Ruta pública
Comprobar si wp-admin/install.php es accesible públicamente en la web en producción.
Instalador de WordPress accesible
Este check verifica si el endpoint del instalador de WordPress, normalmente wp-admin/install.php, sigue siendo accesible públicamente después de que la web ya esté instalada. En una configuración WordPress terminada, esa ruta de instalación no debería permanecer expuesta como endpoint público relevante.
Por qué es importante
El instalador de WordPress pertenece a la fase de puesta en marcha, no a la vida normal de una web ya publicada. Si wp-admin/install.php sigue accesible después del lanzamiento, puede indicar un endurecimiento incompleto, un estado extraño del entorno o una exposición innecesaria de una ruta ligada a la instalación.
Esto importa porque una web WordPress lista para entrega no debería dejar expuestas rutas de setup sin motivo. Aunque el simple acceso a ese archivo no implique automáticamente una vulnerabilidad, sí es una señal técnica que conviene revisar antes de publicar o entregar.
Qué revisar
Antes de dar este check por correcto, conviene revisar lo siguiente:
Instalación completada
Confirmar que WordPress ya está instalado y funcionando con normalidad.
Acceso innecesario
Revisar si el acceso a la ruta del instalador está bloqueado, restringido o sigue expuesto sin necesidad.
Sin comportamiento de instalación
Asegurarse de que la web no muestra comportamiento de instalación en una URL de producción.
Sin endpoints de setup
Confirmar que el entorno público no expone endpoints de setup que ya no hacen falta.
Cómo evalúa PreFlight este check
PreFlight solicita el endpoint relacionado con el instalador y comprueba si es accesible públicamente desde fuera. El objetivo es detectar si una ruta de instalación sigue expuesta como parte de la configuración visible de la web WordPress.
Este check no sustituye una auditoría completa de hardening, pero sí ayuda a señalar una condición técnica que a menudo merece revisión antes de publicar o entregar.
PASS / WARN / FAIL
La ruta del instalador no está expuesta públicamente de una forma que sugiera que la web en producción sigue dejando disponible el acceso de instalación.
El endpoint responde o se comporta de forma poco normal, y conviene revisar la configuración para confirmar que la ruta del instalador no está expuesta sin una razón válida.
La web en producción deja el endpoint del instalador accesible públicamente de una forma que sugiere configuración incompleta, exposición innecesaria o un estado inseguro.
Errores comunes
Dejar wp-admin/install.php accesible después de instalar la web.
Suponer que las rutas de instalación ya no importan solo porque la web parece funcionar.
Confundir una home operativa con una instalación WordPress realmente endurecida.
Ignorar archivos y rutas de setup en la revisión final previa al lanzamiento.
Tratar restos del proceso de instalación como algo inocuo solo porque no aparece un error evidente.
FAQ
Es normal que wp-admin/install.php exista en WordPress?
Sí, como parte del sistema de instalación. La cuestión no es si el archivo existe dentro del core, sino si sigue siendo accesible de forma relevante en una web ya instalada y pública.
Que install.php sea accesible significa siempre que hay una vulnerabilidad?
No automáticamente, pero sí es una señal de que conviene revisar la configuración. Una web en producción no debería dejar expuesto acceso relacionado con la instalación sin un motivo claro.
Por qué esto forma parte de un checklist técnico previo a la publicación?
Porque ayuda a detectar estados de configuración incompletos y exposiciones públicas innecesarias antes de dar la web por lista para entrega. Forma parte de un checklist técnico previo a la publicación.
Verifica tu web WordPress antes de entregarla
Reduce retrabajo, detecta errores de última hora y revisa lo crítico antes de publicar.
Analizar ahora