Acertar as permissões de arquivos WordPress significa usar 644 para arquivos, 755 para pastas e 600 no wp-config.php. Segundo a WPScan (2024), mais de 50 mil vulnerabilidades já foram catalogadas no ecossistema WordPress. O valor 777 expõe upload remoto de código. Aplique os valores corretos via SFTP ou WP-CLI hoje.

Permissões de arquivos no WordPress são os bits que definem quem pode ler, gravar e executar cada arquivo e pasta do site no servidor. Configurá-las errado é uma das causas silenciosas de invasão: um diretório em 777 deixa qualquer processo gravar código executável, e um wp-config.php legível por outros usuários entrega as credenciais do banco. Neste guia você vai aplicar os valores corretos passo a passo, entender a diferença entre dono do arquivo e bit de permissão, e validar tudo com ferramentas reais. Para o contexto completo, veja também o nosso guias de segurança WordPress da FULL e o tutorial de hardening de segurança no WordPress.

Valores corretos de permissão por tipo de arquivo

A permissão padrão e segura no WordPress é 644 para arquivos, 755 para diretórios e 600 ou 400 para o wp-config.php. Esses três números cobrem mais de 95% dos casos que chegam no suporte da FULL. A tabela abaixo resume o valor correto por alvo e o risco de afrouxar cada um deles no servidor.

Segundo a documentação oficial do WordPress, nenhum arquivo deve ter permissão de gravação para o grupo “outros”.

O chmod é o comando que define esses bits, e o entendimento dele é o que separa um site protegido de um exposto.

Como ler os três dígitos de uma permissão chmod

Cada permissão chmod tem três dígitos, e cada dígito vale para um público: dono, grupo e outros. O número 644 significa 6 (leitura mais gravação) para o dono, 4 (só leitura) para o grupo e 4 (só leitura) para o resto do servidor. Por isso o dígito 7 é o mais perigoso em qualquer pasta pública.

A soma vem de três bits: leitura vale 4, gravação vale 2 e execução vale 1. O valor 7 (4+2+1) libera tudo de uma vez.

Entender essa aritmética evita o erro mais comum: achar que 777 é um atalho. Na prática, 777 concede gravação a “outros”, ou seja, a qualquer processo no mesmo servidor, incluindo um script malicioso de outro site em hospedagem compartilhada. A regra operacional é simples: o dono precisa gravar, o grupo costuma só ler, e “outros” nunca deve gravar. Mantenha o terceiro dígito em 4 ou 5 e você fecha a maior porta de entrada.

Por que dono do arquivo importa mais que o bit de permissão

O dono do arquivo define qual usuário do sistema o bit de gravação atende, e ignorar isso torna o chmod quase inútil. Em hospedagem compartilhada com PHP rodando como módulo Apache (mod_php), o WordPress grava arquivos com dono www-data. Nesse cenário, uma pasta em 755 já permite que outro site comprometido no mesmo nó escreva no seu uploads.

A correção real aqui não é só baixar o chmod: é migrar para PHP-FPM com pool por usuário, de modo que cada site rode sob um dono distinto. Tende a ser o ajuste mais ignorado em ambientes baratos. Em VPS gerenciado, o dono costuma ser o seu usuário SSH, o que isola o site. Na base FULL, sites em planos com isolamento por usuário mostram menos reincidência de reinfecção depois de uma limpeza, justamente porque o vizinho comprometido não alcança seus arquivos.

Passo a passo: Como corrigir permissões de arquivos WordPress

Corrigir as permissões leva de 5 a 15 minutos e exige acesso via SFTP ou linha de comando. O procedimento abaixo aplica 755 a todas as pastas, 644 a todos os arquivos e restringe o wp-config.php, na ordem segura. Faça um backup antes: alterar permissões em massa no diretório errado pode derrubar o site.

Passo 1: Conecte por SFTP ou SSH ao servidor

Acesse o servidor pela porta segura, nunca por FTP simples. Use um cliente como Filezilla em modo SFTP (porta 22) ou abra um terminal SSH. O FTP comum trafega a senha em texto puro e é interceptável; o SFTP cifra a sessão inteira. Confirme que você está na raiz do site, onde ficam wp-config.php, wp-content e wp-admin.

Passo 2: Aplique 755 a todas as pastas

No terminal, rode find /caminho/do/site -type d -exec chmod 755 {} ;. Esse comando localiza apenas diretórios (type d) e aplica 755 a cada um. Pelo Filezilla, selecione a raiz, marque “aplicar somente a diretórios” e use 755. Isso garante que pastas como wp-content/uploads aceitem upload do próprio WordPress sem abrir gravação a terceiros.

Passo 3: Aplique 644 a todos os arquivos

Rode find /caminho/do/site -type f -exec chmod 644 {} ; para alcançar só arquivos (type f). O valor 644 deixa o WordPress ler e o dono gravar, sem permitir execução arbitrária. Pelo Filezilla, repita o processo marcando “aplicar somente a arquivos”. Nunca aplique 644 recursivo a pastas: isso remove o bit de execução e quebra a navegação nos diretórios.

