WordPress pide FTP al actualizar y cómo corregirlo

¿Por qué WordPress pide FTP al actualizar?

Cuando WordPress pide credenciales FTP (usuario, contraseña, servidor y puerto) al intentar actualizar el núcleo, un tema o un plugin, es una señal de que el sistema no tiene permisos suficientes para escribir directamente en los archivos del servidor usando PHP. En lugar de realizar la actualización de forma directa, WordPress intenta usar un método alternativo de conexión (FTP o FTPS) para poder copiar y reemplazar los archivos necesarios.

Este comportamiento suele estar relacionado con la forma en que está configurado el servidor web (Apache, Nginx, LiteSpeed, etc.), el usuario con el que se ejecuta PHP y los permisos o propietario de los archivos de tu instalación. Entender este origen es clave para corregir el problema de raíz y evitar que WordPress siga solicitando datos FTP en cada actualización.

• El usuario del servidor web no es el propietario de los archivos de WordPress.
• Los permisos de archivos y carpetas son demasiado restrictivos.
• El hosting fuerza el uso de FTP para operaciones de escritura.
• La constante FS_METHOD no está definida o está configurada como ftpext o ftpsockets.
• La instalación se ha migrado manualmente y se han heredado permisos incorrectos.

Riesgos de ignorar el problema de FTP en WordPress

Ignorar que WordPress pide FTP al actualizar no solo es incómodo; también puede tener implicaciones de seguridad, rendimiento y mantenimiento. Cada vez que pospones una actualización, aumentas la ventana de exposición a vulnerabilidades conocidas en el núcleo, temas o plugins instalados en tu sitio.

• Vulnerabilidades sin parchear: si no actualizas con regularidad, tu web puede quedar expuesta a exploits ya documentados y automatizados por bots.
• Incompatibilidades futuras: cuanto más tiempo pases sin actualizar, más probable será que un salto de versión provoque errores graves o fallos de compatibilidad.
• Dependencia de FTP: depender de FTP para cada actualización ralentiza tu flujo de trabajo y aumenta la probabilidad de errores humanos al introducir credenciales.
• Riesgo de filtrado de credenciales: introducir datos FTP en formularios inseguros o en conexiones sin cifrar puede exponer tus datos de acceso.

Comprobar permisos y propietario de archivos

El primer paso técnico para corregir que WordPress pida FTP al actualizar es revisar los permisos (chmod) y el propietario (chown) de los archivos y carpetas de tu instalación. WordPress necesita poder escribir en determinadas rutas para descargar, descomprimir y reemplazar archivos durante el proceso de actualización.

Permisos recomendados para WordPress

Aunque pueden variar ligeramente según el proveedor de hosting, las recomendaciones generales de permisos para WordPress son las siguientes:

• Archivos: 644 (lectura y escritura para el propietario, solo lectura para grupo y otros).
• Carpetas: 755 (lectura, escritura y ejecución para el propietario; lectura y ejecución para grupo y otros).
• wp-config.php: en muchos casos 640 o 600 para mayor seguridad, siempre que el servidor lo permita.

Si los permisos son demasiado restrictivos (por ejemplo, 600 en carpetas o 400 en archivos clave), WordPress no podrá escribir en ellos y recurrirá al método FTP. Por el contrario, permisos demasiado permisivos (como 777) suponen un riesgo de seguridad grave.

Comprobar permisos desde el panel de control o FTP

Puedes revisar y ajustar los permisos de tu instalación de varias formas, dependiendo de las herramientas que ofrezca tu hosting:

• Administrador de archivos del panel de hosting: la mayoría de proveedores (cPanel, Plesk, paneles propios) permiten seleccionar carpetas y archivos y cambiar permisos con un par de clics.
• Cliente FTP/SFTP: programas como FileZilla, WinSCP o Cyberduck permiten cambiar permisos masivamente desde el menú contextual.
• Acceso SSH: si tu plan incluye SSH, puedes usar comandos como find y chmod para ajustar permisos de forma precisa y rápida.

cd /ruta/a/tu/public_html
find . -type d -exec chmod 755 {} \;
find . -type f -exec chmod 644 {} \;

Revisar el propietario de los archivos (chown)

Además de los permisos, es esencial que el propietario de los archivos coincida con el usuario bajo el que se ejecuta PHP en tu servidor. Si el usuario del servidor web no es el propietario de los archivos, WordPress puede carecer de permisos de escritura incluso con permisos 755/644.

• En hostings compartidos, el propietario suele ser tu usuario de cuenta (por ejemplo, usuario).
• En servidores dedicados o VPS, el propietario puede ser un usuario específico (por ejemplo, www-data en Debian/Ubuntu o apache en CentOS).

Si tienes acceso SSH y privilegios suficientes, puedes corregir el propietario con un comando similar a:

chown -R usuario:grupo /ruta/a/tu/public_html

Configurar wp-config.php para evitar la petición FTP

Una vez revisados los permisos y el propietario de archivos, el siguiente paso es indicarle explícitamente a WordPress que utilice el sistema de archivos directo en lugar de FTP. Esto se hace definiendo la constante FS_METHOD en el archivo wp-config.php.

