Los permisos de archivos pueden parecer un aspecto menor en la administración de un sitio de WordPress, pero son esenciales para garantizar tanto la seguridad como el correcto funcionamiento de tu página web. Si los permisos no están configurados adecuadamente, tu sitio puede quedar expuesto a ataques, mientras que una configuración excesivamente restrictiva puede obstaculizar su operatividad.
Esta guía está diseñada para ofrecerte una comprensión clara de los permisos de archivos en WordPress, abarcando desde los fundamentos para principiantes hasta configuraciones más avanzadas para usuarios con experiencia técnica. Al finalizar esta lectura, estarás capacitado para establecer, gestionar y resolver problemas relacionados con los permisos de archivos de manera profesional.
Permisos de Archivos
Los permisos de archivos son directrices que el servidor emplea para determinar quién tiene la capacidad de leer, escribir y ejecutar archivos en un sitio web. Estas reglas, comúnmente utilizadas en servidores que operan con Linux, son fundamentales para salvaguardar los archivos y directorios del sitio contra accesos y modificaciones no autorizadas.
Linux, un sistema operativo de código abierto, es ampliamente preferido en el ámbito del hosting debido a su estabilidad y seguridad. Esta guía se centrará en los permisos de archivos en entornos Linux, ya que las normativas y procedimientos pueden variar significativamente en los servidores que utilizan Windows.
Impacto de los Permisos en la Seguridad de WordPress
Los permisos de archivo adecuados son esenciales para proteger tu sitio en WordPress, ya que restringen las interacciones con los archivos del sistema.
Por ejemplo, si se configuran incorrectamente los permisos en un archivo crítico como wp-config.php, se corre el riesgo de que usuarios no autorizados puedan acceder a información sensible o incluso modificarla. Esto puede llevar a serias violaciones de seguridad y comprometer la integridad de tu sitio. Por lo tanto, es vital establecer permisos específicos que minimicen las posibilidades de acceso no autorizado y fortalezcan la seguridad general de tu plataforma.
Configuración básica de permisos
Los principales son:
- Leer (4): Permite leer o visualizar el contenido.
- Escribir (2): Permite modificar o eliminar contenido.
- Ejecutar (1): permite ejecutar el archivo como un programa o script.
Ahora veremos en detalle que representan estos números, también es común que Leer se represente como una R, la inicial de su traducción en inglés “READ”, W para Escribir y X para Ejecutar (rwx).
| Binario | Número | Permiso del archivo |
| 000 | 0 | Sin permisos (—) |
| 001 | 1 | Solo Ejecución (–x) |
| 010 | 2 | Solo Escritura (-w-) |
| 011 | 3 | Escritura y Ejecución (-wx) |
| 100 | 4 | Solo Lectura (r–) |
| 101 | 5 | Lectura y ejecución (r-x) |
| 110 | 6 | Lectura y escritura (rw-) |
| 111 | 7 | Todos los permisos (rwx) |
Estos permisos se pueden configurar individualmente o combinados para diferentes tipos de usuarios:
- Propietario: El usuario que posee el archivo.
- Grupo: Usuarios que forman parte de un grupo definido.
- Público: Todos los demás.
Si quisiéramos representar todos los permisos para el propietario, el grupo y todos los usuarios, podríamos escribirlo de la siguiente manera: 777
🤯 ¿De dónde sale este número? Revisando la anterior Tabla, podemos observar que el 7, representan todos los permisos. El 777 es como le asignamos todos los permisos, al propietario, luego todos al grupo y por último al público. Otro ejemplo común es 755, donde le asignamos todos los permisos al propietario, y solo lectura y ejecución al grupo y los demás, sin poder modificar el archivo.
Entender estos conceptos básicos es el primer paso para asegurar y optimizar tu sitio de WordPress. A medida que continuemos, exploraremos cómo puedes aplicar estos principios de manera efectiva en toda la estructura de tu sitio.
Un malware puede alterar los permisos de archivos en un sitio web
Se ha observado que ciertas infecciones de malware cambian los permisos de los archivos index.php y .htaccess a 444, lo que efectivamente bloquea dichos archivos e intenta prevenir la eliminación automática del código malicioso por parte de herramientas de seguridad. Esto demuestra que el malware puede manipular los permisos de archivos como parte de sus estrategias para persistir en el sistema y evitar ser detectado o removido.
