Cómo arreglar los permisos de archivos o carpetas de WordPress – Procedimiento paso a paso (WordPress File or Folder Permissions)
Published on: March 4, 2021
Aditya Shanker
8 mins read
Cuando hablamos de asegurar nuestra cuenta de WordPress, tendemos a discutir la seguridad de los plugins y extensiones principalmente. Asegurar los plugins y las extensiones es sin duda un aspecto importante. Pero, ignorar por completo los permisos de los archivos de WordPress puede ser inmensamente peligroso para su sitio web de WordPress.
Para empezar, conozcamos qué son los permisos de archivos de WordPress. Los permisos de archivos de WordPress son básicamente permisos para gestionar quién puede hacer qué en los archivos y carpetas de su sitio web. Por no mencionar que asegurar los permisos correctos aumenta la seguridad de su sitio y lo hace menos vulnerable.
Sin embargo, la mayoría de las veces los usuarios los ignoran después de establecer la configuración inicial.
¿Cómo puede comprobar si su sitio web tiene los permisos de archivos y carpetas correctos? El proceso manual significaría horas de trabajo frente a su PC. ¿Quién tiene tiempo para eso? Nadie.
Por lo tanto, debe haber un proceso mejor; y lo hay. Simplemente ejecute un escaneo con el plugin WP Hardening. Marcará todos los archivos y carpetas en su sitio web que tienen permisos vulnerables.
El plugin WP-Hardening señala los permisos de archivos vulnerables en un sitio web
Permisos recomendados para los archivos de WordPress
No configurar los permisos de archivos y carpetas podría permitir a un atacante explotar fácilmente el bucle dándole acceso no autorizado a su cuenta.
También podría permitir erróneamente a los usuarios leer, escribir y ejecutar archivos sensibles en su sitio. Usando lo cual pueden alterar la configuración de su sitio e incluso plantar puertas traseras.
Además de esto, los permisos deficientes permiten a los hackers inyectar códigos maliciosos que podrían ejecutar cierto malware en su sitio.
Por lo tanto, con los permisos de archivo adecuados, no sólo añade un nivel adicional de seguridad a su cuenta, sino que también la protege contra posibles ataques de personas no autorizadas.
Guía relacionada – Guía completa paso a paso de la seguridad en WordPress (Reduzca el riesgo de ser hackeado en un 90%)
Aparte de las razones de seguridad, los permisos incorrectos de los archivos también pueden causar errores en el acceso y la ejecución de estos archivos. Hay servicios y servidores que necesitan ciertos conjuntos de permisos para trabajar eficientemente en/con su sitio web.
Sin ellos, lanzarán mensajes de error en su pantalla y pueden incluso dañar su sitio. Por lo tanto, para el correcto funcionamiento de los diferentes servicios, es necesario darles la autorización adecuada.
Usted puede establecer los permisos de los archivos ya sea por FTP o chmod. He mencionado estos dos métodos a continuación:
Cómo establecer los permisos de los archivos de WordPress mediante FTP
Vea este vídeo para una solución rápida.
Arreglar los permisos de archivos y carpetas de WP
Utilizando clientes o programas FTP, puedes cambiar fácilmente la configuración de los permisos de un archivo o carpeta. La función para hacerlo se llama chmod o set permissions que se puede encontrar en el menú del programa.
- Cuando abres y ves los archivos y carpetas en un cliente FTP, la columna bajo la etiqueta Permisos es sobre la que trabajaríamos.
- Para cada archivo, se utiliza una combinación de letras y guiones en el permiso correspondiente. Un ejemplo de esto es -rwxrw-r-. Los usuarios pueden decodificar fácilmente el permiso como tal; el primer guión significa que el permiso se utiliza para un archivo, y las letras r, w y x representan que el usuario tiene respectivamente permisos de lectura, escritura y ejecución para el archivo. Los tres caracteres siguientes significan que el grupo de usuarios sólo tiene permisos de lectura y escritura. El guión significa que el usuario o grupo en particular no tiene permisos para ejecutar el archivo. Los tres últimos caracteres representan que otras personas sólo pueden leer el archivo, pero no escribirlo ni ejecutarlo.
- Puede cambiar estos permisos simplemente haciendo clic con el botón derecho del ratón en los archivos y seleccionando la opción “Establecer permisos” del menú.
Consulte nuestro blog detallado sobre los archivos de WordPress comúnmente hackeados y cómo afecta a su sitio web de WordPress.
Cómo configurar los permisos de los archivos de WordPress con cPanel
A través del Administrador de Archivos de cPanel, puede ver los diferentes archivos y sus permisos.
- Haga clic con el botón derecho del ratón en los archivos de los que desea cambiar los permisos y luego seleccione “Cambiar permiso“.
