Las cosas sencillas no dejan de tener poder.
– Anónimo
Todos sabemos que WordPress El CMS mas famoso del internet con un market share impresionante del 43,2% de instalaciones funcionales lo cual lo posiciona de lider. Pero su popularidad también es una arma de doble filo ya que lo convierte en un objetivo atractivo para hackers que buscan explotar las vulnerabilidades de seguridad de dicha plataforma. Y es que si; le damos una pequeña exploración por internet encontraremos diferentes capas de seguridad: Como desde tener un Firewall o un complejo WAF , Scanner de Malware , Proxys inversos. Hasta medidas simples como el de poner una compleja contraseña y limitar accesos incorrectos de passwords nos hace pensar que la seguridad comienza con pequeñas configuraciones y una de ellas es Configurar Correctamente los Permisos de Archivos en WordPress
¿Qué Son los Permisos de Archivos?
Son una forma esencial de organizar y administrar archivos y carpetas en un determinado directorio en esta caso como WordPress. Configurarlos incorrectamente puede poner en riesgo la integridad de tu sitio web. Sin los permisos adecuados, los piratas informáticos pueden obtener acceso a tu cuenta de administrador y, potencialmente, a todo tu servidor.
Pensemos un poco en esa simple instalación de 5 minutos que nos da WP; donde ese wizzard fácil e intuitivo te permite tener un sitio web de volada. Pero jamás nos dimos cuenta de los permisos en las carpetas y archivos Quieres saber mas sobre este tema pincha aquí para que veas toda la organización de la instalación. puede permitir a los hackers leer, escribir y ejecutar archivos confidenciales. Por ejemplo, si configuras todos los archivos y carpetas de tu sitio como 777, cualquiera podría crear, modificar, borrar archivos y ejecutar scripts maliciosos. Lo cual hace que tu sitio sea un nido de bichos sin fin. Es por eso que os vamos a indicar que permisos deben tener este directorio.
Estadísticas relacionadas con una mala configuración de permisos:
- Ataques por Minuto: WordPress enfrenta un promedio de 90,000 ataques por minuto. Muchos de estos ataques explotan configuraciones de permisos incorrectas.
- Infecciones por Permisos Incorrectos: Aproximadamente 1 de cada 25 sitios de WordPress escaneados con herramientas de seguridad como SiteCheck en 2021 sufrió infecciones debido a configuraciones de seguridad deficientes.
- Vulnerabilidades en Plugins y Temas: La mayoría de las vulnerabilidades en WordPress provienen de plugins y temas. En 2022, el 93.25% de las vulnerabilidades reportadas se originaron en plugins, y el 5.45% en temas. Una configuración de permisos incorrecta puede facilitar la explotación de estas vulnerabilidades.
- Archivos Maliciosos Detectados: En 2020, el escáner de Wordfence detectó más de 70 millones de archivos maliciosos en 1.2 millones de sitios de WordPress. Muchos de estos archivos maliciosos se aprovecharon de permisos de archivos mal configurados.
¿ Y que Permisos recomienda WordPress ?
Pues la regla general es que los permisos deben ser 755 para las carpetas y 644 para los archivos. Agregando excepciones en los archivos el wp-config.php y el .htaccess a 444. Aunque esto puede ser variable ya que estos dos archivos son manipulables por algunos plugin’s ya que estos añade código a estos archivos. Y es aquí donde comienza esos fallos de seguridad ya que estos archivos son importantes ya que tienen información sensible y son importantes para el arranque. Sinceramente a mi me gusta tenerlo restringirlo y si algún plugin necesita ingresar algún código. Yo le otorgo el permiso y después se lo quito. Es mejor prevenir que lamentar.
Este es el significado de los números y de las letras controlan quién puede R, W y X :
- R – Leer: La capacidad de leer el contenido de un archivo.
- W – Escribir: La capacidad de alterar un archivo.
- X – Ejecutar: La capacidad de «usar» un archivo (por ejemplo, ejecutar un script).
Por aquí os dejo un pequeño comando que les permitirá hacer los cambios de permisos de una manera adecuada: Donde $TU-CARPETA-INSTLACION-WORDPRESS es donde tienes instalados WordPress ejemplo: /srv/www/htdocs/worpdress
# find $TU-CARPETA-INSTLACION-WORDPRESS/ -type d -exec chmod 755 {} \;
# find $TU-CARPETA-INSTLACION-WORDPRESS/ -type f -exec chmod 644 {} \;
# chmod 444 wp-config.php
# chmod 444 .htaccess
Saludos y hasta la próxima queridos lectores y únicos amigos
Referencias
Search Permission Files – WordPress.org
LimpiatuWeb • Permisos de archivos y carpetas en WordPress: Guía para mejorar tu seguridad
Explicación de los permisos de archivos en Linux
Soy Juan Luis García Corrales, mi nombre de guerra es monolinux. Vivo en Villagrán ,Guanajuato. Cofundador de jungla
ISC orgullosamente LINCE. Apasionado del arte , Crítico de las Películas , Musica y Libros , Escribo en tiempo libres y ♥ Regina
Mi estilo de vida es la programación así que trato de sincronizarlo con mi vida diaria, predicó la filosofía Gnu/Linux para brindar opciones menos capitalistas.
– Viviendo en la armonía del caos