Permisos correctos en los ficheros de WordPress

no puedes pasar

Cuando gestionamos un sitio web hecho con un gestor de contenidos tenemos que tener mil ojos y cuidados con respecto a éste, una desactualización o algo mal configurado puede suponer que comprometan la integridad de nuestra base de datos y, en consecuencia, perdamos el control sobre la web.

En cuanto a seguridad en WordPressya he escrito un par de veces (parte 1 y parte 2), aparte de recomendaciones varias sobre plugins o diferentes aspectos de nuestra instalación.

En esta ocasión, voy a hablar sobre los ficheros y los permisos que deben tener, pero como de costumbre intentaré hacerlo lo más sencillo posible explicando el por qué de las cosas.

Los permisos en los ficheros

Aunque no es el tema central de esta entrada, no está de más explicar cómo funcionan los ficheros y por qué tenemos que hablar de permisos.

Los sistemas de archivos modernos (al menos la mayoría) permiten asignar permisos a los ficheros (también archivos) para que determinados usuarios o grupos de usuarios puedan acceder o no a ellos. Esto se conoce como derechos de acceso sobre los ficheros.

De esta manera podemos crear grupos de usuarios con diferentes permisos y decidir qué ficheros pueden (o no) escribir, leer o ejecutar.

En los sistemas Unix, estos permisos se rigen por una notación simbólica que permite reflejar los permisos en una serie de 10 caracteres.

Si te interesa aprender cómo es esta notación, puedes echar un ojo a la wikipedia.

El caso es que estos permisos se pueden representar con caracteres que indican los permisos (r para lectura, x para ejecución y w para escritura) o con números. En la wikipedia está explicado de forma muy clara.

¿Qué permisos debo asignar a mi instalación de WordPress?

Si gestionas un sitio web en WordPress, habrás observado que tiene cientos de ficheros organizados en 3 carpetas (y algunos sueltos en la raíz del sitio).

Pues bien, según el Códex de WordPress(Hardening WordPress) los permisos, en resumen, son los siguientes:

  • 0644 para los niveles superiores, esto es la raíz del sitio y todos los ficheros que estén ahí situados.
  • 0755 para las tres carpetas (wp-admin, wp-content, wp-includes).
  • 0755 para las carpetas uploads y plugins (En algunos casos 775, depende de configuración del servidor)
  • 0666 para tu tema de WordPressen caso de que quieras que sea editable desde el escritorio.

En resumidas cuentas, con estos permisos tu WordPressqueda protegido y mantiene todas sus características y utilidades intactas.

Por cierto, no es por meter miedo, pero si tienes mal los permisos (hay gente que asigna permisos de escritura a todos sus ficheros) estás en un problema.

Imagen de entroz en Devian

¿Crees que se me olvida algo o hay algo incorrecto? ¡Cuéntamelo en los comentarios!

Puede mejorarNo está malMe gustaEs bueno¡Excelente! (Ninguna valoración todavía)
Cargando…

¿Quieres recibir gratis contenidos exclusivos?

6 comentarios en “Permisos correctos en los ficheros de WordPress

  1. Christopher Quiros dice:

    Gracias por la nota hombre!

  2. Mariano dice:

    Con todos mis respetos pero llevo navegando más de una hora buscando sobre cómo asignar estos permisos y nada. Todo el mundo habla de los tipos de permisos que hay y cuales deben asignarse a cada contenido, pero ¿cómo hacerlo? nadie.
    Yo alucino.
    Podría porfabor explicar cómo se asignan estos permisos? Gracias

    1. Darío BF dice:

      Hola Mariano, los permisos se asignan bien desde un cliente FTP o bien desde la terminal, por conexión SSH.

  3. Razu dice:

    Hola, gracias por tu artículo.

    Tan sólo me queda una duda. ¿Y el resto de archivos y carpetas qué tipo de permisos deben tener?

    1. Darío BF dice:

      Hola Razu, todos los ficheros y carpetas contenidos tienen los permisos de su carpeta, aplica los cambios recursivamente y listo.

  4. yonatan grisales dice:

    viejo me salvaste la vida, por error me tire un sitio debido al tema de permisos y con tu aporte lo solucione, mil gracias ;) (y)

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

*

DARÍO BALBONTÍN FERNÁNDEZ es el Responsable del tratamiento de los datos personales del usuario y le informa que estos datos serán tratados de conformidad con lo dispuesto en el Reglamento (UE) 2016/679 de 27 de abril de 2016 (GDPR), por lo que se le facilita la siguiente información del tratamiento: Fin del tratamiento: mantener una relación comercial y el envío de comunicaciones sobre nuestros productos y servicios. Criterios de conservación de los datos: se conservarán mientras exista un interés mutuo para mantener el fin del tratamiento y cuando ya no sea necesario para tal fin, se suprimirán con medidas de seguridad adecuadas para garantizar la seudonimización de los datos o la destrucción total de los mismos.Comunicación de los datos: No se comunicarán los datos a terceros, salvo obligación legal. Derechos que asisten al usuario: Derecho a retirar el consentimiento en cualquier momento. Derecho de acceso, rectificación, portabilidad y supresión de sus datos y a la limitación u oposición al su tratamiento. Derecho a presentar una reclamación ante la Autoridad de control (agpd.es) si considera que el tratamiento no se ajusta a la normativa vigente. Datos de contacto para ejercer sus derechos: contacto@dariobf.com.