La configuración avanzada de seguridad mediante el archivo wp-config.php de WordPress incluye la protección del acceso a la base de datos, el fortalecimiento de las claves de sesión, la desactivación de la edición de archivos, una gestión segura de los resultados de depuración, la obligatoriedad del uso de SSL y la restricción de rutas a directorios críticos. En resumen, el wp-config.php es uno de los centros de seguridad de tu sitio WordPress; con la configuración correcta, reduce la superficie de ataque, disminuye el riesgo de accesos no autorizados y limita el daño en caso de un incidente de seguridad.
La mayoría de los propietarios de sitios que instalan WordPress ven el archivo wp-config.php simplemente como un documento técnico donde introducir el nombre de la base de datos, el nombre de usuario y la contraseña. Sin embargo, este archivo es una parte crítica de la arquitectura de seguridad de un sitio web en vivo. Un wp-config.php correctamente configurado proporciona una poderosa capa de defensa contra ataques de bots simples, manipulaciones de archivos desde el panel de control, filtraciones de mensajes de error y intentos de robo de sesiones, especialmente para sitios de comercio electrónico, sistemas de membresía, sitios corporativos y blogs con alto tráfico.
En esta guía, abordaremos paso a paso los ajustes avanzados de seguridad que puedes aplicar al archivo wp-config.php de WordPress en el blog de Hostragons. Explicaremos claramente qué hace cada ajuste, en qué situaciones recomendamos su uso y qué precauciones deberías tomar antes de implementarlos, todo con precisión técnica pero en un lenguaje sencillo. Si aún no tienes una infraestructura de hosting segura y actualizada, la selección de un hosting de WordPress confiable, junto con el endurecimiento de wp-config.php, también es importante. En este punto, las páginas paquetes de hosting de WordPress y soluciones de hosting web seguras pueden ser relevantes.
¿Qué es el archivo wp-config.php y por qué es crítico para la seguridad?
El wp-config.php es el archivo de configuración que se encuentra en el directorio raíz de WordPress y contiene los parámetros fundamentales para el funcionamiento del sitio. WordPress utiliza este archivo para conectarse a la base de datos, leer las claves de seguridad, definir el comportamiento de depuración, gestionar las operaciones del sistema de archivos y ejecutar algunas constantes avanzadas. Por lo tanto, el contenido de este archivo es mucho más sensible que el de un archivo de tema ordinario.
Este archivo generalmente contiene la siguiente información crítica:
- Nombre de la base de datos, nombre de usuario, contraseña e información del servidor
- Claves de seguridad de sesión, conocidas como Authentication Unique Keys y Salts
- Prefijo de las tablas de la base de datos
- Configuraciones de depuración y registro
- Constantes que controlan el comportamiento de edición de archivos, actualizaciones y SSL
- Configuraciones de funcionamiento como el límite de memoria de WordPress y el directorio de archivos temporales
Si un atacante obtiene acceso al contenido del wp-config.php, puede adquirir las credenciales de conexión a la base de datos. En este caso, no solo la administración de WordPress está en riesgo, sino también las cuentas de usuario en la base de datos, los registros de pedidos, formularios, contenidos y datos confidenciales de clientes. Por eso, proteger el archivo wp-config.php es uno de los pasos fundamentales para la seguridad en WordPress.
Antes de comenzar: Plan de Respaldo, Pruebas y Acceso
Incluso un pequeño error tipográfico en el archivo wp-config.php puede causar que tu sitio muestre una pantalla en blanco, que la conexión a la base de datos se rompa o que pierdas el acceso al panel de administración. Por ello, es fundamental aplicar un plan de seguridad en tres etapas antes de hacer cambios.
1. Realiza una Copia de Seguridad Completa
Primero, haz una copia de seguridad del archivo y la base de datos. No es suficiente con descargar solo el archivo wp-config.php a tu ordenador; dado que cualquier cambio podría afectar la conexión a la base de datos, también es crucial tener un respaldo de la misma. Si tu panel de control tiene una función de copia de seguridad automática, verifica la fecha de la última copia. Si es necesario, crea una copia de seguridad manual. Puedes avanzar con este tema en el contenido de guía de respaldo de sitios web.
2. Aplica los Cambios Uno por Uno
En lugar de agregar de 8 a 10 configuraciones de seguridad al mismo tiempo, prueba el sitio, el panel de administración y los formularios críticos después de cada cambio. Por ejemplo, primero desactiva la edición de archivos y luego verifica el sitio. Luego, configura los ajustes de depuración. Este método te permite identificar rápidamente qué línea puede estar causando un error si ocurre alguno.