Herramientas y acceso necesarios para configurar los permisos de sus archivos
Para gestionar los permisos de archivos en WordPress, necesitarás utilizar herramientas como clientes FTP, cPanel o terminales SSH, dependiendo de cómo esté configurado tu servicio de hosting. Asegúrate de contar con las credenciales adecuadas para acceder a estas herramientas, ya que las necesitarás para visualizar y cambiar los permisos de los archivos.
Guía paso a paso para comprobar los permisos de archivos
A continuación, revisemos los pasos que puede seguir para verificar los permisos de archivos usando cPanel, FTP y SSH.
cPanel
- Inicie sesión en su cuenta cPanel: navegue al sitio web e inicie sesión en su cPanel.
- Abra el Administrador de archivos: en el panel de cPanel, busque y abra el Administrador de archivos en la sección Archivos.
- Vaya a su directorio de WordPress: busque y haga clic en el directorio donde está instalado WordPress, generalmente se localiza en public_html o directamente como el nombre de su sitio web.
- Verifique sus permisos: haga clic derecho en cualquier archivo o carpeta y seleccione Cambiar Permisos. Aparecerá un cuadro de diálogo que muestra la configuración de permisos actual en formato numérico (por ejemplo, 0644).
FTP
- Conéctese a su servidor: abra su cliente FTP (como FileZilla) y conéctese a su servidor utilizando las credenciales FTP proporcionadas por su servicio de alojamiento.
- Acceda a sus archivos de WordPress: navegue al directorio donde está instalado su WordPress.
- Ver sus permisos: haga clic derecho en cualquier archivo o carpeta y elija Permisos de archivo. Aparecerá una ventana que mostrará el valor numérico del permiso y las casillas de verificación para los permisos de lectura, escritura y ejecución.
SSH
- Acceda a su servidor: abra su terminal o cliente SSH y conéctese a su servidor usando el comando SSH: ssh nombredeusuario@suservidor.com
- Navega hasta tu directorio de WordPress: Una vez conectado, cambia el directorio a donde se encuentra tu WordPress: cd ruta/a/tu/wordpress
- Listar archivos con permisos: ejecute el comando ls -l para listar los archivos junto con sus permisos y detalles de propiedad en la terminal.
- Revisar la salida: La salida mostrará los permisos en un formato de cadena (por ejemplo, -rw-r–r– ), donde el primer carácter indica el tipo de elemento ( – para archivo y d para directorio), seguido de tres conjuntos de caracteres que representan permisos de lectura, escritura y ejecución para el usuario, grupo y otros.
Cómo cambiar los permisos de tus archivos
Ahora, veamos los pasos que puede seguir para modificar y cambiar sus permisos de archivos usando cPanel, FTP y SSH.
cPanel
- Acceda al Administrador de archivos: inicie sesión en su cPanel y abra el Administrador de archivos en la sección Archivos.
- Localice el archivo o directorio: navegue hasta el directorio de WordPress y localice el archivo o la carpeta cuyos permisos desea cambiar.
- Cambiar los permisos: haz clic derecho en el archivo o carpeta y selecciona Cambiar permisos. Aparecerá una nueva ventana en la que puedes marcar o desmarcar las casillas de permisos de Lectura, Escritura y Ejecución para Usuario, Grupo y Mundo.
- Guarde los cambios: haga clic en el botón Cambiar permisos en el cuadro de diálogo para aplicar la nueva configuración.
FTP
- Conéctese a su servidor: abra su cliente FTP y conéctese usando sus credenciales FTP.
- Busque el archivo o directorio: navegue hasta el directorio de WordPress y busque el archivo o carpeta que desea modificar.
- Modificar los permisos: haga clic con el botón derecho en el archivo o la carpeta seleccionados y elija Permisos de archivo o Propiedades. Ahora, puede ajustar el valor numérico o marcar las casillas de permisos correspondientes.
