Sur les 810 millions de sites WordPress actifs dans le monde, une proportion alarmante reste vulnérable à cause d’un détail technique souvent ignoré : les permissions de fichiers et de dossiers. Pourtant, une mauvaise configuration peut permettre à un attaquant d’écrire du code malveillant directement sur votre serveur — sans avoir besoin d’exploiter une faille de plugin ou de thème.
Selon le rapport Sucuri 2025 sur les menaces WordPress, les configurations de permissions incorrectes figurent parmi les 5 principales causes d’infection par malware. Un fichier wp-config.php lisible par tous, un dossier wp-content/uploads/ qui permet l’exécution de scripts PHP, ou encore des fichiers de thème modifiables par n’importe qui sur le serveur : autant de portes ouvertes pour les cybercriminels.
Dans ce guide complet, vous apprendrez exactement quelles permissions appliquer, comment les vérifier et les corriger, et quelles erreurs éviter absolument. Ces recommandations s’inscrivent dans une approche globale de sécurité WordPress en couches multiples.
Les serveurs Linux — qui hébergent la grande majorité des sites WordPress — utilisent un système de permissions à 3 niveaux :
Pour chaque niveau, trois types d’accès sont possibles :
Ces valeurs s’additionnent pour former le code numérique : 755 = rwxr-xr-x (propriétaire peut tout faire, les autres lisent et traversent), 644 = rw-r–r– (propriétaire lit/écrit, les autres ne font que lire), 600 = rw——- (seul le propriétaire peut lire et écrire).
WordPress.org et les experts en sécurité s’accordent sur les valeurs suivantes. Ces recommandations sont également validées par Patchstack et Wordfence :
/ (racine du site WordPress)/wp-content//wp-includes//wp-admin//wp-content/themes/ et sous-dossiers de thèmes/wp-content/plugins/ et sous-dossiers de plugins/wp-content/uploads/.php (index.php, wp-login.php, wp-settings.php…).htaccess (temporairement 664 pour laisser WordPress régénérer, puis retour à 644)wp-config.php — contient vos credentials de base de données et vos clés secrètes WordPressConnectez-vous en SSH à votre serveur et utilisez la commande ls -la dans votre dossier WordPress :
# Lister les permissions dans le dossier racine WordPress
ls -la /var/www/html/
# Vérifier spécifiquement wp-config.php
ls -la /var/www/html/wp-config.php
# Chercher les fichiers avec permissions 777 (dangereux)
find /var/www/html/ -type f -perm 777Dans cPanel, accédez au Gestionnaire de fichiers, sélectionnez un fichier, cliquez sur Permissions dans la barre d’outils. La valeur en octal est affichée et modifiable.
Ces commandes appliquent les permissions correctes en masse sur toute votre installation WordPress. Adaptez le chemin à votre configuration :
# 1. Appliquer 755 à tous les dossiers
find /var/www/html/ -type d -exec chmod 755 {} ;
# 2. Appliquer 644 à tous les fichiers
find /var/www/html/ -type f -exec chmod 644 {} ;
# 3. Sécuriser wp-config.php en 600
chmod 600 /var/www/html/wp-config.php
# Vérification finale
ls -la /var/www/html/wp-config.php
# Devrait afficher : -rw------- ...wp-config.php peut être en 644 sans risque majeur. En cas de doute, appliquez 600 — WordPress continuera de fonctionner normalement.
Ce fichier contient vos identifiants MySQL, vos clés secrètes et l’URL de votre base de données. S’il est lisible par « Others », un script malveillant sur le même serveur mutualisé peut potentiellement accéder à vos credentials. Appliquez systématiquement 600. Pour aller plus loin sur ce fichier critique, consultez notre guide complet pour sécuriser wp-config.php.
Le dossier wp-content/uploads/ doit permettre l’upload de médias (écriture) mais ne doit jamais permettre l’exécution de fichiers PHP. Si un attaquant y dépose un webshell PHP et peut l’exécuter, c’est la compromission complète du serveur. Bloquez l’exécution PHP dans uploads/ via votre .htaccess WordPress :
# Ajouter dans wp-content/uploads/.htaccess
<Files "*.php">
deny from all
</Files>Souvent appliquées « pour déboguer » ou lors d’installations hasardeuses, les permissions 777 donnent un accès total (lecture, écriture, exécution) à tout le monde sur le serveur. Selon Wordfence, cette configuration est présente sur environ 15 % des sites WordPress infectés lors de l’analyse forensique post-hack. Scannez régulièrement vos permissions avec la commande find vue plus haut.