Qué es FS_METHOD y qué valores admite

FS_METHOD controla el método que WordPress usa para escribir en el sistema de archivos. Los valores más habituales son:

• direct: WordPress escribe directamente en el sistema de archivos usando PHP. Es el método más cómodo y el más usado en hostings bien configurados.
• ftpext: utiliza las funciones FTP de PHP. Requiere credenciales FTP.
• ftpsockets: similar a ftpext pero usando sockets. Menos habitual.
• ssh2: usa la extensión ssh2 de PHP para conectarse por SFTP/SSH. No suele estar disponible en hostings compartidos.

Para evitar que WordPress pida FTP, lo habitual es forzar el modo direct, siempre que los permisos y el propietario de archivos sean correctos.

Cómo editar wp-config.php de forma segura

El archivo wp-config.php se encuentra en la raíz de tu instalación WordPress (normalmente dentro de public_html o de la carpeta donde esté tu dominio). Para editarlo:

• Haz una copia de seguridad del archivo antes de modificarlo.
• Utiliza el editor de archivos del panel de hosting o descarga el archivo por SFTP, edítalo localmente y súbelo de nuevo.
• Evita usar el editor de temas de WordPress para este archivo, ya que un error de sintaxis puede dejar tu sitio inaccesible.

define( 'FS_METHOD', 'direct' );

Otras constantes relacionadas con FTP en WordPress

En algunos casos, encontrarás en wp-config.php constantes relacionadas con FTP que se añadieron en el pasado para forzar este método. Por ejemplo:

• FTP_USER
• FTP_PASS
• FTP_HOST
• FTP_SSL

Si tu objetivo es dejar de usar FTP y pasar a actualizaciones directas, puedes comentar estas líneas (añadiendo // al inicio) o eliminarlas, siempre que hayas verificado que los permisos y el propietario de archivos son correctos.

Ajustar configuración en el panel de hosting

Aunque muchos problemas se resuelven corrigiendo permisos y ajustando wp-config.php, en ocasiones el origen está en la propia configuración del hosting. Algunos proveedores aplican capas de seguridad adicionales o ejecutan PHP de formas específicas (suPHP, FPM, LSAPI, etc.) que influyen en cómo WordPress accede al sistema de archivos.

Opciones habituales en cPanel y otros paneles

Revisa en tu panel de control si existen secciones relacionadas con PHP y permisos de archivos:

• Selector de versión de PHP: asegúrate de usar una versión de PHP compatible con tu versión de WordPress y con las extensiones necesarias.
• Gestor de PHP (PHP-FPM, LSAPI): algunos paneles permiten cambiar el manejador de PHP, lo que puede afectar a los permisos efectivos.
• Herramientas de reparación de permisos: ciertos hostings incluyen utilidades para “reparar permisos” o “restablecer permisos de archivos”.

Si tu panel ofrece una herramienta específica para WordPress (como instaladores automáticos o gestores de aplicaciones), revisa si hay opciones relacionadas con actualizaciones automáticas o permisos de escritura.

Configuraciones especiales: entornos gestionados y contenedores

En hostings gestionados de WordPress o en entornos basados en contenedores (Docker, Kubernetes), la forma de gestionar permisos puede ser distinta. En estos casos:

• Las actualizaciones pueden estar centralizadas o controladas por el proveedor.
• Es posible que no tengas acceso a SSH o a cambiar el propietario de archivos.
• Algunos proveedores desactivan las actualizaciones automáticas del núcleo para evitar conflictos.

Si tu proveedor es de este tipo, consulta su documentación específica o soporte técnico antes de forzar cambios en wp-config.php. Podrían tener un flujo recomendado para actualizaciones que no requiera FTP ni modificaciones manuales.

Casos específicos en distintos hostings

Aunque el problema de que WordPress pida FTP al actualizar se basa en los mismos principios, la forma de resolverlo puede variar ligeramente según el tipo de hosting y su configuración interna. A continuación se describen algunos escenarios habituales y cómo abordarlos.

Hosting compartido tradicional

En un hosting compartido clásico con cPanel o panel similar, lo más habitual es que el usuario del sistema coincida con tu usuario de cuenta. En este entorno, si WordPress pide FTP:

• Verifica que has subido los archivos por SFTP usando el mismo usuario que se usa para ejecutar PHP.
• Repara permisos de archivos y carpetas desde el administrador de archivos o con ayuda del soporte.
• Añade define( 'FS_METHOD', 'direct' ); en wp-config.php si aún no está definido.

En muchos casos, un simple “restablecer permisos” desde el panel o solicitado al soporte técnico resuelve el problema de inmediato.

VPS o servidor dedicado

En un VPS o servidor dedicado, tienes un control total, pero también más responsabilidad. Aquí es frecuente que el servidor web se ejecute como www-data, apache o un usuario similar, mientras que tú subes archivos con otro usuario.

