Cómo proteger wp-config.php de Hackers en WordPress

Technical SEO / Por / febrero 6, 2026
Cómo proteger wp‐config.php de hackers en WordPress guía de seguridad

El archivo wp-config.php es el corazón de su sitio WordPress — contiene sus credenciales de la base de datos, claves de autenticación y otros ajustes sensibles. Si los hackers acceden a ella, pueden apoderarse de todo su sitio, inyectar malware, robar datos o eliminar todo. Con ataques automatizados contra vulnerabilidades conocidas como archivos de configuración expuestos, proteger wp-config.php es un paso de seguridad no negociable.

En Cope Business, siempre aseguramos wp-config.php durante nuestro servicios técnicos de auditoría de la SEO y procesos de endurecimiento del sitio — es una de las primeras cosas que comprobamos para prevenir las infracciones.

Esta guía explica por qué wp-config.php es un objetivo, y proporciona métodos paso a paso para protegerlo utilizando permisos, reglas .htacces, plugins y mejores prácticas, todo sin conocimiento técnico avanzado.

¿Por qué Hackers Target wp-config.php y por qué protegerlo?

  • Datos sensibles: Contiene la base de datos nombre de usuario / contraseña, claves secretas para la autenticación
  • Fácil acceso: Si los permisos están mal o el servidor está malfigurado, está expuesto
  • Common Attack Vector: Bots escanea para wp-config.php para explotar
  • Consecuencias: Toma de sitio completo, robo de datos, daño SEO de malware

Protegerlo reduce el riesgo de ataques básicos de 80 a 90% from, combinados con contraseñas fuertes, 2FA y respaldos regulares para toda seguridad.

Método 1: Establecer permisos de archivo seguros (Lo más fácil y esencial)

Los permisos incorrectos (por ejemplo, 666 o 777) permiten a cualquiera leer/editar el archivo.

Permiso recomendado: 600 o 640

  • 600: La lectura/escritura del propietario solamente
  • 644: Propietario leer/escribir, otros leer solamente (si su servidor lo requiere)

Pasos

  1. Acceda a su sitio a través de FTP (FileZilla) o gestor de archivos de hosting (cPanel ≤ Administrador de archivos).
  2. Encontrar wp-config.php en la carpeta raíz.
  3. Haga clic derecho → Autorizaciones de archivo o Permisos de cambio.
  4. Introduzca 600 (o 640 si 600 causa problemas).
  5. Compruebe “Aplicar a este archivo sólo” → Guardar.
  6. Prueba: Su sitio todavía debe funcionar; trate de acceder a susite.com/wp-config.php — debe mostrar 403 Forbidden o blanco.

Si utiliza SSH/Terminal:

Bash

cd /path/to/wordpress/root
chmod 600 wp-config.php

Pros: Rápido, sin plugins, protección del nivel del servidor.
Cons: Puede necesitar ajustes en algunos anfitriones (contacto de soporte si errores).

Método 2: Acceso a bloques con .htaccess (Protección de tensión)

Esto evita el acceso directo del navegador a wp-config.php.

Pasos (Apache Servers – Hosting más compartido)

  • Abre .htaccess en la carpeta raíz (¡retroceda primero!).
  • Añadir este código en la parte superior:
text<Files wp-config.php> order allow,deny deny from all </Files>
  • Guarda.
  • Prueba: Acceda a susite.com/wp-config.php — 403 Error predeterminado.

Para servidores NGINX (VPS como DigitalOcean): Añadir a la configuración del servidor (o preguntar host):

texto

location ~* ^/wp-config.php$ {
    deny all;
}

Pros: Bloques acceso directo, fácil.
Cons: Requisitos .htaccess edit; no todos los anfitriones permiten.

Método 3: Use un plugin de seguridad (Automatizado & Integral)

Los complementos añaden capas adicionales como monitorización y autoprotección.

Plugin recomendado: Todo en One WP Security & Firewall (libre)

  1. Instala Todo en One WP Security & Firewall desde Plugins Añadir nuevo.
  2. Activar → Ir a WP Security > Firewall Reglas básicas de cortafuegos.
  3. Habilitación Protege el archivo wp-config.php (o similar en otros plugins).
  4. Guardar — plugin añade reglas .htaccess automáticamente.

Plugin alternativo: Sucuri Security (gratis) o Wordfence (free/pro) — ambos tienen características de protección de archivos.

Pros: Automático, incluye otras herramientas de seguridad.
Cons: Añade un plugin (pero vale la pena para la seguridad completa).

Prácticas óptimas adicionales para proteger wp-config.php

  • Mover wp-config.php — Coloque un directorio sobre root (WordPress auto-detects).
  • Añadir llaves de seguridad extra — Genera nuevas teclas de autenticación en wp-config.php (utiliza WordPress.org generador de clave).
  • Acceso de bases de datos — Usar un usuario DB único con privilegios limitados (no raíz completa).
  • Respaldos ordinarios — Use UpdraftPlus para copia de seguridad wp-config.php y base de datos.
  • Cambios de monitor — Use plugins de seguridad para alertar sobre modificaciones de archivos.
  • SEO Tip — Los sitios seguros son mejores a largo plazo; par con optimizaciones de velocidad.

Pensamientos finales

Proteger wp-config.php de los hackers es un paso de seguridad rápido y esencial — comienza con permisos seguros (600/640) y bloqueo de .htaccess, luego añade un plugin como All in One WP Security para capas adicionales.

Un wp-config.php seguro mantiene todo su sitio seguro.

¿Experimentar preocupaciones de seguridad o necesitar una auditoría de endurecimiento completo? Contacto Cope Business para una consulta técnica gratuita de SEO - aseguraremos su wp-config.php, endurecemos todo su sitio, y optimizaremos el rendimiento y la paz mental.

¿Fue útil este artículo?
No

Puestos relacionados