Una vez completes la instalación inicial de WordPress, existen ciertos archivos críticos que ya no son necesarios y que, de permanecer accesibles, pueden convertirse en una puerta de entrada para atacantes. Se trata de:
/wp-admin/setup-config.php→ usado durante la configuración inicial./wp-admin/install.php→ utilizado para el proceso de instalación.
Ambos cumplen su función únicamente al comienzo. Después, lo recomendable es bloquear el acceso a estos archivos para reforzar la seguridad de tu sitio.
Bloquear archivos en Apache HTTPD
Si tu sitio utiliza Apache, puedes hacerlo desde el archivo .htaccess ubicado en la carpeta /wp-admin/:
<FilesMatch "^(install|setup-config)\.php$">
Require all denied
</FilesMatch>
Nota: En versiones antiguas de Apache puede usarse
deny from all, pero en versiones modernas se recomiendaRequire all denied.
Bloquear archivos en Nginx
Si usas Nginx como servidor web, añade la siguiente directiva a tu bloque de configuración del sitio:
location ~* ^/wp-admin/(install|setup-config)\.php$ {
deny all;
}
Recomendación extra
- Tras finalizar la instalación, también es buena práctica eliminar cualquier archivo de instalación no utilizado y asegurarte de que los permisos de archivos y carpetas estén correctamente configurados.
- Mantén siempre WordPress, los plugins y los temas actualizados para minimizar riesgos de seguridad.