¿Te preocupa que los hackers y piratas informáticos puedan explotar sus archivos de WordPress y entrar en tu sitio web?
Me gustaría poder decirte que no hay nada de qué preocuparse, pero desafortunadamente, los piratas informáticos aprovechan los permisos de archivo incorrectos y acceden a los archivos de WordPress.
Los permisos de archivo definen quién puede leer, escribir y ejecutar los archivos que componen tu sitio de WordPress. Si estos permisos se configuran incorrectamente, los usuarios no autorizados y los piratas informáticos podrían editarlos, insertar contenido de spam e inyectar malware.
Esto les permitirá tomar el control de tu sitio y ejecutar actividades maliciosas como desfigurar tu sitio, enviar spam a sus clientes y robar información confidencial.
Afortunadamente, puedes evitar todo esto configurando los permisos de archivo correctos para tus archivos de WordPress. En esta guía, te voy a mostrar cómo configurar los permisos de archivo correctos para diferentes archivos de WordPress. Esto hará que tu sitio web sea mucho más seguro contra los hackers y piratas informáticos.
Tabla de contenidos
Comprender la estructura de archivos de WordPress
Para establecer permisos de archivo, primero debemos comprender qué necesita protección. Tu sitio de WordPress comprende muchas carpetas y archivos que contienen componentes para tu sitio web, como configuraciones, temas, plugins, medios, etc.
Si visitas el backend de tu sitio, encontrarás que tus archivos y carpetas están estructurados de cierta manera. Por ejemplo, todo el contenido de su sitio web se puede encontrar en una carpeta llamada wp-content. Dentro de esta carpeta, los archivos pertenecientes a los complementos de tu sitio se pueden encontrar dentro de una carpeta llamada plugins.
Por defecto, WordPress tiene tres carpetas principales:
- wp-admin
- wp-incluye
- wp-content
Los archivos principales incluyen:
- wp-config
- .htaccess
Estas son las carpetas y archivos más importantes, ya que contienen datos y configuraciones que son fundamentales para el funcionamiento y la apariencia del sitio web de WordPress.
Por ejemplo, el archivo wp-config contiene información sobre la base de datos, incluido el nombre de la base de datos, el nombre de host, el nombre de usuario y la contraseña. También se utiliza para definir opciones avanzadas para WordPress.
Debes permitir que solo los usuarios confiables lean y modifiquen este archivo, pero definitivamente no debe ser visible para el público. Si los permisos para el archivo wp-config están configurados para que todo el mundo pueda acceder a ellos, los piratas informáticos pueden robar los credenciales de su base de datos y usarlas para piratear tu web.
Del mismo modo, cada archivo y carpeta mencionados anteriormente juega un papel fundamental en tu web y debes protegerlos estableciendo los permisos de archivo correctos.
¿Qué son los permisos de archivos de WordPress?
Los permisos de archivo son un conjunto de reglas que determinan “quién” puede acceder a “qué” en tu sitio de WordPress. Por ejemplo, puedes establecer quién tiene acceso a la carpeta wp-admin y en qué capacidad, es decir, si puede ver la carpeta o hacer modificaciones también.
Hay tres tipos de usuarios que pueden acceder a tus archivos y carpetas:
- Usuario: es el propietario o administrador del sitio de WordPress.
- Grupo: esto denota un conjunto de usuarios que tienen roles en tus sitios, como suscriptor, colaborador o editor.
- Mundo: este es el público en general o, más bien, cualquier persona en Internet.
Ahora, como mencionamos anteriormente, cada tipo de usuario no necesita permiso completo para ver sus archivos y carpetas. ¡Otorgar al mundo acceso completo a archivos confidenciales podría ser desastroso!
Debes otorgar diferentes niveles de permisos a diferentes tipos de usuarios, según el nivel de confianza que tenga con ese usuario en particular. Hay tres niveles de permisos que puedes otorgar a los usuarios:
- Leer (R): esto le da al usuario la capacidad de ver un archivo.
- Escribir (W): el usuario puede modificar y editar el archivo.
- Ejecutar (X): el usuario puede ejecutar scripts y programas dentro de un archivo o carpeta.
Al establecer los permisos correctos de archivos y carpetas, puedes evitar que los piratas informáticos accedan a datos confidenciales y alteren archivos cruciales.
