Permisos en Archivos WordPress: Cuándo y Cómo Bloquearlos para Máxima Seguridad

Permisos en Archivos WordPress: Cuándo y Cómo Bloquearlos para Máxima Seguridad

En WordPress, el acceso al sistema de archivos permite que el servidor web pueda escribir varios archivos. Sin embargo, permitir el acceso de escritura a sus archivos es potencialmente peligroso, particularmente en sitios de WordPress con actualizaciones de seguridad pendientes.

Bloquear el sistema de archivos de WordPress te ayudará a aumentar la seguridad de tu WordPress. Aprende cuándo es recomendable y cómo hacerlo.

Tabla de contenidos

Bloqueo del sistema de archivos

Reducir los permisos de archivos y directorios para bloquear el sistema de archivos de WordPress es una de las medidas más seguras para su WordPress .

La idea detrás del bloqueo del sistema de archivos es modificar la propiedad y los permisos de archivo de todos sus archivos de WordPress reduciendo al mínimo el acceso de escritura de este administrador de contenido web.

Las desventajas de un bloqueo del sistema de archivos

Bloquear los permisos de escritura para tu servidor web implica una «Congelación» para su configuración y contenido de WordPress .

Si bloqueas tu sistema de archivos de WordPress, el núcleo, los complementos y las actualizaciones de temas no funcionarán.

Cada vez que desees agregar o modificar su sitio de WordPress, deberás desbloquear tu sistema de archivos de WordPress.

Eliminar el acceso de escritura hace que WordPress sea más difícil de actualizar para los administradores, pero evitará que sucedan muchos de los típicos ataques de WordPress.

¿Cuándo se recomienda bloquear el acceso de escritura de WordPress?

Recomendamos bloquear el sistema de archivos de WordPress en cualquiera de estas circunstancias:

  • Quieres detener una intrusión . Su WordPress tiene malware y desea congelar los archivos de su sitio web para evitar daños mayores.
  • Tu WordPress tiene actualizaciones pendientes permanentes . Una de las razones para actualizar el núcleo, los complementos y los temas de WordPress es resolver problemas de seguridad. Si por alguna razón no puedes mantener su WordPress actualizado, eliminar el acceso de escritura lo ayudará a reducir el riesgo de infección de malware.
  • No necesitas agregar contenido constantemente con nuevos medios, por lo que todo se almacena en su base de datos.

Cómo bloquear el sistema de archivos de WordPress

En Wetopi , puedes bloquear y desbloquear tu WordPress con un solo clic .

Puedes encontrar esta opción en el menú de tu servidor de WordPress, dentro de la sección de opciones avanzadas:

Bloqueo del sistema de archivos en la opción avanzada de Wetopi Menú

Cómo bloquear el sistema de archivos en la línea de comandos

Si tu WordPress no está alojado en Wetopi, aquí tienes todos los pasos para bloquear tus archivos y directorios de WordPress.

En breve; la idea es reemplazar el usuario del servidor web (reemplazamos nuestro servidor web www-data user por root ) y casi eliminar cualquier permiso de escritura.

1. Establecer root como propietario

NOTA: reemplace la ruta raíz de WordPress /var/www/html por la utilizada en su instalación de WordPress.

# Set root as owner
chown -R root /var/www/html

2. Eliminar el permiso de escritura en los directorios

# Set perms r-xr-xr-x on dirs
find /var/www/html/ -type d -exec chmod 555 {} \;

3. Establecer permisos de solo lectura en los archivos

# Set perms r--r--r-- on files
find /var/www/html/ -type f -exec chmod 444 {} \;

4. Permitir escritura en directorios de caché

Solo damos permisos de escritura a los directorios de caché. En nuestro caso los directorios utilizados por WP Super Cache.

# Set perms rwxrwxr-x on cache dirs
find /var/www/html/wp-content/cache -type d -exec chmod 775 {} \; &>/dev/null

# Set perms rw-rw-r-- on cache files
find /var/www/html/wp-content/cache -type f -exec chmod 664 {} \; &>/dev/null

chmod -f 664 /var/www/html/wp-content/wp-cache-config.php

Shell script para bloquear y desbloquear el sistema de archivos de WordPress

A continuación proponemos juntar todos estos comandos anteriores en un solo shell script para que puedas simplificar el proceso de activar y desactivar el bloqueo del sistema de archivos de tu WordPress.

#!/bin/bash

if [ "$1" == "on" ]; then

    echo "[set-wp-filesystem-lock] info: set root as owner"
    chown -R root /var/www/html

    echo "[set-wp-filesystem-lock] info: set perms r-xr-xr-x on dirs"
    find /var/www/html/ -type d -exec chmod 555 {} \;

    echo "[set-wp-filesystem-lock] info: set perms r--r--r-- on files"
    find /var/www/html/ -type f -exec chmod 444 {} \;

    echo "[set-wp-filesystem-lock] info: set perms rwxrwxr-x on cache dirs"
    find /var/www/html/wp-content/cache -type d -exec chmod 775 {} \; &>/dev/null

    echo "[set-wp-filesystem-lock] info: set perms rw-rw-r-- on cache files"
    find /var/www/html/wp-content/cache -type f -exec chmod 664 {} \; &>/dev/null
    chmod -f 664 /var/www/html/wp-content/wp-cache-config.php

    echo "[set-wp-filesystem-lock] info: wp locked"

elif [ "$1" == "off" ]; then

    echo "[set-wp-filesystem-lock] info: set www-data as owner"
    chown -R www-data /var/www/html

    echo "[set-wp-filesystem-lock] info: set dir. perms to rwxr-xr-x"
    find /var/www/html/ -type d -exec chmod 755 {} \;

    echo "[set-wp-filesystem-lock] info: set file perms to rw-r--r--"
    find /var/www/html/ -type f -exec chmod 644 {} \;

    echo "[set-wp-filesystem-lock] info: wp unlocked"

else
  echo "# lock wp filesystem with on, unlock wp with off"
  echo "/set-wp-filesystem-lock.sh on"
  echo "/set-wp-filesystem-lock.sh off"

fi

Si quieres saber más sobre seguridad WordPress, revisa los artículos sobre seguridad en nuestro blog

Resumidamente, somos unos techies apasionados por WordPress que hemos creado Wetopi, un Alojamiento Gestionado WordPress, para minimizar la fricción a la que todo profesional se enfrenta al trabajar y alojar proyectos WordPress.

¿No tienes una cuenta en wetopi?

Incluye servidores desarrollo Gratis.
Sin tarjeta de crédito.

Compara wetopi con tu alojamiento actual

Date de alta, pide una migración y compara.

Hacemos una copia de tu web gratis y sin esfuerzo por tu parte.

Sin letra pequeña.
Sin compromisos.
Sin tarjeta de crédito.