3. Asegúrate de tener Acceso a FTP o al Administrador de Archivos
Si el wp-config.php se guarda incorrectamente, podrías no poder acceder al panel de WordPress. Por esto, asegúrate de que el administrador de archivos de cPanel, SFTP o el acceso seguro a transferencia de archivos esté funcionando. Usar SFTP es más seguro que FTP, ya que la conexión es cifrada. Para un acceso seguro, puede resultar útil guiarse por un manual sobre qué es SFTP y cómo se utiliza.
Resumen de Ajustes de Seguridad de wp-config.php
La siguiente tabla resume de manera práctica los ajustes de seguridad básicos y avanzados discutidos en esta guía. Evalúa cada entrada según las necesidades de tu sitio antes de aplicarla en un entorno en vivo.
| Ajuste | Objetivo | Situación Recomendada | Nivel de Riesgo |
|---|---|---|---|
| Renovación de claves de seguridad | Reducir el riesgo de robo de sesión | Durante la instalación y después de accesos sospechosos | Bajo |
| DISALLOW_FILE_EDIT | Desactivar la edición de temas y plugins desde el panel | En todos los sitios en vivo | Bajo |
| Ocultamiento de resultados de depuración | Ocultar mensajes de error y ruta de acceso | En todos los sitios en vivo | Medio |
| Obligatoriedad de SSL | Cifrar el tráfico del panel | En todos los sitios con SSL | Bajo |
| Cambio de prefijo de la base de datos | Dificultar ataques SQL automáticos | En nuevas instalaciones | Medio |
| Endurecimiento de permisos de archivos | Evitar escrituras no autorizadas | En todos los sitios | Medio |
| Gestión de actualizaciones automáticas | Acelerar parches de seguridad | En versiones menores abiertas | Bajo |
Fortalece las Claves de Seguridad y Valores Salt
La seguridad de sesión de WordPress se respalda con las claves AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY, NONCE_KEY y sus correspondientes Salt dentro del wp-config.php. Estas claves hacen que las cookies de usuario y los procesos de autenticación de sesión sean mucho más seguros. Si las claves son débiles, por defecto o no han sido cambiadas en un largo tiempo, la seguridad de la sesión puede debilitarse.
Se recomienda generar nuevas y aleatorias claves a través del generador oficial de claves secretas de WordPress. Estas claves suelen ser largas, aleatorias y llenas de símbolos, lo que las hace prácticamente imposibles de adivinar. Simplemente necesitas reemplazar las líneas existentes en wp-config.php con las nuevas claves.
El efecto de este cambio es claro: todas las sesiones de usuario activas se cerrarán y los usuarios necesitarán volver a iniciar sesión. Si sospechas que una cuenta administrativa ha sido comprometida, renovar los valores Salt es un paso rápido de emergencia. Especialmente, se recomienda renovar estas claves cada 6 meses o en caso de sospechas de una brecha de seguridad.
Desactiva la Edición de Archivos desde el Panel
En el panel de administración de WordPress hay un editor que permite modificar los archivos de temas y plugins. Aunque esta funcionalidad puede parecer útil durante el desarrollo, representa un grave riesgo en sitios en vivo. Si un atacante accede a una cuenta de administrador, puede insertar código PHP malicioso a través del editor de archivos en el panel.
Puedes desactivar la edición de archivos desde el panel agregando esta constante al wp-config.php: define('DISALLOW_FILE_EDIT', true);
Este ajuste inactiva el editor de archivos de temas y plugins en el panel de WordPress. Para blogs en publicación regular, sitios corporativos y tiendas WooCommerce, se recomienda activarlo por defecto. Si se necesitan cambios en los archivos, deben realizarse a través de SFTP, Git o procesos de distribución seguros.
Como una opción más avanzada, también se puede usar la constante DISALLOW_FILE_MODS, que limita las operaciones de carga y actualización de archivos. Sin embargo, este ajuste también puede impedir las actualizaciones de plugins y temas, por lo que solo debe utilizarse en sistemas muy sensibles donde no se realicen cambios fuera de la ventana de mantenimiento.