- Aparecerá una casilla en la que podrá seleccionar las casillas y ajustar los permisos.
- Una vez hecho esto, confirme los cambios, y ya está listo.
Permisos de archivos de WordPress: Diversos componentes y archivos y sus correspondientes permisos
Captura de pantalla de la lista de permisos de archivos de WordPress
Permisos de archivo recomendados para wp-contents
Esta carpeta almacena todos los temas, plugins y subidas a su cuenta de WordPress. Por lo general, la edición de los archivos puede causar errores y daños en el sitio. Proteger esta carpeta asegurará que los atacantes no puedan acceder al contenido suministrado por el usuario. El permiso correcto de archivos de WordPress para esta carpeta sería 755, y todos los archivos dentro de la carpeta deben tener 644. Así, esto asegurará que nadie pueda escribir nada dentro de la carpeta excepto el propietario.
Permisos de archivo recomendados para wp-includes
Esta carpeta incluye todos los archivos del núcleo y todos los archivos que son necesarios para el correcto funcionamiento del admin y la API de WordPress. El permiso adecuado para esta carpeta es 755.
Permisos recomendados para wp-content/uploads
Aparte del usuario, nadie debería tener privilegios de escritura en los archivos. Sin embargo, wp-content tiene que tener permisos de escritura también para www-data. Esto se puede hacer dando a wp-content acceso de escritura para un grupo especificando 755 y luego añadiendo el usuario al grupo www-data. O, usando ‘su’ cambiar temporalmente al usuario a www-data. el archivo wp-content/uploads contiene todas sus subidas al sitio web y por lo tanto necesita ser protegido. El permiso apropiado para este archivo puede ser 755.
Permisos recomendados para todos los archivos
El permiso apropiado para todos los archivos en WordPress debe ser 644. Esto significa que los usuarios tienen permisos de lectura y escritura y los grupos y otros sólo pueden leer los archivos. Esto asegurará que nadie que acceda a los archivos pueda alterarlos, aparte del propietario.
Permisos recomendados para las carpetas de WordPress
Los permisos sugeridos para todas las carpetas son 755. Esto se traduce en permisos de lectura, escritura y ejecución para el usuario y sólo de lectura y ejecución para los grupos y otros.
Guía relacionada – Guía completa paso a paso para la seguridad de WordPress (Reduce el riesgo de ser hackeado en un 90%)
Permisos de archivo recomendados para wp-config
El wp-config es uno de los archivos más sensibles de todo el directorio ya que contiene toda la información sobre la configuración base y también la información de conexión a la base de datos. El permiso apropiado para este archivo será 400/440. Esto significa que el usuario y los grupos tienen permiso sólo para leer y otros no podrán acceder al archivo.
Permiso correcto para el archivo PHP en la raíz wp
Este archivo en blanco presente en el wp-root oculta todo el directorio, y sin este archivo, todo el directorio de archivos estará desnudo. El permiso sugerido para el archivo será 444. Este permiso da autoridad de lectura a todos, incluyendo al usuario y al grupo.
| Files/Folders | Permissions |
| wp-content | 755 |
| wp-includes | 755 |
| All .php files | 644 |
| All folders | 755 |
| wp-config.php (public_html folder) | 400/440 |
| index.php (public_html folder) | 444/644 |
Aquí tienes un vídeo que debes seguir paso a paso para asegurar tu sitio de WordPress por completo.
Conclusión:
Los permisos de los archivos de WordPress son necesarios para asegurar su cuenta. Si ha configurado su cuenta por su cuenta, es posible que haya ignorado este paso. Como ya se ha comentado, este es un paso crucial por las razones mencionadas anteriormente. Ignorar este paso podría suponer una amenaza potencial para tu cuenta.
Además de los permisos de los archivos, hay otras tareas de seguridad que definitivamente debes seguir. Para hacer el proceso más simple, puedes usar el plugin WP Hardening de Astra. WP Hardening es una herramienta de corrección de seguridad de un solo clic para su sitio web de WordPress. Puedes arreglar más de 12 áreas de seguridad (seguridad del administrador y de la API, divulgación de información, endurecimiento del servidor, etc.) con este plugin con sólo pulsar un botón.
Para garantizar una seguridad aún más avanzada, despliegue Astra en su sitio web. En Astra, nos esforzamos por hacer de la web un lugar más seguro con nuestra “Suite” de herramientas de seguridad, que incluye – WAF (Web Application Firewall), escáner de malware, VAPT (Vulnerability Assessment and Penetration Testing), bloqueo de IP/país y, por supuesto, limpieza de malware, entre otras características.
Aditya Shanker
