El archivo wp-config.php es uno de los componentes más sensibles dentro de cualquier instalación de WordPress. Si un atacante consigue acceder a él, puede obtener las credenciales de la base de datos, manipular el comportamiento de la web o incluso tomar el control total del sitio. Por eso es fundamental endurecer wp-config.php con medidas específicas de seguridad que reduzcan riesgos y fortalezcan la protección del sistema.
En esta guía práctica vas a aprender distintas acciones que puedes aplicar directamente, sin necesidad de ser desarrollador avanzado.
1. Mover wp-config.php fuera de la raíz pública
Por defecto, el archivo se encuentra en el directorio raíz de WordPress (generalmente public_html o www). Sin embargo, WordPress permite que lo ubiques un nivel por encima de esa carpeta.
De esta forma, aunque alguien intente acceder a través del navegador, el servidor no podrá mostrarlo.
Ejemplo:
- Carpeta raíz:
/public_html/ - Nueva ubicación:
/home/usuario/wp-config.php
Con esta simple acción ya habrás dado un paso clave para endurecer wp-config.php frente a accesos directos.
2. Ajustar permisos de archivo correctos
Los permisos de archivos determinan quién puede leerlos, editarlos o ejecutarlos. Para wp-config.php se recomienda asignar permisos muy restrictivos.
Ejecuta por consola (SSH) o mediante tu cliente FTP:
chmod 400 wp-config.php
Esto limita el acceso de manera que solo el propietario pueda leerlo. En algunos servidores puede ser necesario 440 o incluso 444, pero cuanto más restrictivo, mejor.
Controlar los permisos es una parte esencial de endurecer wp-config.php porque evita que otros usuarios del servidor puedan manipularlo.
3. Proteger wp-config.php desde .htaccess
Si tu servidor usa Apache, puedes añadir reglas en el archivo .htaccess para bloquear cualquier intento de acceder al archivo desde el navegador.
Agrega este fragmento:
<files wp-config.php>
order allow,deny
deny from all
</files>
Con esto, aunque alguien intente acceder escribiendo la URL completa, el servidor devolverá un error en lugar de mostrar el archivo. Este paso refuerza aún más la idea de endurecer wp-config.php a nivel de servidor.
4. Usar claves de seguridad únicas y secretas
Dentro del archivo existen las llamadas Authentication Unique Keys and Salts, que sirven para cifrar la información de las cookies y sesiones de usuario.
Puedes regenerarlas fácilmente en la herramienta oficial de WordPress:
Reemplaza las que aparecen en tu archivo por las nuevas. Así conseguirás endurecer wp-config.php al dificultar el robo de sesiones y accesos no autorizados.
5. Definir un prefijo de tablas personalizado
Aunque el archivo wp-config.php ya viene configurado con el prefijo wp_ para la base de datos, cambiarlo reduce el riesgo de ataques automatizados que buscan inyecciones SQL.
Ejemplo:
$table_prefix = 'miwpseguro_';
Usar un prefijo único forma parte de una estrategia sólida para endurecer wp-config.php y evitar que scripts maliciosos localicen fácilmente tus tablas.
6. Evitar la edición de archivos desde el panel de administración
Otra medida recomendada es desactivar la edición de archivos desde el panel de WordPress. Así, aunque un intruso logre acceso al panel, no podrá modificar directamente los archivos del tema o los plugins.
Agrega esta línea a tu wp-config.php:
define('DISALLOW_FILE_EDIT', true);
Esto, junto con los otros pasos, fortalece tu sitio al endurecer wp-config.php contra cambios no deseados.
7. Añadir capas extra de seguridad con constantes
Algunas configuraciones adicionales que puedes incluir en el archivo:
- Deshabilitar la instalación de plugins y temas desde el panel:
define('DISALLOW_FILE_MODS', true); - Forzar SSL en el inicio de sesión y administración:
define('FORCE_SSL_ADMIN', true);
Con estas constantes logras un entorno más seguro al endurecer wp-config.php directamente desde la raíz de tu instalación.
8. Copias de seguridad frecuentes
Aunque todas estas medidas reducen riesgos, ninguna es infalible. Mantener copias de seguridad regulares es parte de la estrategia para proteger WordPress de forma integral. Si algo falla, podrás restaurar rápidamente tu web sin perder información crítica.
Más que un archivo de configuración, wp-config.php es el núcleo de WordPress. Cada acción que realices para endurecer wp-config.php añade una barrera extra contra accesos no autorizados y posibles ataques. Combinar estas técnicas con una buena gestión de usuarios, actualizaciones constantes y copias de seguridad es la forma más efectiva de mantener tu sitio seguro.