Ajusta los Parámetros de Depuración para el Sitio en Vivo
Es útil activar el valor WP_DEBUG en un entorno de desarrollo de WordPress; permite ver errores, encontrar plugins incompatibles y diagnosticar problemas de tema. Sin embargo, los mensajes de error que se imprimen en un sitio en vivo pueden contener información que podría ser útil para un atacante, como la ruta del servidor, nombre del plugin, ubicación del archivo y pistas de consultas de base de datos.
El enfoque seguro en un entorno en vivo es el siguiente: no mostrar errores a los visitantes y, si es necesario, registrarlos en un archivo log privado. Para ello, WP_DEBUG debería estar en falso; si se necesita registrar en la fase de desarrollo, se usarían WP_DEBUG_LOG en verdadero y WP_DEBUG_DISPLAY en falso. La lógica de ejemplo sería: define('WP_DEBUG', false); define('WP_DEBUG_DISPLAY', false);
Si necesitas investigar un error, activa el registro temporalmente, resuelve el problema y luego desactívalo nuevamente. También asegúrate de que el archivo de log no sea accesible desde un directorio público, ya que el archivo debug.log a veces puede generarse en ubicaciones cercanas a la raíz del sitio y podría ser legible desde el exterior en servidores mal configurados. Es crítico tener una configuración de hosting adecuada para mitigar estos riesgos. Los contenidos cómo gestionar los registros de errores en WordPress y hosting seguro para WordPress son enlaces naturales a seguir en este punto.
Haz Obligatorio el Uso de SSL y la Seguridad del Panel de Administración
Un certificado SSL cifra el tráfico entre el usuario y el servidor. Dado que se accede al panel de WordPress con un nombre de usuario y una contraseña, el tráfico administrativo debe realizarse a través de HTTPS. Esta configuración es aún más importante especialmente en equipos que acceden al panel desde redes compartidas, fuera de la oficina o mediante conexiones móviles.
En wp-config.php se puede hacer obligatoria la conexión SSL en el panel mediante la siguiente constante: define('FORCE_SSL_ADMIN', true);
Para que este ajuste funcione correctamente, es necesario que tu dominio tenga un certificado SSL vigente. Si aún no estás utilizando SSL, completa primero la instalación del certificado. SSL no solo es fundamental para la seguridad, sino que también es crucial para la confianza del usuario y el SEO. Para opciones de SSL a través de Hostragons, puedes visitar la página productos de certificados SSL, y para la gestión de dominios, echa un vistazo a la página consulta de dominio y registro de dominio.
Si después de forzar SSL se produce un error de redirección infinita, suele ser porque la configuración del proxy, CDN o balanceador de carga no se está interpretando correctamente. En este caso, deben comprobarse los encabezados HTTPS en el lado del servidor y las configuraciones de la dirección del sitio de WordPress.
Gestiona la Información de la Base de Datos y el Prefijo de Tablas de Forma Más Segura
Los valores DB_NAME, DB_USER, DB_PASSWORD y DB_HOST en el archivo wp-config.php permiten que WordPress se conecte a la base de datos. Esta información debe ser fuerte y tener privilegios limitados. Uno de los errores más comunes es otorgar exceso de permisos al usuario de la base de datos.
Para un sitio WordPress en vivo, se recomienda que el usuario de la base de datos tenga solo los permisos necesarios. Generalmente, permisos como SELECT, INSERT, UPDATE, DELETE, CREATE, ALTER e INDEX son suficientes. Usar usuarios con permisos amplios que accedan a todas las bases de datos a nivel de gestión del servidor con una configuración de WordPress es arriesgado.
El Enfoque Correcto sobre el Prefijo de Tablas
El prefijo de tablas predeterminado en WordPress es wp_. En nuevas instalaciones, cambiar esto por un valor más aleatorio y diferente dificulta el trabajo de las herramientas de ataque automático. Por ejemplo, en vez de wp_, se puede optar por un prefijo corto pero difícil de adivinar como hr7x_. Sin embargo, cambiar el prefijo de tabla en un sitio existente no solo requiere modificar el valor table_prefix en wp-config.php; también se deben actualizar los nombres de las tablas en la base de datos y algunos registros usermeta.
Por lo tanto, si planeas cambiar el prefijo de tabla en un sitio en vivo, primero realiza una copia de seguridad completa, prueba el procedimiento en un entorno de staging si es posible y luego lo implementas en vivo. En nuevas instalaciones, es más seguro y menos riesgoso usar un prefijo diferente desde el comienzo.
