Qué hacer tras la instalación de WordPress, asegurar los archivos de instalación

Una vez completes la instalación inicial de WordPress, existen ciertos archivos críticos que ya no son necesarios y que, de permanecer accesibles, pueden convertirse en una puerta de entrada para atacantes. Se trata de:

• /wp-admin/setup-config.php → usado durante la configuración inicial.
• /wp-admin/install.php → utilizado para el proceso de instalación.

Ambos cumplen su función únicamente al comienzo. Después, lo recomendable es bloquear el acceso a estos archivos para reforzar la seguridad de tu sitio.

Bloquear archivos en Apache HTTPD

Si tu sitio utiliza Apache, puedes hacerlo desde el archivo .htaccess ubicado en la carpeta /wp-admin/:

<FilesMatch "^(install|setup-config)\.php$">
    Require all denied
</FilesMatch>

Nota: En versiones antiguas de Apache puede usarse deny from all, pero en versiones modernas se recomienda Require all denied.

Bloquear archivos en Nginx

Si usas Nginx como servidor web, añade la siguiente directiva a tu bloque de configuración del sitio:

location ~* ^/wp-admin/(install|setup-config)\.php$ {
    deny all;
}

Recomendación extra

• Tras finalizar la instalación, también es buena práctica eliminar cualquier archivo de instalación no utilizado y asegurarte de que los permisos de archivos y carpetas estén correctamente configurados.
• Mantén siempre WordPress, los plugins y los temas actualizados para minimizar riesgos de seguridad.

Juan José Fernández Durán

Arquitecto IT & Consultor IT

See author's posts