Blog sobre desarrollo WordPress en Español Desarrollo WordPress en Español
Seguridad WordPress

Seguridad WordPress: permisos de archivos y carpetas

La regla general nos dice que los permisos deben ser 755 para las carpetas y 644 para los archivos. Además recomendable poner el wp-config.php y el .htaccess a 444. Veamos un poco más en detalle que significa esto.

permisos

¿Qué significan estos números: 755 y 644?

Es una representación octal o en base 8. En esta notación octal de tres dígitos cada número representa un componente distinto del conjunto de permisos: propietario, grupo y público respectivamente.

Cada uno de estos dígitos es la suma de los bits que lo componen. El peso de cada bit es el siguiente:

  • El bit de lectura suma 4
  • El bit de escritura suma 2
  • El bit de ejecución suma 1

De esta manera nunca se produce una combinación ambigua, cada suma corresponde a un conjunto específico de permisos, por lo tanto:

permisos 755

Como vemos 7 es resultado de la suma de 4+2+1, lo que significa que el propietario tiene permisos de lectura, escritura y ejecución. 5 es la suma de 4+1, lo que significa que tanto el grupo como el público sólo tienen permisos de lectura y ejecución. Esto en cuanto a las carpetas.

permisos 644

Para los archivos limitamos un poco más los permisos, lectura y escritura para el propietario, y sólo lectura para grupo y público.

Como los archivos .htaccess y wp-config.php son los más críticos en una instalación de WordPress, es recomendable establecer sus permisos a 444, es decir, de sólo lectura. De esta manera fortaleceremos más la seguridad.

Si instalamos algún plugin que añade código al wp-config.php, o al .htaccess como pueden ser los plugins de caché, deberemos restablecer sus permisos para realizar los cambios, aunque podríamos volvérselos a establecer a 444 cuando hayamos terminado.

Puede que también te interese

WordPress transients, opciones que expiran en el tiempo
WordPress transients, opciones que expiran en el tiempo
En la entrada anterior vimos cómo trabajar con la API de opciones de WordPress. En ésta vamos a ver qué son los transients. Los transients…
Seguridad WordPress: backups
Seguridad WordPress: backups
Tener un backup es imprescindible en cualquier desarrollo web. Es el plan B para cuando algo falla. Si todo funciona correctamente nunca recurriremos a él,…
Mejora la puntuación de Google PageSpeed Insights: Reducir el tiempo de respuesta del servidor
Mejora la puntuación de Google PageSpeed Insights: Reducir el tiempo de respuesta del servidor
1. Optimizar imágenes 2. Minificar CSS y JS 3. Especificar caché de navegador 4. Habilita la compresión 5. Reducir el tiempo de respuesta del servidor…
Seguridad WordPress: proteger el archivo wp-login.php
Seguridad WordPress: proteger el archivo wp-login.php
En una entrada anterior vimos cómo proteger el acceso a wp-admin. Vamos a ver ahora cómo proteger el archivo wp-login.php, situado en la raíz de…




  • León Guerra

    Me pregunto si habrá un comando htaccess para automáticamente forzar que estos permisos sigan así…