FTP normal transmite credenciales y archivos sin cifrar; para gestionar WordPress usa SFTP y reserva SSH para tareas técnicas avanzadas.
✉
¿Quieres más información? Escríbenos y te orientamos
Elige el acceso seguro según la tarea
SFTP protege la transferencia de archivos mediante SSH, mientras que SSH añade acceso al servidor por comandos.
FTP, FTPS, SFTP y SSH
FTP transmite usuario, contraseña y archivos sin cifrado, normalmente por el puerto 21. Evítalo en una web pública: SFTP usa el canal cifrado de SSH y normalmente funciona por el puerto 22.
Método Cifrado Puerto habitual Uso recomendado FTP No 21 Evitar para una web pública FTPS Sí, con TLS/SSL 21 o 990 Solo si el hosting lo exige SFTP Sí, sobre SSH 22 Subir y bajar archivos SSH Sí 22 Comandos y mantenimiento técnico
Lo que no requiere acceso remoto
WordPress permite instalar plugins, actualizar, cambiar ajustes y subir imágenes desde su propio panel , por lo que no necesitas SFTP ni SSH para las tareas diarias.
Decisión rápida: Panel WordPress: plugins, imágenes y ajustes SFTP: mover un archivo concreto SSH: WP-CLI, Git y tareas técnicas Si solo necesitas instalar un plugin de WordPress.org, prueba primero desde el panel.
Configura SFTP
Usa una cuenta SFTP independiente y limitada a la carpeta de cada web siempre que el hosting lo permita.
Campos seguros en FileZilla y WinSCP
En FileZilla selecciona "SFTP - SSH File Transfer Protocol", no "FTP". Introduce el host, el puerto 22 salvo otra indicación, y el usuario y la contraseña o clave proporcionados por tu hosting.
Claves SSH sin compartir secretos
La clave pública se sube al hosting y la clave privada debe quedarse solo en tu ordenador. Protégela con una passphrase y nunca la envíes por correo, ticket o mensajería.
En FileZilla SFTP , crea una entrada en el Gestor de sitios con el protocolo «SFTP - SSH File Transfer Protocol», el host indicado por el proveedor, el puerto SFTP 22 —salvo que el hosting asigne otro— y el tipo de acceso adecuado: contraseña o archivo de clave. En WinSCP, selecciona igualmente SFTP, no FTPS ni FTP, y carga la clave privada SSH si se usa autenticación por claves. En la primera conexión, ambos clientes muestran la huella digital del servidor; compárala con la publicada por el hosting o solicítala al soporte antes de aceptarla.
Validar esa huella evita conectarse por error a un servidor suplantado y refuerza la seguridad de la transferencia al usar archivos cifrados.
Usa SSH solo para tareas con sentido
SSH resulta útil para WP-CLI, Git, rsync y otros trabajos repetidos que requieren comandos controlados.
Antes de tocar archivos en producción
Haz una copia de seguridad comprobable antes de sustituir archivos o actualizar código. Si vas a modificar temas, plugins o configuración, prueba primero en un entorno de pruebas.
Para una web WordPress normal, la recomendación práctica es esta: usa el panel para tareas diarias y SFTP para archivos puntuales, con un usuario limitado y una contraseña única. Usa SSH con claves cuando necesites WP-CLI, Git o una ayuda técnica del hosting. Esto cambia si tu proveedor no ofrece SFTP: en ese caso, pregunta por FTPS antes de aceptar FTP plano y valora cambiar de plan si manejas datos de clientes.
HTTPS no protege tu acceso SFTP
HTTPS protege la visita de tus usuarios, pero SFTP cifra el acceso a los archivos. Crea usuarios temporales y limitados para colaboradores, y elimínalos al terminar el trabajo.
Para proteger el acceso SSH , genera un par de claves SSH en tu equipo: la clave pública SSH se instala en la cuenta del servidor y la clave privada SSH permanece protegida localmente con una passphrase. En servidores administrados, el archivo ~/.ssh/authorized_keys debe pertenecer al usuario correcto y no ser modificable por otros usuarios; de lo contrario, SSH puede rechazarlo por seguridad. Cuando la conexión con clave funcione desde una sesión nueva, el administrador puede desactivar PasswordAuthentication y bloquear el acceso directo de root con PermitRootLogin no.