Le fichier .htaccess contrôle des règles critiques de sécurité : redirections, blocages d’accès, règles de réécriture. S’il est en 666 ou 777, n’importe quel script malveillant peut réécrire vos règles, désactiver vos protections, ou injecter des redirections vers des sites pirates (typique du Japanese SEO Hack).
| Fichier / Dossier | Permission | Pourquoi |
|---|---|---|
wp-config.php |
600 | Credentials DB — accès propriétaire uniquement |
.htaccess |
644 | Lisible par Apache, modifiable par le propriétaire |
| Tous les fichiers PHP | 644 | Lecture seule pour le serveur web, pas d’écriture externe |
| Tous les dossiers | 755 | Traversée autorisée, pas d’écriture externe |
wp-content/uploads/ |
755 | Upload nécessaire, bloquer PHP séparément via .htaccess |
WordPress permet par défaut de modifier les fichiers de thèmes et plugins depuis l’interface d’administration. Si un attaquant accède à votre admin, il peut directement injecter du code malveillant. Désactivez cette fonctionnalité dans wp-config.php :
define('DISALLOW_FILE_EDIT', true);
define('DISALLOW_FILE_MODS', true); // Désactive aussi les MAJ de plugins/thèmesLes mises à jour de plugins, migrations d’hébergement, ou opérations FTP peuvent involontairement modifier les permissions. Intégrez une vérification dans votre audit de sécurité WordPress mensuel — des plugins comme Wordfence Security ou iThemes Security peuvent scanner et alerter sur les permissions anormales.
Si votre hébergeur utilise Nginx au lieu d’Apache, le principe reste identique. Les mêmes valeurs 644/755/600 s’appliquent. La directive PHP-FPM permet généralement de configurer l’utilisateur propriétaire des fichiers pour correspondre à l’utilisateur qui exécute PHP, ce qui peut permettre de restreindre davantage les permissions.
Les permissions recommandées sont : 600 pour wp-config.php, 644 pour tous les fichiers PHP et statiques, et 755 pour tous les dossiers. Ces valeurs suivent les recommandations officielles de WordPress.org et minimisent la surface d’attaque tout en garantissant le bon fonctionnement du site.
Les permissions 777 donnent un accès total (lecture + écriture + exécution) à tout le monde sur le serveur. Sur un hébergement mutualisé, cela signifie que les scripts des autres clients peuvent modifier vos fichiers. Un attaquant ayant un accès limité peut déposer et exécuter du code malveillant. C’est l’une des configurations les plus dangereuses pour WordPress.
Les permissions sont un niveau de défense parmi d’autres. Un site peut être compromis via une faille de plugin non patchée, un mot de passe faible, une attaque par injection SQL, ou du phishing même avec des permissions parfaites. Si vous êtes dans cette situation, consultez notre guide pour récupérer un site WordPress hacké.
Via FileZilla (FTP) : faites un clic droit sur chaque fichier/dossier → « Droits d’accès au fichier » pour voir la valeur en octal. Des plugins de sécurité comme Wordfence proposent également un scanner de permissions depuis l’interface WordPress. Vous pouvez aussi vérifier ces points dans notre checklist de sécurité WordPress complète.
Les permissions de fichiers sont l’une des mesures de sécurité les plus simples à mettre en place et parmi les plus négligées. En appliquant 600 sur wp-config.php, 644 sur vos fichiers et 755 sur vos dossiers, vous éliminez une catégorie entière de vecteurs d’attaque — sans frais supplémentaires, sans plugin, juste avec une commande SSH ou quelques clics FTP.
Vérifiez vos permissions dès aujourd’hui. Cela prend moins de 10 minutes et peut vous éviter des semaines de remédiation après un hack.
Besoin d’un audit complet de la sécurité de votre site WordPress ? L’équipe SecuriteWP intervient pour analyser, corriger et protéger votre installation. Découvrez nos services de sécurité WordPress →
Les attaques supply chain WordPress ciblent la chaîne de distribution des plugins et thèmes. Découvrez comment elles fonctionnent, les IOC à surveiller et les mesures concrètes pour protéger votre site.
Votre base de données MySQL est le cœur de WordPress : elle contient tout. Découvrez comment la sécuriser avec 8 techniques concrètes pour 2026.
Découvrez quelles permissions de fichiers appliquer sur WordPress (644, 755, 600) pour sécuriser votre installation et éviter les intrusions. Guide complet 2026 avec commandes SSH.
Apprenez à configurer les bonnes permissions de fichiers WordPress (chmod 755/644/640). Guide complet SSH, FTP, WP-CLI pour sécuriser votre site contre les intrusions.
Un backdoor CVSS 10 découvert dans Smart Slider 3 PRO 3.5.1.35 et deux failles XSS dans Gravity Forms 2.9.30 : analyse et mesures d’urgence pour protéger votre site WordPress.
Votre site WordPress a été piraté ? Suivez ce guide de remédiation complet : détection, nettoyage des fichiers infectés, base de données, sécurisation post-hack et demande de révision Google.
Nos experts français assurent un support et une prestation de qualité.
