólica (chmod u+rwx) é mais expressiva mas mais verbosa. Ambas resolvem a mesma coisa, e ferramentas como FileZilla aceitam só números.

Permissões corretas para WordPress

O padrão recomendado pela documentação oficial do WordPress.org é chmod 755 644. Significa: pastas com 755, arquivos com 644. Essa combinação funciona em 95% dos casos e é o que toda hospedagem séria configura por default.

Pastas (755) permitem que o dono leia, escreva e execute (atravesse a pasta), grupo e outros podem apenas ler e atravessar. Esse nível de permissão é o necessário para o servidor servir arquivos das pastas sem permitir que ninguém escreva neles indevidamente. Aplicar a wp-content/, wp-content/themes/, wp-content/uploads/ e demais pastas do WordPress.

O Arquivos (644) permitem que o dono leia e escreva, grupo e outros podem apenas ler. É o nível certo para arquivos PHP, CSS, JS, imagens e outros assets do site. Aplicar a wp-config.php, index.php, .htaccess e arquivos de plugins/temas. O servidor consegue ler para servir, ninguém consegue alterar exceto o dono.

Casos especiais merecem atenção. wp-config.php ideal é 600 ou 640. Esse arquivo contém credenciais do banco de dados e chaves de autenticação. Restringir leitura para apenas o dono reduz risco em cenários de comprometimento parcial. Em hospedagens compartilhadas, 640 é seguro. Em VPS dedicado, 600 é o ideal.

O .htaccess deve ser 644 ou 600 dependendo da hospedagem. Em alguns servidores, 600 impede o Apache de ler. Em outros, 644 expõe o arquivo para leitura indevida. Teste o que sua hospedagem aceita.

Permissões nunca aceitas

Permissões 777 nunca são corretas em produção. Significa que qualquer usuário do servidor pode ler, escrever e executar qualquer arquivo. É vetor direto para ataques. Tutoriais antigos sugerem chmod 777 para resolver upload travado, mas é solução errada que troca um problema por um pior. Se algo só funciona em 777, o problema é outro: dono do arquivo errado ou grupo errado.

Como alterar via SSH ou cPanel

Existem três caminhos para mudar chmod 755 644 em arquivos WordPress. O caminho via SSH é o mais rápido e funciona em qualquer hospedagem com acesso. Conecte ao servidor via terminal: ssh [email protected]. Navegue até o diretório do WordPress: cd /var/www/seudominio.com.

Para aplicar permissões corretas em massa, dois comandos resolvem. Primeiro, todas as pastas para 755: find . -type d -exec chmod 755 {} ;. Segundo, todos os arquivos para 644: find . -type f -exec chmod 644 {} ;. Em segundos, todo o site fica com permissões padronizadas. Depois, ajuste casos especiais: chmod 600 wp-config.php.

O caminho via cPanel ou Hosting Panel é mais visual. Acesse o Gerenciador de Arquivos, navegue até a pasta do WordPress, selecione arquivos ou pastas, clique com botão direito e escolha “Alterar Permissões”. Aparecem checkboxes para Read/Write/Execute por User/Group/Others. Marque conforme o número desejado (755 = rwx r-x r-x).

O caminho via FTP/SFTP é o mais lento mas funciona em qualquer cenário. Use FileZilla, conecte ao servidor via SFTP, navegue até o arquivo, clique com botão direito e escolha “Permissões de arquivo”. Defina o valor numérico ou marque os checkboxes correspondentes. Aplique recursivamente se quiser propagar para subpastas.

Para mudanças em massa via FTP, use opção “Aplicar somente a arquivos” ou “Aplicar somente a diretórios” para não confundir os dois. Aplicar 755 em arquivos PHP de plugins quebra o site (executável demais). Aplicar 644 em pastas quebra (servidor não consegue listar). Combine com SSH WordPress para acesso de linha de comando rápido em situações urgentes.

Erros comuns de permissão

O primeiro erro é ver mensagem “Não é possível criar diretório wp-content/uploads/2026/05” ao fazer upload de imagem. Causa: pasta wp-content/uploads/ tem permissão 755 mas o servidor web não é o dono dos arquivos. Solução: ajustar dono via chown www-data:www-data wp-content -R (ou usuário equivalente da sua hospedagem).

O segundo erro é “failed to open stream: Permission denied” durante atualização de plugin ou tema. Causa: arquivos com permissão menor que 644 ou pasta com permissão menor que 755. Solução: rodar os comandos find descritos acima para padronizar tudo de novo.

O terceiro erro é tela branca após mudança de permissões. Causa típica: chmod 600 aplicado erroneamente em arquivos PHP que o Apache precisa ler. Solução: voltar para 644 imediatamente.

O quarto erro é vulnerabilidade explorada via permissão excessiva. Atacante consegue escrever em wp-config.php porque o arquivo está com 666 ou 777, e injeta código malicioso. Sintoma: site começa a redirecionar para spam, comportamento estranho no admin. Solução: restaurar permissões corretas, escanear malware, alterar todas as senhas e chaves de salt em wp-config.php. Combine com hardening WordPress completo para reduzir superfície de ataque, e atenção especial a vulnerabilidade WordPress conhecidas.

Para sites WordPress que precisam rodar em ambiente com permissões já configuradas, hardening aplicado e monitoramento contínuo de integridade de arquivos, a FULL Services oferece os planos com infraestrutura preparada para WordPress profissional, com permissões aplicadas no provisionamento, monitoramento de mudanças em arquivos críticos e suporte técnico para auditoria de segurança quando necessário.