Permisos de archivos en WordPress – Guía completa para novatos

¿Te preocupa que los hackers puedan explotar tus archivos de WordPress e ingresar a tu sitio web?

Nos gustaría poder decirte que no hay nada de qué preocuparte. No obstante, desafortunadamente, los hackers explotan los permisos de archivos incorrectos y acceden a los archivos de WordPress todo el tiempo.

Los permisos de archivo sdefinen quién puede leer, escribir y ejecutar los archivos que componen tu sitio de WordPress. Si estos permisos se configuran incorrectamente, los usuarios no autorizados y los hackers podrían editarlos, insertar contenido de spam e inyectar malware.

Esto les permitirá tomar el control de tu sitio y ejecutar actividades maliciosas como dañar tu sitio, enviar spam y robar información confidencial.

Afortunadamente, puedes evitar todo esto configurando los permisos de archivos correctos para tus archivos de WordPress. En esta guía, te mostramos cómo configurar los permisos de archivos correctos para diferentes archivos de WordPress. Esto hará que tu sitio web sea mucho más seguro contra los hackers.

Comprendiendo la estructura de archivos de WordPress

Para establecer permisos de archivos, primero debes comprender qué necesitas protección. Tu sitio de WordPress comprende muchas carpetas y archivos que contienen componentes de tu sitio, como configuraciones, temas, complementos, publicaciones, archivos multimedia, etc.

Si visitas el backend de tu sitio, encontrarás que tus archivos y carpetas están estructurados de cierta manera. Por ejemplo, todo el contenido de tu sitio web se puede encontrar en una carpeta llamada wp-content.

Dentro de esta carpeta, los archivos pertenecientes a los complementos en tu sitio se pueden encontrar dentro de una carpeta llamada plugins.

Por defecto, WordPress tiene tres carpetas principales:

    • wp-admin
    • wp-includes
    • wp-content

Los archivos principales son:

    • wp-config
    • .htaccess

Estas son las carpetas y archivos más importantes, ya que contienen datos y configuraciones que son fundamentales para el funcionamiento de WordPress. También ayudan a la apariencia de tu sitio web de WordPress.

Por ejemplo, el archivo wp-config contiene información sobre la base de datos. Aquí incluye el nombre de la base de datos, el nombre de host, el nombre de usuario y la contraseña. También se usa para definir opciones avanzadas para WordPress.

Debes permitir que solo los usuarios de confianza lean y modifiquen este archivo, pero definitivamente no debería ser visible para el público. Si el mundo tiene acceso a los permisos para el archivo wp-config, los hackers pueden robar las credenciales de tu base de datos. Después pueden usarlas para hackear tu sitio.

Del mismo modo, cada archivo y carpeta mencionados anteriormente desempeña un papel fundamental en tu sitio y debes protegerlos configurando los permisos de archivo correctos.

¿Qué son los permisos de archivos de WordPress?

Los permisos de archivo son un conjunto de reglas que determinan “quién” puede acceder a “qué” en tu sitio de WordPress. Por ejemplo, puedes establecer quién tiene acceso a la carpeta wp-admin y en qué capacidad. Es decir, si solo pueden ver la carpeta o realizar modificaciones también.

Existen tres tipos de usuarios que pueden acceder a tus archivos y carpetas:

    1. Usuario (User):  este es el propietario o administrador del sitio de WordPress.
    2. Grupo (Group): indica un conjunto de usuarios que tienen roles en tus sitios, como suscriptor, colaborador o editor.
    3. Mundo (World):  este es el público en general o, mejor dicho, cualquier persona en Internet.

Ahora, como mencionamos anteriormente, cada tipo de usuario no necesita permiso completo para ver tus archivos y carpetas. ¡Otorgar al mundo acceso completo a archivos confidenciales podría ser desastroso!

Debes otorgar diferentes niveles de permisos a diferentes tipos de usuarios dependiendo del nivel de confianza que tengas con ese usuario en particular. Hay tres niveles de permisos que puedes otorgar a los usuarios:

    1. Lectura (Read – R):  esto le da al usuario la capacidad de ver un archivo.
    2. Escritura (Write – W):  el usuario puede alterar y editar el archivo.
    3. Ejecución (Execute – X): el usuario puede ejecutar scripts y programas dentro de un archivo o carpeta.

Al configurar los permisos correctos de archivos y carpetas, puedes evitar que los hackers accedan a datos confidenciales y alteren archivos cruciales.

Los permisos de archivo se establecen como un número de tres dígitos y para establecer el número correcto, debes saber qué significa cada número.

¿Qué significan los números de permisos de archivos?

Los permisos de archivo son una combinación de tres números:

De izquierda a derecha, los números están en orden de los permisos otorgados al tipo de usuario de WordPress:  usuario, grupo y el mundo.

Cada número denota un nivel específico de permiso otorgado al usuario correspondiente:

    • 0 – Sin acceso
    • 1 – Ejecución
    • 2 – Escritura
    • 4 – Lectura

El resto de los números son una combinación de 1, 2 y 4.