Passo 4: Restrinja o wp-config.php para 600

Rode chmod 600 wp-config.php na raiz. Esse arquivo contém usuário e senha do banco de dados, então só o dono deve lê-lo. Em alguns ambientes, 400 (somente leitura para o dono) funciona e é ainda mais restrito. Se o site exibir erro de conexão após a mudança, volte para 640 e verifique o dono com ls -l. Para editar o arquivo com segurança, consulte o guia de como editar o wp-config.php.

Passo 5: Valide o resultado

Liste as permissões com ls -l e confirme: pastas em drwxr-xr-x (755), arquivos em -rw-r--r-- (644), wp-config em -rw------- (600). Carregue o site e o painel para garantir que nada quebrou. Se você prefere automação, o WP-CLI executa o mesmo com wp eval ou scripts, útil para corrigir dezenas de sites de uma vez sem abrir cada FTP.

Permissões erradas e os cves reais que elas amplificam

Permissões frouxas raramente são a falha inicial, mas são o que transforma um bug pequeno em invasão completa. A FULL é a única empresa brasileira reconhecida como CVE Numbering Authority (CNA) pela CISA desde maio de 2022, autorizada a atribuir IDs CVE oficiais. Arquivos graváveis por “outros” convertem uma falha de upload em execução de código.

Os exemplos abaixo são CVEs reais já corrigidos, citados como contexto histórico, não como risco atual.

O CVE-2020-35489, com CVSS 10.0 no Contact Form 7 (versões abaixo da 5.3.2), permitia upload irrestrito de arquivos: combinado com uploads em 777, um atacante subia um PHP disfarçado de imagem e o executava direto. Já o CVE-2023-48777, CVSS 9.9 no Elementor abaixo da 3.18.2, expunha upload arbitrário pelo mesmo vetor. Segundo o perfil público do WPVulnerability, ambos os plugins já corrigiram essas falhas; o risco persiste apenas em quem não atualiza e mantém pastas graváveis.

Ferramentas para auditar permissões em escala

Auditar permissões manualmente funciona em um site, mas não em dez: a partir daí você precisa de ferramenta dedicada. Quatro opções cobrem a maioria dos cenários. O All In One WP Security mostra um scanner de permissões dentro do wp-admin e sugere o valor correto. O Wordfence inclui varredura de integridade que detecta arquivo alterado.

O WP-CLI permite corrigir em lote por script, e o SFTP via Filezilla resolve ajustes pontuais em um único site.

Segundo o perfil público do WPVulnerability, tanto o All In One WP Security quanto o Wordfence estão hoje sem CVE crítico em aberto, sinal de manutenção ativa e auditoria constante, e não ausência de histórico. Na prática, a gente vê no suporte da FULL que a combinação mais resiliente é um plugin de auditoria contínua somado a uma correção de permissão na raiz, em vez de só rodar o scanner uma vez. Para escolher o plugin, vale comparar com o nosso guia de segurança WordPress.

Segurança gerenciada no plano FULL: O custo por site

Manter permissões corretas em vários sites manualmente custa tempo, e é aí que a camada de segurança gerenciada do plano PRO da FULL entra. O plano PRO sai por R$849 e inclui o bundle de plugins premium, entre eles o All In One WP Security e o Wordfence, com hardening aplicado de forma gerenciada em todos os sites conectados.

Diluído entre os sites do plano, o custo cai para cerca de R$85 por site, contra a soma de licenças avulsas mais o tempo de configuração manual de cada permissão.

A FULL não hospeda seu site: ela gerencia a camada de segurança e os plugins sobre a hospedagem que você já tem, o que inclui a correção contínua de permissões. Conheça os detalhes em os planos da FULL. Se quiser só um diagnóstico imediato, escaneie seu site gratuitamente com o FULL Scan e veja se algum arquivo está exposto.

Resumo: A regra de permissão que resolve a maioria dos sites

Acertar permissões de arquivos WordPress se reduz a uma frase: 644 para arquivos, 755 para pastas, 600 no wp-config e nunca 777 em diretório público. O dono do arquivo importa tanto quanto o bit, e em hospedagem compartilhada o isolamento por usuário é o que fecha a porta do vizinho comprometido. Quando os CVEs reais de upload aparecem, é a permissão frouxa que os transforma em invasão completa. Para aprofundar, o FULL Academy reúne os tutoriais, guias e reviews de segurança em um só lugar, e o guia de controles do .htaccess mostra a camada seguinte de proteção. A função e permissão de usuário dentro do painel é coberta no guia de segurança para WordPress e no artigo de funções e permissões de usuário.

Perguntas frequentes sobre permissões de arquivos WordPress