En MancillaTech, entendemos que la seguridad en WordPress va más allá de instalar un plugin de protección. Uno de los aspectos fundamentales y muchas veces ignorado es la configuración de permisos de archivos y directorios en WordPress para mayor seguridad. Un mal ajuste en estos permisos puede permitir accesos no autorizados, modificación de archivos críticos o incluso el control total del sitio por parte de atacantes.
En este artículo, explicamos cómo funcionan los permisos de archivos en WordPress, cuáles son los valores recomendados y cómo configurarlos correctamente para evitar vulnerabilidades.
¿Qué son los permisos de archivos y por qué son importantes en WordPress?
Los permisos de archivos en WordPress definen quién puede leer, escribir o ejecutar archivos y directorios dentro del sitio web. En servidores Linux, los permisos se representan con códigos numéricos, como 644 o 755, que indican los niveles de acceso para el propietario, el grupo y otros usuarios.
Breve historia y contexto
WordPress, al ser una plataforma de código abierto, se ejecuta en una arquitectura basada en PHP y MySQL. La correcta configuración de permisos es esencial para proteger archivos sensibles como wp-config.php y evitar ataques de escalamiento de privilegios.
Valores recomendados para la configuración de permisos en WordPress
Para garantizar la seguridad del sitio, en MancillaTech configuramos los siguientes valores recomendados:
| Tipo de archivo | Permiso recomendado | Descripción |
|---|---|---|
| Archivos PHP principales | 644 | Permite que el propietario edite, pero restringe modificaciones de otros usuarios. |
| Directorios | 755 | Restringe escritura para usuarios que no sean propietarios. |
| wp-config.php | 400 o 440 | Protege el archivo más importante de WordPress de accesos no autorizados. |
| .htaccess | 444 | Evita cambios accidentales o maliciosos en la configuración del servidor. |
Estos valores evitan que usuarios no autorizados modifiquen archivos críticos del sitio web.
Cómo configurar los permisos de archivos y directorios en WordPress
Existen diferentes métodos para modificar los permisos de archivos en WordPress. A continuación, te mostramos las opciones más seguras y efectivas.
1. Configurar permisos desde un cliente FTP (FileZilla)
Si gestionas tu sitio mediante FTP, puedes modificar los permisos de la siguiente manera:
- Abre FileZilla y conéctate a tu servidor.
- Navega hasta la carpeta de instalación de WordPress.
- Haz clic derecho sobre un archivo o carpeta y selecciona Permisos de archivo….
- Introduce los valores recomendados (por ejemplo,
644para archivos y755para directorios). - Aplica los cambios y asegúrate de seleccionar “Aplicar a archivos dentro de directorios” si es necesario.
2. Modificar permisos desde SSH
Si tienes acceso SSH a tu servidor, puedes configurar los permisos con comandos de terminal:
# Configurar permisos para archivos
find /ruta-de-wordpress/ -type f -exec chmod 644 {} \;
# Configurar permisos para directorios
find /ruta-de-wordpress/ -type d -exec chmod 755 {} \;
# Proteger wp-config.php
chmod 400 /ruta-de-wordpress/wp-config.php
Estos comandos garantizan que solo el propietario tenga permisos de escritura en archivos clave.
3. Usar un plugin de seguridad para gestionar permisos
Si prefieres una solución sin código, algunos plugins permiten gestionar los permisos de archivos de manera intuitiva:
- iThemes Security: Permite ajustar permisos de archivos sensibles.
- All In One WP Security & Firewall: Incluye auditoría de permisos y sugiere cambios de seguridad.
Medidas adicionales para evitar accesos no autorizados a los archivos
Además de configurar correctamente los permisos, en MancillaTech recomendamos implementar estas medidas adicionales:
1. Proteger el archivo wp-config.php con reglas en .htaccess
El archivo wp-config.php contiene credenciales de la base de datos y otras configuraciones sensibles. Puedes restringir el acceso agregando la siguiente regla en .htaccess:
<files wp-config.php>
order allow,deny
deny from all
</files>
2. Desactivar la edición de archivos desde el panel de WordPress
Para evitar que atacantes modifiquen archivos críticos desde el panel de administración, añade esta línea en wp-config.php:
define('DISALLOW_FILE_EDIT', true);
3. Implementar un Firewall de Aplicaciones Web (WAF)
Un firewall puede bloquear intentos de acceso a archivos críticos del sitio. Algunos servicios recomendados incluyen:
- Cloudflare WAF
- Sucuri Firewall
Estos sistemas identifican y bloquean solicitudes sospechosas antes de que lleguen al servidor.
4. Monitoreo de actividad y alertas de seguridad
En MancillaTech, configuramos monitoreo activo en todos los sitios que gestionamos. Plugins como Wordfence o iThemes Security permiten registrar cambios en archivos y envían alertas en caso de modificaciones sospechosas.
Conclusión
Configurar correctamente los permisos de archivos y directorios en WordPress es una medida de seguridad esencial para evitar accesos no autorizados y ataques maliciosos. En MancillaTech, aplicamos estrategias avanzadas para garantizar la protección de cada sitio web.
Si deseas una auditoría de seguridad en tu WordPress o necesitas asistencia para configurar los permisos correctamente, contáctanos. Visita nuestra web en Mancillatech.com o escríbenos a nuestro WhatsApp +57 318 611 4849 para una consulta especializada.