Opción de Mover el Archivo wp-config.php Fuera del Directorio Raíz
WordPress puede leer el archivo wp-config.php en un nivel superior al directorio raíz en algunas configuraciones del servidor. Por ejemplo, si los archivos de WordPress están en public_html, el archivo wp-config.php puede trasladarse a un directorio superior fuera de public_html. Este método reduce el riesgo de acceso directo a través de la web.
Sin embargo, esta aplicación puede no funcionar igual en todos los entornos de hosting. En hosting compartido, debido a permisos de directorio, la estructura del panel de control o políticas de seguridad, puede que no sea posible mover el archivo al directorio superior. Además, las personas de mantenimiento deben conocer la ubicación del archivo; de lo contrario, el proceso de depuración puede prolongarse más adelante.
Antes de aplicar este método, verifica la estructura de archivos de tu proveedor de hosting. Si utilizas un hosting de WordPress gestionado, pregunta al equipo de soporte cuál es la estructura recomendada para los directorios. En la infraestructura de Hostragons, el contenido sobre guía del panel de control del hosting puede apoyar la gestión adecuada de directorios y permisos.
Endurece los Permisos de Archivos y los Derechos de Escritura
La seguridad de wp-config.php no solo está relacionada con las constantes dentro de él, sino también con los permisos de archivos a nivel de sistema operativo. La recomendación general es que el archivo wp-config.php no sea escribible por todos. En la mayoría de los entornos de hosting basados en Linux, los permisos de archivos pueden configurarse en valores más restrictivos como 400, 440 o 600. Qué valor funcionará dependerá del usuario del servidor y del modo de ejecución de PHP.
El enfoque práctico es el siguiente: el archivo debe mantenerse con los permisos más bajos que no afecten el funcionamiento del sitio. Ajustes como 777 que otorgan permisos de escritura a todos no deben utilizarse bajo ninguna circunstancia. 644 puede funcionar como valor predeterminado en algunos entornos, pero en instalaciones más sensibles, se puede optar por 600 o 440. Después de realizar cambios, se deben probar la apertura del sitio, el panel de administración y las pantallas de actualización de plugins.
Adicionalmente, es importante restringir el acceso al archivo wp-config.php a nivel del servidor web. En infraestructuras de hosting modernas, los archivos PHP no se muestran directamente como recurso; sin embargo, en servidores mal configurados pueden surgir riesgos. Por lo tanto, tener una infraestructura de hosting confiable es tan importante como los permisos de archivos.
Gestiona las Actualizaciones Automáticas de Manera Segura
El núcleo de WordPress, los plugins y los temas reciben regularmente actualizaciones de seguridad. Puedes gestionar en cierta medida el comportamiento de actualizaciones automáticas a través de wp-config.php. Por razones de seguridad, generalmente se recomienda que las actualizaciones menores se realicen de forma automática. Esto se debe a que estas actualizaciones suelen estar centradas en la seguridad y correcciones de errores.
Por ejemplo, mantener las actualizaciones menores del núcleo de WordPress habilitadas reduce la demora ante vulnerabilidades conocidas. Sin embargo, las actualizaciones importantes pueden requerir pruebas en cuanto a compatibilidad de temas y plugins. Por lo tanto, la mejor práctica en sitios corporativos es dejar habilitadas las actualizaciones automáticas de seguridad y, después de probar las actualizaciones mayores en un entorno de staging, aplicarlas en vivo.
Puedes utilizar tres reglas básicas en tu estrategia de actualización: primero respaldo, luego prueba y finalmente aplicación en vivo. Este simple orden establece el equilibrio correcto entre seguridad y continuidad.
Controla el Límite de Memoria PHP y el Consumo de Recursos
En el archivo wp-config.php se pueden definir las cantidades de memoria que WordPress puede usar mediante los valores WP_MEMORY_LIMIT y WP_MAX_MEMORY_LIMIT. Aunque estos ajustes no parecen ser un ajuste de seguridad directo, son importantes en ataques de consumo de recursos, plugins defectuosos y operaciones administrativas intensivas.
Por ejemplo, para un pequeño blog, 128M suele ser suficiente, mientras que las tiendas WooCommerce o los sitios multilingües pueden requerir 256M. Sin embargo, aumentar el límite de memoria innecesariamente puede llevar a que un plugin defectuoso consuma más recursos y degrade el rendimiento del servidor. El valor correcto debe evaluarse junto con el tráfico del sitio, el número de plugins y los recursos del paquete de hosting.
