Permisos correctos en los ficheros de WordPress
Cuando gestionamos un sitio web hecho con un gestor de contenidos tenemos que tener mil ojos y cuidados con respecto a éste, una desactualización o algo mal configurado puede suponer que comprometan la integridad de nuestra base de datos y, en consecuencia, perdamos el control sobre la web.
En cuanto a seguridad en WordPressya he escrito un par de veces (parte 1 y parte 2), aparte de recomendaciones varias sobre plugins o diferentes aspectos de nuestra instalación.
En esta ocasión, voy a hablar sobre los ficheros y los permisos que deben tener, pero como de costumbre intentaré hacerlo lo más sencillo posible explicando el por qué de las cosas.
Los permisos en los ficheros
Aunque no es el tema central de esta entrada, no está de más explicar cómo funcionan los ficheros y por qué tenemos que hablar de permisos.
Los sistemas de archivos modernos (al menos la mayoría) permiten asignar permisos a los ficheros (también archivos) para que determinados usuarios o grupos de usuarios puedan acceder o no a ellos. Esto se conoce como derechos de acceso sobre los ficheros.
De esta manera podemos crear grupos de usuarios con diferentes permisos y decidir qué ficheros pueden (o no) escribir, leer o ejecutar.
En los sistemas Unix, estos permisos se rigen por una notación simbólica que permite reflejar los permisos en una serie de 10 caracteres.
Si te interesa aprender cómo es esta notación, puedes echar un ojo a la wikipedia.
El caso es que estos permisos se pueden representar con caracteres que indican los permisos (r para lectura, x para ejecución y w para escritura) o con números. En la wikipedia está explicado de forma muy clara.
¿Qué permisos debo asignar a mi instalación de WordPress?
Si gestionas un sitio web en WordPress, habrás observado que tiene cientos de ficheros organizados en 3 carpetas (y algunos sueltos en la raíz del sitio).
Pues bien, según el Códex de WordPress(Hardening WordPress) los permisos, en resumen, son los siguientes:
- 0644 para los niveles superiores, esto es la raíz del sitio y todos los ficheros que estén ahí situados.
- 0755 para las tres carpetas (wp-admin, wp-content, wp-includes).
- 0755 para las carpetas uploads y plugins (En algunos casos 775, depende de configuración del servidor)
- 0666 para tu tema de WordPressen caso de que quieras que sea editable desde el escritorio.
En resumidas cuentas, con estos permisos tu WordPressqueda protegido y mantiene todas sus características y utilidades intactas.
Por cierto, no es por meter miedo, pero si tienes mal los permisos (hay gente que asigna permisos de escritura a todos sus ficheros) estás en un problema.
Imagen de entroz en Devian
¿Crees que se me olvida algo o hay algo incorrecto? ¡Cuéntamelo en los comentarios!
Gracias por la nota hombre!
Con todos mis respetos pero llevo navegando más de una hora buscando sobre cómo asignar estos permisos y nada. Todo el mundo habla de los tipos de permisos que hay y cuales deben asignarse a cada contenido, pero ¿cómo hacerlo? nadie.
Yo alucino.
Podría porfabor explicar cómo se asignan estos permisos? Gracias
Hola Mariano, los permisos se asignan bien desde un cliente FTP o bien desde la terminal, por conexión SSH.
Hola, gracias por tu artículo.
Tan sólo me queda una duda. ¿Y el resto de archivos y carpetas qué tipo de permisos deben tener?
Hola Razu, todos los ficheros y carpetas contenidos tienen los permisos de su carpeta, aplica los cambios recursivamente y listo.
viejo me salvaste la vida, por error me tire un sitio debido al tema de permisos y con tu aporte lo solucione, mil gracias ;) (y)