Permisos de archivos de WordPress: cómo configurar un sitio web seguro

WordPress puede ejecutarse prácticamente en cualquier sistema operativo que ejecute PHP. Sin embargo, la gran mayoría de los sitios web de WordPress se ejecutan en Linux. Por lo tanto, es importante que comprenda los permisos de archivos de Linux.

Es crucial aplicar los permisos de archivo correctamente. Establecer permisos incorrectos puede dejar la web indefensa a cualquier ataque. Los permisos de archivo incorrectos pueden permitir que usuarios no autorizados obtengan acceso a archivos y datos potencialmente confidenciales. Dichos datos se pueden usar como un trampolín para un ataque mayor.

Como administrador de WordPress, los permisos de archivos pueden parecer un poco desalentadores, especialmente si te manejas en Linux. Aquí una pequeña ayuda.

Establecer permisos incorrectos de archivos de WordPress podría permitir el acceso a otros usuarios. En el peor de los casos, esto puede permitir que un atacante cambie el contenido de un archivo importante al que no debe tener acceso. También puede permitir que cualquier usuario en Internet lea archivos confidenciales dentro de su instalación de WordPress.

Es por eso que nunca debe establecer los permisos de archivos de WordPress en 777 (-rwxrwxrwx). Esto permitiría el acceso completo de lectura, escritura y ejecución a cualquier persona que esté en condiciones de controlar ese archivo. Esto podría ser un tercero que realiza cambios a través de FTP o SSH, o un atacante a través de un formulario de carga.

Por otro lado, debe tener cuidado de no hacer que las cosas sean demasiado restrictivas para que WordPress haga su trabajo. Dado que WordPress en sí, así como los temas y complementos, a menudo necesitarán realizar cambios de manera segura en varios archivos. Por ejemplo, cuando WordPress se actualiza automáticamente para mantener su sitio seguro contra vulnerabilidades de seguridad.

Entonces, un permiso de 444 (-r – r – r–) puede causar un mal funcionamiento del sitio web de WordPress. Con 444 WordPress sólo se permitirá leer, por lo que las actualizaciones automáticas fallarán . Dicho esto, es posible ejecutar WordPress con permisos de solo lectura ( 444 o r – r – r–). Será una instalación muy segura. Sin embargo, deberá tener en cuenta las limitaciones antes mencionadas.

Algunos proveedores de hosting administrados de WordPress admiten esto de forma inmediata. Aunque si desea ejecutar WordPress con tales permisos, primero pruébelo en el entorno de ensayo.

Los permisos de archivo recomendados por WordPress son los siguientes.

Establecer permisos incorrectos de archivos de WordPress podría resultar en otorgar accidentalmente acceso a otros usuarios de los que usted quiere. En el peor de los casos, esto puede permitir que un atacante cambie el contenido de un archivo importante al que no debe tener acceso. También puede permitir que cualquier usuario en Internet lea archivos confidenciales dentro de su instalación de WordPress.

Es por eso que nunca debe establecer los permisos de archivos de WordPress en 777 (-rwxrwxrwx). Esto permitiría el acceso completo de lectura, escritura y ejecución a cualquier persona que esté en condiciones de controlar ese archivo. Esto podría ser un tercero que realiza cambios a través de FTP o SSH, o un atacante a través de un formulario de carga.

Por otro lado, debe tener cuidado de no hacer que las cosas sean demasiado restrictivas para que WordPress haga su trabajo. Dado que WordPress en sí, así como los temas y complementos, a menudo necesitarán realizar cambios de manera segura en varios archivos. Por ejemplo, cuando WordPress se actualiza automáticamente para mantener su sitio seguro contra vulnerabilidades de seguridad.

Entonces, en aras de la discusión, un permiso de 444 (-r – r – r–) puede causar un mal funcionamiento de su sitio web de WordPress. Con 444 WordPress sólo se permitirá a rea , por lo que las actualizaciones automáticas fallarán . Dicho esto, es posible ejecutar WordPress con permisos de solo lectura ( 444 o r – r – r–). Será una instalación muy sucre. Sin embargo, deberá tener en cuenta las limitaciones antes mencionadas.

Algunos proveedores de hosting administrados de WordPress admiten esto de forma inmediata. Aunque si desea ejecutar WordPress con tales permisos, primero pruébelo en el entorno de ensayo.

Los permisos de archivo recomendados por WordPress son los siguientes.

TipoNúmerosLetrasDescripción
Directorios755drwx-wx-wxDirectorios de instalación de WordPress
Archivos644-rwxr – r–WordPress core, temas y complementos de WordPress (se pueden aplicar excepciones a algunos temas y complementos)
wp-config.php600-rw ——-El archivo de configuración de WordPress
.htaccess644 o
600
-rw-r – r–
-rw ——-
Archivo de configuración del servidor HTTP Apache (puede que no se aplique si está ejecutando Nginx o un servidor web que no sea el servidor HTTP Apache)

Cómo cambiar los permisos de archivos de WordPress a través de FTP

Cambiar los permisos de archivos de WordPress se puede hacer fácilmente a través de un cliente FTP como FileZilla o Cyberduck. Simplemente hay que hacer clic con el botón derecho en el archivo o directorio para el que se desea cambiar los permisos, haz clic en Información y luego haz clic en la pestaña Permisos .

El proceso es similar en Filezilla. Haz clic derecho en el archivo, selecciona Permisos de archivo y te presentará un cuadro de diálogo similar.

Deja un comentario