Si recibes errores de memoria frecuentemente, en lugar de simplemente aumentar el límite, investiga la raíz del problema. Plugins pesados, consultas no optimizadas, una versión obsoleta de PHP o un paquete de hosting inadecuado pueden ser causantes. El rendimiento y la seguridad deben ser considerados juntos. Puedes encontrar oportunidades naturales de enlace con respecto a optimización del rendimiento de WordPress y paquetes de hosting de alto rendimiento.
Mantén el Directorio Temporal y el Comportamiento de Carga de Forma Segura
En algunos entornos de hosting, WordPress mantiene los archivos temporales en los directorios del sistema predeterminados. Esto es normal, pero los directorios compartidos con permisos incorrectos pueden generar riesgos de seguridad. Se puede definir el directorio en el que WordPress utilizará archivos temporales a través de WP_TEMP_DIR en wp-config.php.
Si decides usar este método, asegúrate de que el directorio esté cerrado al acceso público, tenga permisos de escritura controlados y solo sea accesible por el usuario correspondiente del sitio. Especialmente en procesos de carga de archivos, procesamiento de medios y actualizaciones de plugins, los directorios temporales se utilizan de manera activa. Un directorio temporal mal configurado puede provocar errores de carga o el riesgo de filtraciones de archivos.
Espacio de Cookies y Seguridad en Multisitios
En proyectos de WordPress multisitio que utilizan subdominios o estructuras de subdirectorios, los valores del espacio de cookies y la URL del sitio se vuelven más sensibles. Una definición incorrecta del espacio de cookies puede permitir que las sesiones sean válidas en subdominios inesperados o conducir a ciclos de inicio de sesión. Desde el punto de vista de seguridad, el alcance de las cookies debe limitarse al mínimo necesario para cada arquitectura del sitio.
Por ejemplo, en estructuras como admin.example.com, shop.example.com y blog.example.com, debe determinarse estudiadamente si las cookies serán válidas en todos los subdominios o solo en un dominio específico. Un alcance de cookies demasiado amplio incrementa la posibilidad de que una vulnerabilidad en un subdominio afecte las sesiones en otros dominios.
Si utilizas un multisitio, evalúa las constantes de multisitio en wp-config.php, así como los ajustes de mapeo de dominio y la configuración de SSL. También es importante la planificación de dominios y SSL en ese tipo de proyectos. Los enlaces gestión de múltiples dominios y certificado SSL wildcard pueden ser relevantes aquí.
Lista de Verificación de Seguridad Aplicable para wp-config.php
La siguiente lista se puede revisar periódicamente en tu sitio WordPress en vivo. Especialmente después de nuevas instalaciones de plugins, cambios de temas, migraciones de servidores y tras intentos de acceso sospechosos, revisar esta lista se convierte en una buena práctica.
- ¿Se está almacenando la copia de seguridad actual del archivo wp-config.php en un lugar seguro?
- ¿Las claves de seguridad y los valores Salt son únicos y aleatorios?
- ¿Está activo DISALLOW_FILE_EDIT?
- ¿Está WP_DEBUG desactivado o en modo de registro seguro en el sitio en vivo?
- ¿Está funcionando el panel de administración a través de HTTPS de forma obligatoria?
- ¿El usuario de la base de datos no tiene permisos innecesarios?
- ¿El prefijo de las tablas en nuevas instalaciones es diferente al wp_ predeterminado?
- ¿Los permisos de archivos no incluyen valores peligrosos como 777?
- ¿Las actualizaciones automáticas de seguridad están habilitadas de manera controlada?
- ¿Se está configurando correctamente SFTP, respaldo y SSL en la cuenta de hosting?
Errores Comunes y Cómo Evitarlos
El error más común encontrado en wp-config.php es insertar fragmentos de código encontrados en línea sin comprender su función. No todos los sitios WordPress poseen la misma configuración de servidor, tema, plugins y estructura de tráfico. Por lo tanto, un ajuste que funcione sin problemas en un sitio puede causar problemas de sesión o errores de actualización en otro.
El segundo error común es dejar abierta la salida de depuración en un sitio en vivo. Esto no solo perturba la experiencia del usuario, sino que también puede conducir a filtraciones de información técnica. El tercer error consiste en dejar el respaldo del archivo wp-config.php en el directorio raíz web bajo nombres como wp-config-backup.php o wp-config-old.php. Estos archivos pueden ser descargados como texto plano en configuraciones de servidor incorrectas. Los respaldos deben almacenarse en áreas no accesibles desde la web.