Los permisos de archivo se establecen como un número de tres dígitos y, para establecer el número correcto, debes aprender qué significa cada número.
¿Qué son los números de permiso de archivo?
Los permisos de archivo son una combinación de tres números:
De izquierda a derecha, los números están en el orden de los permisos otorgados al tipo de usuario de WordPress: usuario, grupo y mundo (otros).
Cada número denota un nivel específico de permiso otorgado al usuario correspondiente:
- 0 – Sin acceso
- 1 – Ejecutar
- 2 – Escribir
- 4 – Leer
El resto de los números son una combinación de 1, 2 y 4.
- 3 – (2 + 1) Escribir y ejecutar
- 5 – (4 + 1) Leer y ejecutar
- 6 – (4 + 2) Leer y escribir
- 7 – (4 + 3) Leer, escribir y ejecutar
No querrás que todos los permisos de archivos se establezcan en 777 y otorguen acceso a todo el mundo para leer, escribir y ejecutar sus archivos. Esto otorga permisos de escritura, lo que significa que un pirata informático puede editar los archivos para redirigir a sus visitantes a otros sitios, lanzar ataques más grandes en otro sitio web (DDoS) y enviar spam y defraudar a tus clientes, entre muchas otras cosas. Puedes consultar nuestra guía sobre cómo detener los ataques DDoS .
Al mismo tiempo, tampoco puede establecer el permiso de todos en 000 o 444. Esto se debe a que WordPress a menudo requiere permiso para ejecutar archivos o modificarlos. Cuando instala complementos y temas, necesitan acceso a ciertos archivos y carpetas para que pueda usarlos.
Si otorgas acceso de solo lectura a todos, WordPress y muchos complementos y temas no podrán funcionar. Dicha configuración de permisos de WordPress romperá el sitio web de WordPress.
Entonces, ¿cuáles son los permisos de archivo de WordPress recomendados?
Permisos de archivo recomendados en WordPress
Estos son los permisos de archivo recomendados que puedes establecer para tu sitio de WordPress.
- wp-admin: 755
- wp-content: 755
- wp-content / themes: 755
- wp-content / plugins: 755
- wp-content / uploads: 755
- wp-config.php: 644
- .htaccess: 644
- Todos los demás archivos – 644
Cómo cambiar los permisos de archivo en WordPress
Hay dos formas de hacer esto, utilizando un acceso FTP y un programa de gestión de ficheros visual como winscp o firezilla, o bien mediante un acceso SSH al servidor que contiene la página web.
1. Cambiar los permisos de archivo de WordPress usando FTP
FTP es un software que puede utilizar para conectarse al servidor de su sitio web de WordPress para acceder a tus carpetas y archivos. Para usar FTP, necesitas descargar un cliente FTP como Filezilla. Una vez que tenga esto instalado, podemos comenzar.
Paso 1: Ingresa tus credenciales de FTP y establece una conexión seleccionando ‘Conexión rápida’ .
Paso 2: Los archivos y carpetas se completarán en el panel de la derecha. Abre la carpeta public_html. Aquí encontrarás los archivos y carpetas de su sitio web.
Paso 3: Haz clic con el botón derecho en el archivo o carpeta para los que deseas establecer permisos y elige ‘Permisos de archivo’ .
Paso 4: Aquí, puedes cambiar los permisos y seleccionar ‘Aceptar’ para guardar sus cambios.
¡Eso es! Sus permisos de archivo se cambiaron y se han configurado correctamente.
2. Cambiar los permisos de archivo de WordPress por consola (SSH)
Paso 1: Acceder al servidor web usando nuestros accesos de SSH.
Paso 2: Nos dirigimos al directorio donde se encuentran los ficheros de nuestro sitio web.
En nuestro caso se encuentran dentro de la siguiente ruta, así que haremos uso del siguiente comando para ubicarnos dentro de esta:
/var/www/vhosts/dominio.com/httpdocs/
Una vez aquí cambiaremos los permisos de forma masiva haciendo uso de los siguientes comandos:
sudo find . -type d -exec chmod 755 '{}' \;
sudo find . -type f -exec chmod 644 '{}' \;
sudo chmod 644 wp-config.php
Este comando tardará un rato en terminar de ejecutarse, depende del tamaño del sitio web y el numero de subcarpetas que este contenga.
Al finalizar, tendremos los permisos modificados igual que pide el estándar de wordpress.