    • 3 – (2 + 1) Escritura y ejecución
    • 5 – (4 + 1) Lectura y ejecución
    • 6 – (4 + 2) Lectura y escritura
    • 7 – (4 + 3) Lectura, escritura y ejecución

No querrás que todos los permisos de archivo se configuren en 777 y otorguen acceso a todo el mundo para leer, escribir y ejecutar archivos.

Esto otorga permisos de escritura, lo que significa que un hacker puede editar tus archivos para redirigir a tus visitantes a otros sitios. También puede lanzar ataques más grandes en otro sitio web (DDoS), y enviar correo no deseado. Asimismo, defraudar a tus clientes, entre muchas otras cosas. Puedes consultar nuestra guía sobre cómo detener los ataques DDoS.

Al mismo tiempo, tampoco puedes establecer el permiso de todos en 000 o 444. Esto se debe a que WordPress a menudo requiere permiso para ejecutar archivos o modificarlos. Cuando instalas complementos y temas, necesitan acceso a ciertos archivos y carpetas para que puedan usarlos.

Si otorgas acceso de solo lectura a todos, WordPress y muchos complementos y temas no podrán funcionar. Dichas configuraciones de permisos de WordPress dañarán tu sitio web de WordPress.

¿Cuáles son los permisos de archivo de WordPress recomendados?

Permisos de archivos recomendados en WordPress

Estos son los permisos de archivos recomendados que puedes establecer para tu sitio de WordPress.

    • wp-admin: 755
    • wp-content: 755
        • wp-content/themes: 755
        • wp-content/plugins: 755
        • wp-content/uploads: 755
    • wp-config.php: 644
    • .htaccess: 644
    • Todos los demás archivos: 644

Cómo cambiar los permisos de archivos en WordPress

Cambiar los permisos de tus archivos es relativamente simple. Pero antes de continuar, te recomendamos que hagas una copia de seguridad de tu sitio de WordPress.

Cualquier modificación en el backend de WordPress es arriesgada y puede conducir a un sitio dañado. Puedes usar complementos de copias de seguridad para hacer un respaldo de tu sitio. En caso de que algo salga mal, puedes restaurar tu sitio a la normalidad.

Para establecer permisos, debes acceder atus carpetas y archivos de WordPress. Puedes hacer esto de dos maneras:

Cambiar los permisos de archivos de WordPress usando cPanel

Paso 1:  Inicia sesión en tu cuenta de alojamiento web y navega hasta ‘administrar tu hosting’ y selecciona cPanel. (Esto puede variar entre los hosts. Debes consultar con tu proveedor de hosting).

Segundo paso: Dentro de cPanel, selecciona Administrador de archivos.

Paso 3: Abre la carpeta root llamada public_html y encontrarás dentro los archivos y carpetas de tu sitio web de WordPress.

Paso 4: Haz clic con el botón derecho en la carpeta o archivo para el que deseas establecer permisos y selecciona cambiar permisos.

Nota: Puedes modificar permisos en archivos individuales. También puedes seleccionar múltiples carpetas y archivos, y cambiar los permisos para todos ellos juntos.

Paso 5: Selecciona los permisos que desees y elige ‘Cambiar permisos’ para guardar tus cambios.

Tus permisos de archivo se cambiarán ahora. En caso de que no tengas acceso a cPanel, aún puedes cambiar tus permisos de archivo usando FTP (Protocolo de transferencia de archivos).

Cambiar los permisos de archivos de WordPress usando FTP

FTP es un software que puedes usar para conectarte al servidor de tu sitio web de WordPress para acceder a tus carpetas y archivos. Para usar FTP, debes descargar un cliente FTP como Filezilla. Una vez que tengas esto instalado, podemos comenzar.

Paso 1:  Ingresa tus credenciales FTP y establece una conexión seleccionando ‘Conexión rápida’.

Paso 2: Los archivos y las carpetas se mostrarán en el panel de la derecha. Abre la carpeta public_html. Aquí encontrarás los archivos y carpetas de tu sitio web.

Paso 3: Haz clic derecho en el archivo o carpeta para el que deseas establecer permisos y elige ‘Permisos de archivo’.

Paso 4: Aquí, puedes cambiar los permisos y seleccionar ‘Aceptar’ para guardar tus cambios.

¡Eso es todo! Tus permisos de archivo han cambiado y se han configurado correctamente.

Conclusiones

La corrección de permisos para tus archivos es un paso en la dirección correcta para asegurar tu sitio web de WordPress. Ahora, los hackers no podrán explotar tus archivos de WordPress.

Dicho esto, los hackers tienen un millón de trucos bajo la manga para entrar en tu sitio. Por nombrar solo algunos, usan ataques de fuerza bruta, inyecciones SQL y ataques XSS para explotar tu sitio de WordPress.

Para obtener la protección adecuada contra los hackers, necesitas un complemento de seguridad confiable de WordPress. 

Una vez activado en tu sitio, el complemento escaneará y monitoreará la actividad de tu sitio web regularmente. También detectará proactivamente el comportamiento sospechoso y bloqueará a los hackers antes de que puedan acceder a tu sitio.