El cuarto error es ajustar los permisos de archivos a 777 para resolver problemas y luego no revertir a su configuración anterior. Aunque puede parecer que resuelve el problema a corto plazo, es extremadamente peligroso desde el punto de vista de la seguridad. El quinto error es activar FORCE_SSL_ADMIN sin tener SSL instalado; esto puede causar problemas de acceso al panel de administración.
¿Cómo Establecer una Capa de Seguridad Profesional en WordPress?
El endurecimiento del wp-config.php es un paso importante, pero no garantiza la seguridad total por sí solo. Un enfoque de seguridad profesional debe ser de múltiples capas. Se debe considerar el aislamiento de hosting sólido, la versión actual de PHP, un firewall de aplicaciones web, SSL confiable, respaldos regulares, cuentas administrativas limitadas, autenticación de dos factores y monitoreo de registros.
Por ejemplo, si un atacante intenta explotar una vulnerabilidad en un plugin, la capa WAF puede bloquear la solicitud. Si se roba la contraseña de un usuario, la autenticación de dos factores interviene. Si ocurre un cambio en un archivo, se puede restaurar rápidamente desde la copia de seguridad. El wp-config.php es un punto crítico de configuración y limitación en esta cadena.
Si estás creando un nuevo sitio WordPress, avanza desde el principio con un enfoque centrado en la seguridad: planifica un dominio y SSL sólidos, selecciona un hosting seguro, cambia el prefijo de tablas predeterminado, crea claves Salt únicas, desactiva la edición de archivos desde el panel y establece respaldos regulares. Estos pasos básicos pueden prevenir muchos problemas futuros antes de que ocurran.
Conclusión: Pequeños Ajustes, Gran Impacto en la Seguridad
Los ajustes avanzados de seguridad que se pueden realizar con el archivo wp-config.php de WordPress ofrecen medidas prácticas y efectivas que reducen la superficie de ataque de tu sitio. Renovar las claves, desactivar la edición de archivos, ocultar resultados de depuración, hacer obligatorio el uso de SSL, restringir los permisos de la base de datos y endurecer los permisos de archivos son pasos que ofrecen un alto beneficio para la mayoría de los sitios WordPress.
Al implementar estos ajustes, no te apresures: realiza respaldos, aplica cambios uno por uno y prueba cada paso. Una configuración segura, junto con una infraestructura de hosting adecuada y un mantenimiento regular, hace que tu sitio WordPress sea mucho más resistente. Si estás planeando una infraestructura más segura y sostenible, puedes considerar las soluciones de hosting de WordPress, certificado SSL y registro de dominio de Hostragons para encontrar el punto de partida adecuado para tus necesidades.
Preguntas Frecuentes
¿Es seguro editar el archivo wp-config.php?
Sí, es seguro siempre y cuando hagas un respaldo adecuado y apliques los cambios de manera controlada. Sin embargo, un solo error tipográfico puede afectar el acceso al sitio. Por ello, primero realiza un respaldo del archivo y de la base de datos, y luego aplica los ajustes uno por uno.
¿Qué pasa si cambio las claves Salt en el archivo wp-config.php?
Todas las sesiones de usuario activas se cerrarán y los usuarios deberán volver a iniciar sesión. Este procedimiento no borra contenidos ni daña la base de datos. Es especialmente una medida rápida recomendada después de sospechar un acceso no autorizado o un riesgo de cuenta administrativa.
¿Debería WP_DEBUG permanecer activo en un sitio WordPress en vivo?
No. Si WP_DEBUG permanece activo en el sitio en vivo, los mensajes de error pueden filtrar información técnica a los visitantes. El enfoque seguro es no mostrar errores en pantalla y usar registro controlado solo durante periodos breves de necesidad.
¿DISALLOW_FILE_EDIT impide actualizaciones de plugins y temas?
No, DISALLOW_FILE_EDIT solo desactiva el editor de archivos en el panel de administración. Las actualizaciones de plugins y temas continúan normalmente. Para deshabilitar también las actualizaciones, se requieren ajustes diferentes y más restrictivos.
¿Qué permiso debe tener el archivo wp-config.php?
Varía según la configuración del servidor, pero el objetivo es mantener el archivo con el menor permiso posible que no afecte el funcionamiento. Los permisos como 777 no deben utilizarse en absoluto. En la mayoría de los entornos, los valores 600, 440 o 644 pueden funcionar; después de cualquier cambio, el sitio y el panel deben ser probados.