Comprendre les permissions de fichiers sur un hébergement web

Quand on ins­talle Word­Press ou qu’on explore les fichiers de son héber­ge­ment via le ges­tion­naire de fichiers du cPa­nel ou un client FTP, on tombe inévi­ta­ble­ment sur des chiffres comme 644, 755 ou 777. Ces valeurs dési­gnent les per­mis­sions de fichiers, c’est-à-dire les règles qui défi­nissent qui peut faire quoi sur chaque fichier ou dos­sier. Com­prendre leur fonc­tion­ne­ment per­met d’é­vi­ter des erreurs fré­quentes et de recon­naître une confi­gu­ra­tion anormale.

Qu’est-ce qu’une permission de fichier ?

La plu­part des ser­veurs web fonc­tionnent sous Linux. Sur ce sys­tème, chaque fichier et chaque dos­sier appar­tient à un uti­li­sa­teur et est asso­cié à un groupe. Pour contrô­ler les accès, Linux attri­bue à chaque élé­ment un jeu de per­mis­sions qui pré­cise ce que trois caté­go­ries de per­sonnes peuvent faire.

Ces trois caté­go­ries sont :

• le pro­prié­taire : l’u­ti­li­sa­teur qui pos­sède le fichier, géné­ra­le­ment votre compte d’hébergement ;
• le groupe : un ensemble d’u­ti­li­sa­teurs par­ta­geant cer­tains droits, comme le ser­veur web ;
• les autres : tous les uti­li­sa­teurs qui ne sont ni le pro­prié­taire ni membres du groupe.

Pour cha­cune de ces caté­go­ries, trois actions sont possibles :

• lire : consul­ter le conte­nu du fichier ou lis­ter le conte­nu d’un dossier ;
• écrire : modi­fier le fichier ou créer des élé­ments dans un dossier ;
• exé­cu­ter : lan­cer le fichier comme un pro­gramme, ou entrer dans un dossier.

C’est la com­bi­nai­son de ces trois caté­go­ries et de ces trois actions qui pro­duit les valeurs numé­riques que vous voyez dans votre ges­tion­naire de fichiers.

Comment lire une permission en trois chiffres ?

Chaque action a une valeur numé­rique fixe :

• lec­ture = 4
• écri­ture = 2
• exé­cu­tion = 1

La notation octale

Pour obte­nir la per­mis­sion d’une caté­go­rie, on addi­tionne les valeurs des actions auto­ri­sées. C’est ce qu’on appelle la nota­tion octale : chaque chiffre est com­pris entre 0 et 7, car c’est le maxi­mum qu’on peut obte­nir en addi­tion­nant 4 + 2 + 1.

Une per­mis­sion com­plète s’é­crit avec trois chiffres, un par caté­go­rie, dans l’ordre : pro­prié­taire, groupe, autres.

Ain­si, 644 signifie :

• 6 : le pro­prié­taire peut lire et écrire ;
• 4 : le groupe peut seule­ment lire ;
• 4 : les autres peuvent seule­ment lire.

Et 755 signifie :

• 7 : le pro­prié­taire peut lire, écrire et exécuter ;
• 5 : le groupe peut lire et exécuter ;
• 5 : les autres peuvent lire et exécuter.

Quelle différence entre un fichier et un dossier ?

C’est un point qui prête sou­vent à confu­sion. Le bit d’exé­cu­tion ne signi­fie pas la même chose selon qu’il s’ap­plique à un fichier ou à un dossier.

Pour un fichier, l’exé­cu­tion per­met de lan­cer ce fichier comme un pro­gramme. Un fichier PHP n’a pas besoin de ce droit : c’est le ser­veur web qui l’in­ter­prète, pas le sys­tème d’ex­ploi­ta­tion direc­te­ment comme un pro­gramme exé­cu­table. Un fichier de confi­gu­ra­tion non plus.

