WordPress è un software composto da centinaia di file e cartelle che devono essere configurati in un certo modo per funzionare correttamente.
Ognuno di questi elementi deve avere determinati permessi di scrittura e lettura per far funzionare il tuo sito ed evitare grossi rischi per la sicurezza, perciò capire di cosa si tratta ti aiuterà a gestire al meglio il tuo sito. Nella maggior parte dei casi, l’hosting applica in automatico i giusti permessi a file e cartelle WordPress, ma comprenderli meglio è sempre utile.
Questi permessi stabiliscono chi può leggere, modificare ed eseguire i file di WordPress. Nel caso in cui essi fossero configurati in modo errato, chiunque potrebbe riscrivere i file del tuo sito, modificando o cancellando per sempre il loro contenuto.
Ecco perché è importante sapere cosa sono i permessi, almeno a un livello base per comprenderne i concetti principali.
Quali sono i tipi di permessi file e cartelle su WordPress?
File e cartelle su WordPress possono avere permessi di scrittura, lettura ed esecuzione. Questi permessi possono essere assegnati a tre tipi di utenti diversi: il proprietario, gli utenti di un gruppo, tutti gli altri (pubblico).
Un file può quindi essere, ad esempio, totalmente accessibile al proprietario, che potrà modificarlo, leggerlo ed eseguirlo, e magari totalmente inaccessibile al pubblico, che non potrà nemmeno vederlo.
Per indicare i tipi di permessi sui file si utilizzano due sistemi, uno numerico e uno alfabetico. Il sistema numerico è più breve, ma più complicato da comprendere; quello alfabetico è più lungo, ma più intuitivo. Il formato numerico dei permessi è il più utilizzato.
I permessi in formato numerico
Il formato numerico dei permessi si chiama permission code ed è composto da tre cifre, ciascuna delle quali indica cosa può fare un determinato tipo di utente:
- La prima cifra indica cosa può fare il proprietario;
- La seconda cifra indica cosa può fare il gruppo;
- La terza cifra indica cosa può fare il pubblico.
Queste cifre si formano a partire da quattro determinati valori:
- 0 significa nessun permesso;
- 1 significa permesso di esecuzione;
- 2 significa permesso di scrittura;
- 4 significa permesso di lettura.
La somma dei permessi per ciascun tipo di utente sarà indicata nel codice permission code.
Ma lasciami spiegare meglio.
Supponiamo che per un determinato file il proprietario abbia tutti i permessi. Sommiamo i valori dei permessi di scrittura, lettura ed esecuzione: 4 + 2 + 1 = 7.
7 sarà la prima cifra del permission code di quel file.
Ora, ipotizziamo che il gruppo possa solamente leggere: la seconda cifra è 4.
Se il pubblico non ha alcuna autorizzazione, il valore della terza cifra sarà 0.
Questo file, quindi, avrà come permission code il valore 740.
Un file con tutti i permessi per tutti gli utenti avrà invece valore 777. Questo valore è solitamente da evitare se non vuoi esporre il tuo sito a una grossissima vulnerabilità.
I permessi in formato alfabetico
Il sistema che indica i permessi in formato alfabetico è meno utilizzato poiché più lungo e meno pratico, dato che si basa sull’iniziale di ciascun tipo di permesso:
- r per la lettura;
- w per la scrittura;
- x per l’esecuzione;
- – (il trattino) per nessun permesso.
Le prime tre lettere si riferiscono ai permessi del proprietario, il secondo gruppo di tre lettere ai permessi per il gruppo, il terzo si riferisce al pubblico.
Riprendendo lo stesso esempio del paragrafo precedente, il permission code in formato alfabetico risulterebbe:
rwxr-----
ovvero:
7 = rwx
4 = r--
0 = ---
Se avesse tutti i permessi per tutti gli utenti (777) diventerebbe invece
rwxrwxrwx.
Qualche regola da sapere per i permessi di WordPress
Ora che abbiamo chiarito come si identificano i permessi, ecco alcune regole da sapere su come dovrebbero essere configurati i file e le cartelle di WordPress nella maggior parte dei casi.
Queste indicazioni potrebbero non essere valide per tutti gli hosting, perché esistono delle variazioni dovute al modo in cui è configurato il server. Ricordati che, se usi un hosting WordPress, sicuramente tutti i tuoi file hanno già il corretto permission code.
La maggior parte delle cartelle utilizza i permessi 755:
- il proprietario ha tutti i permessi;
- il gruppo può leggere ed eseguire;
- il pubblico può leggere ed eseguire.
La maggior parte dei file invece usano solitamente i permessi 644:
- il proprietario può leggere e scrivere;
- il gruppo può leggere;
- il pubblico può leggere.
Alcuni file particolari potrebbero avere permission code diversi, come il file wp-config.php che, per essere più protetto, a volte viene impostato con 640 o perfino 444. Prima di applicare restrizioni di questo tipo ai tuoi file, ricordati che non è sempre la soluzione ottimale, poiché alcuni plugin necessitano proprio di scrivere su quel file. Rischieresti quindi di non poter far funzionare il plugin.
Anche il file .htaccess può essere impostato su 644 (raccomandato da WordPress) o 444, ma anche in questo caso bisogna fare attenzione al funzionamento dei plugin che utilizzano quel file.
Come verificare e modificare i permessi di file e cartelle WordPress
Ti sconsiglio di modificare i permessi di ciò che si trova all’interno del tuo sito WordPress a meno che non sai esattamente cosa stai facendo. Piuttosto, se hai dubbi sulla corretta configurazione, contatta il supporto del tuo hosting o richiedi la nostra consulenza.
Non rischiare!
Però potrebbe esserti venuta la curiosità di scoprire come sono configurati i tuoi file, e quindi puoi andare a sbirciare usando il file manager del tuo hosting.
- Accedi al tuo hosting ed entra nel gestore file (o File manager);
- Accedi alla cartella che ti interessa;
- Fai clic col tasto destro sul file o sulla cartella di cui vuoi conoscere i permessi;
- Vai su Change permission, Permessi file o una voce simile (dipende dall’hosting).
Vedrai una schermata con delle caselline selezionate in base ai permessi e il codice numerico del permission code.
Avrai la possibilità di modificare questi valori come preferisci (anche se ribadisco l’estrema cautela!).
Conclusione
Conoscere cosa significano i permission code e come funzionano i permessi di file e cartelle su WordPress ti aiuta a comprendere meglio il funzionamento del tuo sito.
La modifica di tali permessi è solitamente sconsigliata, sia perché solitamente gli hosting li configurano alla perfezione in automatico, sia perché potresti esporre il tuo sito a rischi piuttosto pesanti.
PS. Ora hai capito cosa significa l’errore 403 – Forbidden? Esatto, si tratta di un permesso troppo restrittivo.