Cómo proteger wp-config.php de los piratas informáticos en WordPress

SEO técnico / Por / 6 de febrero de 2026
How to protect wp‑config.php from hackers in WordPress security guide

El archivo wp-config.php es el corazón de su sitio de WordPress: contiene las credenciales de su base de datos, claves de autenticación y otras configuraciones confidenciales. Si los piratas informáticos acceden a él, pueden apoderarse de todo su sitio, inyectar malware, robar datos o eliminarlo todo. Con ataques automatizados dirigidos a vulnerabilidades conocidas, como archivos de configuración expuestos, proteger wp-config.php es un paso de seguridad no negociable.

En Cope Business, siempre protegemos wp-config.php durante nuestro servicios de auditoría técnica SEO y procesos de refuerzo del sitio: es una de las primeras cosas que verificamos para evitar infracciones.

Esta guía explica por qué wp-config.php es un objetivo y proporciona métodos paso a paso para protegerlo mediante permisos, reglas .htaccess, complementos y mejores prácticas, todo sin conocimientos técnicos avanzados.

¿Por qué los piratas informáticos atacan wp-config.php y por qué protegerlo?

  • Datos confidenciales: Contiene nombre de usuario/contraseña de la base de datos, claves secretas para la autenticación
  • Fácil acceso: Si los permisos son incorrectos o el servidor está mal configurado, queda expuesto
  • Vector de ataque común: Los bots escanean en busca de wp-config.php para explotar
  • Consecuencias: Adquisición total del sitio, robo de datos, daños al SEO por malware

Protegerlo reduce el riesgo de ataques básicos entre un 80 % y un 90 %; combínelo con contraseñas seguras, 2FA y copias de seguridad periódicas para una seguridad total.

Método 1: establecer permisos de archivos seguros (el más fácil y esencial)

Los permisos incorrectos (por ejemplo, 666 o 777) permiten que cualquiera pueda leer/editar el archivo.

Permiso recomendado: 600 o 640

  • 600: propietario solo lectura/escritura
  • 644: Propietario lectura/escritura, otros solo lectura (si su servidor lo requiere)

Pasos

  1. Acceda a su sitio a través de FTP (FileZilla) o administrador de archivos de hosting (cPanel > Administrador de archivos).
  2. Busque wp-config.php en la carpeta raíz.
  3. Haga clic derecho → Permisos de archivos o Cambiar permisos.
  4. Ingrese 600 (o 640 si 600 causa problemas).
  5. Marque "Aplicar solo a este archivo" → Guardar.
  6. Prueba: Su sitio aún debería funcionar; intente acceder a yoursite.com/wp-config.php; debería mostrar 403 Prohibido o en blanco.

Si usa SSH/Terminal:

Intento

cd /ruta/a/wordpress/root chmod 600 wp-config.php

Ventajas: Rápido, sin complementos, protección a nivel de servidor.
Contras: Es posible que sea necesario realizar ajustes en algunos hosts (comuníquese con el soporte técnico si hay errores).

Método 2: bloquear el acceso con .htaccess (protección fuerte)

Esto evita el acceso directo del navegador a wp-config.php.

Pasos (Servidores Apache – Alojamiento más compartido)

  • Abra .htaccess en la carpeta raíz (¡primero haga una copia de seguridad!).
  • Agregue este código en la parte superior:
texto order allow,deny deny from all
  • Ahorrar.
  • Prueba: acceda a yoursite.com/wp-config.php – Error 403 prohibido.

Para servidores NGINX (VPS como DigitalOcean): agregue a la configuración del servidor (o pregunte al host):

texto

ubicación ~* ^/wp-config.php$ {negar todo; }

Ventajas: Bloquea el acceso directo, fácil.
Contras: Requiere edición .htaccess; No todos los hosts lo permiten.

Método 3: utilice un complemento de seguridad (automatizado y completo)

Los complementos agregan capas adicionales como monitoreo y protección automática.

Complemento recomendado: All in One WP Security & Firewall (gratis)

  1. Instalar Seguridad y firewall de WP todo en uno de Complementos > Agregar nuevo.
  2. Activar → Ir a Seguridad de WP > Cortafuegos > Reglas básicas del cortafuegos.
  3. Permitir Proteger el archivo wp-config.php (o similar en otros complementos).
  4. Guardar: el complemento agrega reglas .htaccess automáticamente.

Complemento alternativo: Seguridad Sucurí (gratis) o valla de palabras (gratis/pro): ambos tienen funciones de protección de archivos.

Ventajas: Automático, incluye otras herramientas de seguridad.
Contras: Agrega un complemento (pero vale la pena por su seguridad total).

Mejores prácticas adicionales para proteger wp-config.php

  • Mover wp-config.php — Colóquelo un directorio encima de la raíz (WordPress lo detecta automáticamente).
  • Agregar claves de seguridad adicionales — Genere nuevas claves de autenticación en wp-config.php (use el generador de claves de WordPress.org).
  • Limitar el acceso a la base de datos — Utilice un usuario de base de datos único con privilegios limitados (no root completo).
  • Copias de seguridad periódicas — Utilice UpdraftPlus para hacer una copia de seguridad de wp-config.php y la base de datos.
  • Monitorear cambios — Utilice complementos de seguridad para alertar sobre modificaciones de archivos.
  • Consejo de SEO — Los sitios seguros tienen una mejor clasificación a largo plazo; combínelo con optimizaciones de velocidad.

Pensamientos finales

Proteger wp-config.php de los piratas informáticos es un paso de seguridad rápido y esencial: comience con permisos seguros (600/640) y bloqueo de .htaccess, luego agregue un complemento como All in One WP Security para obtener capas adicionales.

Un wp-config.php seguro mantiene seguro todo su sitio.

¿Tiene problemas de seguridad o necesita una auditoría de seguridad completa? Contacte a Cope Business para una consulta técnica gratuita de SEO: protegeremos su wp-config.php, reforzaremos todo su sitio y lo optimizaremos para lograr rendimiento y tranquilidad.

¿Fue útil este artículo?
No

Publicaciones relacionadas