Permisos de WordPress: qué son y cómo configurarlos

¿Sabías que una de las causas más habituales del error 403 o error 500 es la mala configuración de los permisos de WordPress?

WordPress utiliza un sistema de permisos que define quién puede leer, escribir o ejecutar archivos y carpetas en tu sitio web. Si estos no están configurados correctamente, es posible que tu sitio no funcione adecuadamente e, incluso peor, que pongas en riesgo su seguridad.

Por esta razón, es crucial que entiendas qué son los permisos de WordPress y cómo configurarlos correctamente en tu aplicación. Espero que esta guía te sea de ayuda :-).

¿Qué son los permisos de WordPress?

Los permisos de WordPress son unos determinados atributos que controlan quién puede leer, escribir o ejecutar archivos y carpetas en tu página web.

Veamos qué funcionalidades tiene cada uno de los permisos:

• Lectura (read): permite ver el contenido de un archivo o carpeta, pero no modificarlo.
• Escritura (write): permite editar o borrar un determinado archivo o carpeta, pero no ejecutarlo.
• Ejecución (execute): en caso de ser ejecutable, permite ejecutar un archivo o acceder a una carpeta.

Si no existen permisos, el usuario no tiene acceso al directorio que quiere acceder.

Para comprender adecuadamente los permisos, es esencial familiarizarse con los tres tipos de usuarios a los que se aplican:

• Propietario (owner): usuario propietario del fichero o directorio.
• Grupo (group): usuarios que son miembros de un mismo grupo con permisos similares.
• Público o mundo (others): cualquier otro usuario.

Formato de los permisos de WordPress

Ahora que sabes qué son los permisos de WordPress, es importante que conozcas su formato y nomenclatura, que no es del todo intuitiva.

Pues bien, los permisos están representados por un número de tres dígitos, por ejemplo: 777, 755, 654…

Cada dígito indica los permisos para un usuario específico:

• Primer dígito: permisos que tiene el propietario (owner).
• Segundo dígito: permisos que tiene el grupo (group).
• Tercer dígito: permisos que tiene el público (others).

Aquí están los valores numéricos asignados a cada tipo de permiso:

• Lectura: 4
• Escritura: 2
• Ejecución: 1

Si no se desea otorgar ningún permiso, se utiliza el número 0.

La forma más sencilla de entenderlo es mediante un ejemplo:

Permiso 762:

• Primer dígito 7: el propietario puede leer (4), escribir (2) y ejecutar (1). 4+2+1=7.
• Segundo dígito 6: el grupo puede leer (4) y escribir (2). 4+2=6.
• Tercer dígito 2: el público puede escribir (2).

En el caso del siguiente permiso, tendríamos lo siguiente:

Permiso 777:

• Primer dígito 7: el propietario puede leer (4), escribir (2) y ejecutar (1). 4+2+1=7.
• Segundo dígito 7: el grupo puede leer (4), escribir (2) y ejecutar (1). 4+2+1=7.
• Tercer dígito 7: el público puede leer (4), escribir (2) y ejecutar (1). 4+2+1=7.

Esta configuración, representada como 777, es la más permisiva y, por razones de seguridad, nunca deberías emplearla.

La configuración más restrictiva sería 000. Sin embargo, en este caso, al no otorgar ningún permiso a nadie, los archivos no serían legibles, y tu sitio dejaría de funcionar por completo.

Otros formatos

Aunque es menos habitual, también es posible que veas los permisos de WordPress representados mediante estas letras y/o un guion.

• r : read, permisos de lectura.
• w : write, permisos de escritura.
• x : eXecute, permisos de ejecución.
• – : guion, sin permisos.

Por tanto, es posible que veas el permiso:

rw-ww-r--

Como ves son nueve caracteres. Los tres primeros corresponden al propietario, los 3 siguientes al grupo y los últimos tres al público.

Se traduciría de la siguiente manera:

• rw-: permisos para el propietario (lectura y escritura, sin permisos de ejecución).
  ww-: permisos para el grupo (escritura, sin permisos de lectura ni ejecución).
  r–: permisos para otros usuarios (lectura, sin permisos de escritura ni ejecución).

En términos numéricos, esto se expresaría como 664. Si asignamos valores numéricos a los permisos:

• r = 4
• w = 2
• x = 1

Entonces, para el propietario, tenemos 4 (lectura) + 2 (escritura) + 0 (sin ejecución) = 6. Para el grupo, tenemos 2 (escritura) + 0 (sin lectura ni ejecución) = 2. Para otros usuarios, tenemos 4 (lectura) + 0 (sin escritura ni ejecución) = 4.

Por ejemplo, ante la siguiente secuencia:

rwxrwxrwx

Tendríamos la configuración más permisiva, equivalente a 777.

Configuración correcta de permisos

Por norma general y en la mayoría de los casos, los permisos que debes estableces en tu Hosting WordPress o cualquier otro plan de alojamiento son:

• Ficheros: 644
• Carpetas: 755

Esta configuración estándar proporciona un equilibrio entre la seguridad y la funcionalidad. Puedes optar por ser más restrictivo, pero ten en cuenta que esto podría generar errores, como la imposibilidad de instalar plugins en WordPress o cambiar la plantilla.