Pour un dos­sier, le bit d’exé­cu­tion signi­fie quelque chose de dif­fé­rent : il per­met d’en­trer dans ce dos­sier, c’est-à-dire d’ac­cé­der à son conte­nu. Sans ce droit, même si vous pou­vez lis­ter les fichiers qu’il contient, vous ne pou­vez pas les ouvrir.

C’est pour­quoi les dos­siers sont géné­ra­le­ment en 755 et les fichiers en 644. Les dos­siers ont besoin du bit d’exé­cu­tion pour être par­cou­rus par le ser­veur web, tan­dis que les fichiers n’en ont pas besoin pour être lus ou interprétés.

Les permissions recommandées sur WordPress

Word­Press suit des valeurs de réfé­rence bien éta­blies. Ces valeurs sont les plus cou­rantes sur Word­Press, mais elles ne doivent pas être modi­fiées sans raison.

Fichiers : 644 Le pro­prié­taire peut lire et modi­fier le fichier, le ser­veur web peut le lire. Per­sonne d’autre ne peut l’écrire.

Dos­siers : 755 Le pro­prié­taire peut créer, modi­fier et sup­pri­mer des élé­ments dans le dos­sier. Le ser­veur web peut y accé­der et le parcourir.

wp-config.php : 600 ou 640 Ce fichier contient les iden­ti­fiants de la base de don­nées et des clés de sécu­ri­té. Le res­treindre à 600 le rend lisible et modi­fiable par le pro­prié­taire uni­que­ment. Cer­tains héber­ge­ments néces­sitent 640 pour que le ser­veur web puisse le lire. Vous trou­ve­rez plus d’in­for­ma­tions sur ce fichier dans l’ar­ticle wp-config.php : com­prendre et bien confi­gu­rer ce fichier essen­tiel de Word­Press.

Le fichier .htac­cess est géné­ra­le­ment en 644 ; Word­Press le lit et peut le modi­fier auto­ma­ti­que­ment selon la confi­gu­ra­tion de l’hébergement. Vous trou­ve­rez plus d’in­for­ma­tions sur ce fichier dans l’ar­ticle Qu’est-ce que le fichier .htac­cess dans Word­Press ?.

Pourquoi 777 est dangereux

La valeur 777 accorde tous les droits à tout le monde : pro­prié­taire, groupe et autres peuvent lire, écrire et exé­cu­ter. Sur un héber­ge­ment mutua­li­sé, cela signi­fie que d’autres pro­ces­sus sur le ser­veur pour­raient modi­fier vos fichiers. Un fichier en 777 dans un dos­sier acces­sible depuis le web repré­sente une sur­face d’at­taque directe. Si vous voyez cette valeur sur votre ins­tal­la­tion Word­Press, c’est une ano­ma­lie à cor­ri­ger. L’ar­ticle Sécu­ri­té web : ce que pro­tège votre héber­geur et ce que vous devez pro­té­ger vous-même aborde ce type de risque plus en détail.

➔ Une valeur 777 doit être consi­dé­rée comme une ano­ma­lie à cor­ri­ger immédiatement.

Comment vérifier et modifier les permissions ?

Trois méthodes sont dis­po­nibles selon votre niveau de fami­lia­ri­té avec les outils d’hébergement.

Via le gestionnaire de fichiers du cPanel

C’est la méthode la plus acces­sible. Dans le cPa­nel d’o2switch, ouvrez le ges­tion­naire de fichiers, navi­guez jus­qu’au fichier ou dos­sier concer­né, faites un clic droit, puis choi­sis­sez « Modi­fier les per­mis­sions ». Une fenêtre vous per­met de cocher les droits ou de sai­sir direc­te­ment la valeur numérique.

Via un client FTP

Avec File­Zilla par exemple, faites un clic droit sur le fichier ou le dos­sier, puis sélec­tion­nez « Droits d’ac­cès au fichier ». Vous pou­vez cocher les cases ou sai­sir la valeur sou­hai­tée dans le champ numérique.