- Aplicar los cambios y cerrar: haga clic en Aceptar para aplicar los cambios. Los nuevos permisos surtirán efecto inmediatamente.
SSH
- Acceda por SSH a su servidor: utilice el comando ssh nombredeusuario@suservidor.com para iniciar sesión en su servidor.
- Navegar hasta el archivo o directorio: Cambie al directorio que contiene el archivo o carpeta con cd ruta/a/tu/wordpress.
- Cambie sus permisos: utilice el comando chmod para configurar los permisos deseados. Por ejemplo, chmod 644 NombreDeArchivo para configurar permisos de lectura y escritura para el usuario, y de solo lectura para el grupo y otros.
- Verifique los cambios de permisos: ejecute ls -l para ver los permisos actualizados que se muestran junto a los archivos.
Estas herramientas y pasos pueden ayudarle a garantizar que sus archivos y directorios de WordPress tengan los permisos adecuados.
Permisos recomendados para archivos y directorios de WordPress
En general, la mejor práctica para los permisos de archivos de WordPress es la siguiente:
- Archivos: Establezca los permisos en 644. Esta configuración permite que el propietario del archivo lea y escriba el archivo, mientras que todos los demás solo pueden leer.
- Directorios: utilice 755. Esto permite al propietario del archivo leer, escribir y ejecutar (navegar) el directorio, mientras que otros solo pueden leer y ejecutar.
Permisos para wp-config.php, .htaccess y wp-content
- wp-config.php: el archivo w-config.php contiene información confidencial y debe configurarse en 600 para restringir el acceso solo al propietario del archivo, mejorando la seguridad.
- .htaccess: su archivo .htaccess debe configurarse en 644 para evitar modificaciones no autorizadas pero permitir el acceso necesario.
- wp-content: este directorio puede permanecer en 755 para permitir el correcto funcionamiento de temas, complementos y cargas.
Configuración de propiedad y grupo
La propiedad y los grupos desempeñan un papel importante en la seguridad de los archivos de WordPress. Los propietarios tienen el control total, mientras que a los grupos se les pueden asignar permisos específicos que se adapten a su función en la administración del sitio web.
A continuación te indicamos cómo garantizar una configuración adecuada para tu sitio web de WordPress:
- Utilice el comando chown (en SSH) para cambiar la propiedad de archivos y directorios, por ejemplo: chown usuario:grupo nombre_archivo
- Revisar y ajustar periódicamente la propiedad en función de los cambios en la administración o los entornos de alojamiento.
Esto es especialmente importante para los usuarios que administran su propio Cloud.
Configuración de permisos estrictos para archivos confidenciales de sitios web
Para datos altamente sensibles, considere restringir los permisos más allá de las recomendaciones generales:
- Establezca los archivos principales de WordPress en 640 para evitar el acceso grupal y público.
- Configure sus archivos .htaccess y wp-config.php con los permisos más estrictos posibles, teniendo en cuenta los requisitos y limitaciones de su configuración de alojamiento.
Este enfoque proactivo hacia los permisos de archivos de WordPress puede ayudar a mitigar posibles vulnerabilidades y fortalecer la defensa de su sitio contra ataques.
Mejores prácticas para mantener los permisos de sus archivos
Las auditorías periódicas de permisos son muy importantes para la seguridad a largo plazo de un sitio web. Dedicar tiempo a las auditorías puede ayudar a garantizar que los permisos sigan siendo apropiados a medida que el sitio evoluciona, en particular después de las actualizaciones o la instalación de nuevos complementos o temas. Los complementos de seguridad que le avisan sobre cambios de permisos no autorizados también pueden ser una parte esencial de su estrategia de seguridad, lo que le permitirá responder rápidamente a cualquier posible violación de la seguridad.
Ya se ha cubierto todo lo que necesitas saber sobre cómo configurar y mantener permisos seguros de WordPress. La aplicación de estos conocimientos fortalecerá las defensas de tu sitio contra el acceso no autorizado.
Si te gustó este artículo, suscríbete a nuestro canal de YouTube para videos tutoriales de Hosting, prácticas y demás. También puede encontrarnos en X (Twitter), Facebook e Instagram.
Fuente: Sucuri