• Asegúrate de que el propietario de los archivos de WordPress sea el usuario correcto (por ejemplo, www-data).
• Configura correctamente php-fpm o el manejador de PHP para que use un usuario con permisos adecuados.
• Evita mezclar varios usuarios para subir archivos (por ejemplo, no uses root para subir archivos de WordPress).

Hosting gestionado de WordPress

En los hostings gestionados de WordPress, el proveedor suele encargarse de las actualizaciones del núcleo y, en algunos casos, también de plugins y temas. Si en este entorno WordPress te pide FTP, puede deberse a:

• Una migración manual previa con permisos heredados de otro servidor.
• Restricciones específicas del proveedor para ciertas carpetas.
• Un conflicto con plugins de seguridad que bloquean operaciones de escritura.

En estos casos, lo más eficiente suele ser contactar con el soporte del hosting, indicar el mensaje exacto que muestra WordPress y solicitar que habiliten el método directo o ajusten la configuración según sus políticas internas.

Buenas prácticas antes de actualizar WordPress

Corregir que WordPress pida FTP al actualizar es solo una parte de una estrategia de mantenimiento saludable. Para minimizar riesgos y evitar interrupciones en tu sitio, conviene seguir una serie de buenas prácticas antes de aplicar cualquier actualización importante.

• Realiza copias de seguridad periódicas: asegúrate de tener un sistema de backups automatizado que incluya archivos y base de datos, y verifica que puedes restaurar fácilmente.
• Usa un entorno de pruebas (staging): si tu hosting lo permite, prueba las actualizaciones en un clon de tu sitio antes de aplicarlas en producción.
• Actualiza por etapas: comienza por el núcleo de WordPress, luego temas y finalmente plugins, comprobando el funcionamiento tras cada paso.
• Revisa el registro de cambios: antes de actualizar un plugin o tema crítico, consulta el changelog para detectar cambios importantes o incompatibilidades anunciadas.
• Programa las actualizaciones en horas de baja actividad: así reduces el impacto en caso de que algo falle y necesites revertir cambios.

Cómo solucionar errores comunes tras el cambio

Después de ajustar permisos y modificar wp-config.php para que WordPress deje de pedir FTP, es posible que te encuentres con algunos errores o comportamientos inesperados. Identificarlos y resolverlos a tiempo evitará que tu sitio quede inaccesible o con funcionalidades limitadas.

Pantalla blanca o error 500

Una sintaxis incorrecta en wp-config.php (por ejemplo, una comilla mal cerrada o un punto y coma faltante) puede provocar una pantalla en blanco o un error 500. Para solucionarlo:

• Restaura la copia de seguridad de wp-config.php que hiciste antes de editar.
• Revisa el archivo en busca de errores de sintaxis, especialmente en las líneas que añadiste o modificaste.
• Activa el modo debug de WordPress temporalmente para obtener más información sobre el error.

define( 'WP_DEBUG', true );
define( 'WP_DEBUG_LOG', true );
define( 'WP_DEBUG_DISPLAY', false );

Actualizaciones que se quedan bloqueadas

En ocasiones, tras cambiar el método de actualización, una actualización puede quedarse “atascada” y mostrar mensajes como “Otra actualización está en curso”. Esto suele deberse a un bloqueo temporal en la base de datos.

• Espera unos minutos y vuelve a intentarlo; el bloqueo suele expirar solo.
• Si persiste, puedes eliminar manualmente la opción core_updater.lock desde phpMyAdmin o usando un plugin de gestión de base de datos.

Permisos demasiado permisivos

Para evitar que WordPress pida FTP, algunos usuarios optan por establecer permisos 777 en carpetas, lo cual es una práctica muy insegura. Aunque pueda “funcionar”, deja tu sitio expuesto a modificaciones no autorizadas.

• Revisa que ninguna carpeta clave (como wp-content) tenga permisos 777.
• Restablece los permisos recomendados (755 para carpetas, 644 para archivos).
• Si tienes dudas, pide a tu hosting que ejecute un script de reparación de permisos estándar.

Seguridad y mantenimiento a largo plazo

Una vez que hayas conseguido que WordPress deje de pedir FTP al actualizar, es importante consolidar una estrategia de seguridad y mantenimiento que mantenga tu sitio estable y protegido a largo plazo. El objetivo no es solo resolver el problema puntual, sino evitar que vuelva a aparecer o que derive en otros fallos.

• Monitoriza los registros de errores: revisa periódicamente los logs de PHP y de WordPress para detectar problemas de permisos o escritura tempranamente.
• Limita el número de plugins: cuantos más plugins tengas, mayor será la superficie de ataque y el riesgo de conflictos en las actualizaciones.
• Mantén temas y plugins que realmente uses: elimina aquellos que no utilices; desactivarlos no es suficiente desde el punto de vista de seguridad.
• Configura alertas de seguridad: usa plugins de seguridad o servicios externos que te avisen de cambios inesperados en archivos o permisos.
• Documenta tu configuración: anota qué cambios has hecho en wp-config.php, qué permisos usas y qué usuario es el propietario de los archivos. Esto te facilitará futuras migraciones o diagnósticos.

Preguntas frecuentes