Mantén una sesión abierta mientras validas el cambio y conserva un procedimiento de acceso de emergencia del proveedor para no perder la administración del servidor.
✉
¿Quieres más información? Escríbenos y te orientamos
Corrige errores sin abrir permisos peligrosos
Si WordPress pide FTP para actualizar, el problema suele estar en permisos, propietario de archivos o configuración de PHP.
Qué significa cada fallo de conexión
Un "connection refused" indica que el puerto no acepta SFTP o SSH, mientras que un timeout suele apuntar a host, firewall o red. Un error de autenticación requiere revisar usuario, contraseña o clave.
Reduce el riesgo después de conectar
Desactiva FTP plano, borra usuarios sin uso y revisa periódicamente los registros de acceso. Si el hosting limita SSH por IP, confirma primero que podrás conectarte desde tu red habitual.
No necesitas SFTP ni SSH para instalar la mayoría de plugins desde el panel de WordPress, crear entradas, cambiar ajustes o subir imágenes. Tampoco conviene dar acceso SSH a colaboradores sin experiencia: crea cuentas WordPress con los permisos mínimos necesarios o pide al soporte del hosting que haga la tarea.
En sitios con cambios frecuentes, WP-CLI y Git en WordPress reducen la necesidad de mover archivos manualmente y de introducir credenciales FTP en WordPress. Por ejemplo, un usuario de despliegue limitado puede ejecutar wp plugin update --all desde SSH, mientras que Git permite publicar código revisado desde una rama de producción en lugar de editar archivos directamente en el servidor. Este usuario debe tener permisos de escritura solo sobre las rutas que necesita, y los archivos desplegados deben conservar un propietario compatible con el proceso PHP de WordPress.
Si WordPress sigue solicitando FTP, revisa la propiedad y los permisos reales antes de forzar métodos de escritura o guardar contraseñas en la configuración.
Dudas habituales
La regla básica es usar el protocolo correcto, una cuenta limitada, acceso cifrado y una copia previa.
¿Cuál es la diferencia entre FTP y SFTP?
SFTP cifra los datos mediante SSH, mientras FTP normal envía credenciales y archivos sin cifrar. SFTP usa normalmente el puerto 22 y FTP el 21.
¿Qué es más seguro, FTP o SFTP?
SFTP es más seguro porque protege la conexión y admite claves SSH. FTP plano solo tendría sentido en una red interna muy controlada, algo poco común en una web WordPress pública.
¿Qué puerto usa SFTP?
SFTP usa normalmente el puerto 22, igual que SSH. Algunos hostings cambian ese número, así que sigue el dato de su panel antes de conectar.
¿Cómo configuro SFTP en WordPress?
SFTP se configura en el hosting y en un cliente como FileZilla o WinSCP, no dentro de WordPress. Introduce host, protocolo SFTP, puerto, usuario y contraseña o clave privada.
¿Por qué WordPress me pide credenciales FTP?
WordPress suele pedirlas porque no puede escribir en sus carpetas por permisos, propietario o ajuste de PHP. Pide al hosting que revise esa causa antes de introducir credenciales FTP.
¿Puedo usar una clave SSH en vez de contraseña?
Sí, puedes usar una clave pública en el hosting y conservar la privada en tu equipo con passphrase. No compartas la clave privada y desactiva la contraseña SSH solo después de comprobar la conexión.
¿Qué hago si SFTP no conecta?
Comprueba protocolo, host, puerto 22, usuario y si el hosting bloquea tu IP o el servicio SSH. Tras entre 3 y 5 intentos fallidos, algunos proveedores bloquean temporalmente el acceso, así que consulta el registro o soporte.
Tu plan seguro para la próxima tarea
Usa el panel para las tareas normales, SFTP con una cuenta limitada para archivos puntuales y SSH con claves solo cuando necesites comandos técnicos. Mantén FTP plano desactivado, corrige permisos en lugar de usar CHMOD 777 y realiza siempre una copia antes de modificar producción.