En todos los sistemas software, los diversos archivos y directorios que los conforman poseen permisos que especifican quién o qué puede leer, escribir, modificar o acceder a ellos. Los sistemas de permisos ocupan un lugar destacado en la protección de nuestra instalación de WordPress y debemos comprobar tras su instalación que dichos permisos se encuentran debidamente configurados.
Existen tres entidades predefinidas a las que se les puede asignar un determinado permiso:
- usuario: el creador de archivo/directorio.
- grupo: conjunto de usuarios a los que le son asignados de manera conjunta un determinado permiso.
- público: todos aquellos que no son usuarios del sistema y por lo tanto son considerados como ajenos a éste.
A cada una de estas entidades se le pueden otorgar permisos para leer (Read), escribir (Write) y ejecutar (eXecute). A cada uno de estos permisos se le asigna un valor, siendo 4 para el permiso de lectura, 2 para el de escritura y 1 para el de ejecución. El permiso de un archivo o directorio será un número de tres cifras resultado de la suma de dichos valores para cada una de las entidades de la siguiente forma:
Como podemos ver en el ejemplo anterior, la entidad usuario tiene permisos de lectura (4), escritura (2) y ejecución (1), siendo el permiso total para esta entidad de 7. Las entidades siempre se cuantifican en el mismo orden (usuario-grupo-público), siendo cada uno de los dígitos del número, en este caso 755, el resultante para cada una de ellas.
Tras la instalación de WordPress puede darse el caso de que algunos de los archivos o directorios no tengan debidamente asignados los permisos para una óptima protección. Afortunadamente existe un plugin llamado Acunetix WP Security (antes WP Security Scan) que si bien tiene ya algunos años y lleva tiempo sin actualizarse, es muy útil para realizar esta comprobación, y otras muchas, de una manera sencilla.
Tras la instalación del plugin, accederemos a éste a través del Dashboard mediante la pestaña WP Security. Dentro de las secciones hay una llamada "WP Info" en la cual encontraremos un informe con los permisos de los archivos críticos de nuestra instalación, su configuración actual y la configuración recomendada, dándonos la posibilidad de aplicar dichas sugerencias directamente. Sólo cabe puntualizar que el plugin sólo nos señala la no coincidencia de su sugerencia con la configuración actual, pudiendo ser la configuración actual más restrictiva que la señalada. De ser este el caso, y no teniendo problemas con el funcionamiento del software, deberemos mantener la más restrictiva.
Si estamos de acuerdo con la sugerencia pinchamos en el botón para aplicar los cambios y el plugin realizará estos cambios automáticamente. Esta herramienta también permite realizar otras acciones de seguridad muy recomendadas y que os aconsejamos explorar.
Por último señalar que los plugins de seguridad consumen muchos recursos del servidor, y más si estos realizan acciones "en vivo" como pueden ser análisis de las comunicaciones o firewall. Si nuestro servidor posee unas características limitadas podemos notar una merma importante en las prestaciones de nuestra instalación. Nuestra recomendación es realizar las acciones necesarias con el plugin y luego desactivarlo. También podemos realizar los cambios en los permisos de los archivos y los directorios a través del gestor de archivos de nuestro servidor o bien mediante una aplicación ftp como puede ser FileZilla.
¿Utilizáis algún plugin de seguridad y queréis comentarlo?
Añadir nuevo comentario