这是新手常见的误区，网站根目录默认是root，才是最安全的。

注意这里有2个概念：
* 文件所有权：这个文件是属于谁的
* 程序运行身份：是谁在运行程序

如果文件所有权是root的，程序运行身份是www，那么www是不会有权限去修改root的文件的，这样才是最安全的。
反之，如果你把所有文件所有权都改成www，程序运行身份是www，那么www自然是有限修改自己的文件，相比文件所有权是root时的限制就没这么强了。

非常感谢

很多程序只支持www 比如 wordpress

大部分程序，都不会去修改程序文件，将这些程序文件（扩展名是.php）和上级目录的所有者设置为root，可以防止因为程序漏洞造成的挂马等问题。
一般情况下，只要将需要写入文件的目录，比如：

• 上传目录（如upload/）
• 数据目录（如data/）
• 运行时目录（如runtime/）
  这些目录的所有者设置为www即可，具体哪些目录要根据你的程序需求来。