Por otro lado, una configuración mucho más permisiva puede suponer un problema de seguridad para tu web, ya que cualquiera podría acceder a sus archivos y carpetas, modificarlas o eliminarlas. Ahora mismo te daré más información sobre esto, así como algunos ejemplos para que me entiendas mejor.

Importante: Si utilizas un proveedor de hosting diferente a LucusHost, te recomendaría que verifiques con su soporte cuáles son los permisos recomendados. A veces, debido a la configuración del servidor, pueden variar ligeramente.

Ocurre casi lo mismo con los roles de WordPress. ¿Le darías los privilegios de un usuario admin a un usuario suscriptor? ¿Podrías trabajar en tu web sin problema si el usuario admin tuviese los mismos privilegios que un usuario colaborador?

Por tanto, los permisos deben configurarse de modo que el propietario tenga todos los permisos para leer, escribir o ejecutar archivos o carpetas, pero el grupo others solo pueda leerlas o directamente no tenga permisos.

Permisos de WordPress y seguridad: Ejemplos

Como te decía en el apartado anterior (y a riesgo de ser pesada), cuando los permisos de WordPress para archivos y directorios están mal configurados, pueden surgir problemas que afectan tanto a la seguridad como al funcionamiento de tu web. Piensa en los permisos como en una especie de control de acceso: un mal ajuste puede causar desde vulnerabilidades hasta bloqueos inesperados.

¡Por ejemplo!

Si configuras un directorio con permisos 777, estás permitiendo que cualquier persona o programa pueda leer, escribir y ejecutar archivos en esa carpeta, lo que implica dejarle la puerta abierta a cualquiera que quiera entrar. Esto puede tener consecuencias graves: un hacker podría subir archivos maliciosos a tu servidor, modificar archivos existentes o incluso ejecutar código que dañe tu web.

Por otro lado, si el archivo wp-config.php (que contiene información crítica) tiene permisos 666, lo que permites es que cualquiera pueda leerlo y modificarlo. Vamos, el equivalente a dejarte las contraseñas escritas en un post-it. Si alguien accede a este archivo, va a poder manipular la configuración de la base de datos o incluso impedirte el acceso al sitio.

Ahora bien, como te mencionaba más arriba, los permisos también pueden ser demasiado restrictivos. Si ajustas los permisos de ciertos archivos o carpetas a 400 o 000, vas a impedir incluso tu propio acceso. Por ejemplo, si aplicas estos permisos a la carpeta donde subes imágenes, es posible que no puedas cargar archivos multimedia desde el panel de WordPress. Lo mismo podría suceder si intentas instalar plugins o temas: vas a encontrarte problemas que tendrás que solucionar accediendo directamente al servidor por FTP o SSH, lo cual no es cómodo ni práctico.

Como ves, ajustar mal los permisos de WordPress, ya sea por dejarlos demasiado abiertos o demasiado cerrados, puede llevar a que tu sitio sea vulnerable a ataques o que te impida realizar tareas básicas de administración. De ahí la importancia de configurar los permisos de WordPress de forma correcta (y, si no estás seguro, pedir ayuda a tu hosting, que para eso estamos).

Cómo comprobar los permisos de WordPress

Aunque existen varios plugins, como WP Tools o iThemes Security, que te permiten revisar los permisos en tu aplicación de WordPress, te recomendaría no instalar ninguno solo para esta tarea. Desde cPanel, puedes realizar la comprobación e incluso editarlos en solo unos clics.

Primero, dirígete a la sección «Archivos» y haz clic en «Administrador de archivos».

En la columna derecha, podrás visualizar los permisos de tus archivos.

Cómo cambiar los permisos de WordPress

Si has revisado los permisos de tus archivos y carpetas y te das cuenta de que estaban mal establecidos, puedes modificarlos fácilmente. A continuación te explico cómo hacerlo.

En la misma pantalla del Administrador de archivos de cPanel, haz clic con el botón derecho del ratón sobre la carpeta o fichero que quieras hacer los cambios y selecciona la opción «Change Permissions».

A continuación, haz check en los permisos que quieres establecer a cada usuario. No olvides hacer clic en «Change Permissions» para aplicar los cambios.

En conclusión

Configurar correctamente los permisos de archivos y carpetas en WordPress es esencial para un buen funcionamiento de tu web, pero también para su seguridad.

Si estás teniendo algún error en tu web, te recomiendo que revises los permisos que tienes establecidos, especialmente si acabas de migrar de hosting. Es posible que una configuración incorrecta, esté generando los problemas.

Como has visto, aunque hay plugins que te permiten hacer esta tarea, desde cPanel no son más de 5 clics y no requiere conocimientos avanzados para hacerlo.

Eso sí, si tu web está alojada en LucusHost y necesitas ayuda para revisar o cambiar los permisos de WordPress, no dudes en contactar con el equipo de Soporte. Estamos aquí para ayudarte 🙂 .