Via SSH avec la commande chmod

Pour les uti­li­sa­teurs à l’aise avec le ter­mi­nal, la com­mande chmod per­met de modi­fier les per­mis­sions direc­te­ment. Avant toute opé­ra­tion récur­sive, véri­fiez bien que vous êtes à la racine du site.
Quelques exemples :

# Appliquer 644 à un fichier
chmod 644 wp-config.php

# Appliquer 755 à un dossier
chmod 755 wp-content/uploads

# Appliquer 644 à tous les fichiers d'un dossier de manière récursive
find /chemin/vers/wordpress -type f -exec chmod 644 {} \;

# Appliquer 755 à tous les dossiers de manière récursive
find /chemin/vers/wordpress -type d -exec chmod 755 {} \;

# Appliquer 644 à un fichier
chmod 644 wp-config.php

# Appliquer 755 à un dossier
chmod 755 wp-content/uploads

# Appliquer 644 à tous les fichiers d'un dossier de manière récursive
find /chemin/vers/wordpress -type f -exec chmod 644 {} \;

# Appliquer 755 à tous les dossiers de manière récursive
find /chemin/vers/wordpress -type d -exec chmod 755 {} \;

La connexion SSH sur o2switch est pré­sen­tée dans l’ar­ticle Se connec­ter en SSH à son héber­ge­ment o2switch : le guide simple et com­plet.

À noter : sur un héber­ge­ment bien confi­gu­ré, Word­Press peut gérer lui-même ses per­mis­sions lors des mises à jour et de l’ins­tal­la­tion d’ex­ten­sions. Une inter­ven­tion manuelle n’est géné­ra­le­ment néces­saire qu’a­près une migra­tion ou pour cor­ri­ger une anomalie.

Erreurs fréquentes liées aux permissions

Erreur 403 For­bid­den : cette erreur sur­vient quand le ser­veur ne peut pas accé­der à un fichier ou à un dos­sier. La cause est sou­vent un dos­sier sans le bit d’exé­cu­tion, ou un fichier dont les per­mis­sions sont trop res­tric­tives. Véri­fier les per­mis­sions en par­tant du dos­sier racine est géné­ra­le­ment le bon réflexe.

Les mises à jour et les uploads échouent : si Word­Press ne peut pas écrire dans ses propres dos­siers, les mises à jour d’ex­ten­sions s’ar­rêtent en cours de route et les médias ne s’u­ploadent pas. Le dos­sier wp-content/uploads doit être acces­sible en écri­ture par le ser­veur web. Une valeur 755 est suf­fi­sante sur la plu­part des héber­ge­ments mutualisés.

La ten­ta­tion du 777 : face à une erreur, mettre un fichier ou un dos­sier en 777 règle par­fois le pro­blème immé­dia­te­ment. C’est pour cette rai­son que cette valeur se retrouve sou­vent sur des ins­tal­la­tions qui ont connu des dif­fi­cul­tés. Mais c’est une fausse solu­tion : elle masque le vrai pro­blème et intro­duit une vul­né­ra­bi­li­té. Mieux vaut iden­ti­fier la cause réelle de l’erreur.

À retenir

Les per­mis­sions de fichiers suivent une logique simple une fois le prin­cipe assi­mi­lé : trois chiffres, trois caté­go­ries d’u­ti­li­sa­teurs, trois actions pos­sibles. Sur un héber­ge­ment Word­Press, les valeurs à rete­nir sont 644 pour les fichiers, 755 pour les dos­siers, et 600 pour wp-config.php. Ces réglages sont géné­ra­le­ment appli­qués par défaut lors d’une ins­tal­la­tion cor­recte. L’es­sen­tiel est de savoir les lire, de recon­naître une valeur anor­male comme 777, et de savoir où inter­ve­nir si nécessaire.