Cómo configurar SFTP para transferencia segura de archivos

SFTP (SSH File Transfer Protocol) ofrece carga y descarga cifrada sin un demonio FTP aparte. En VPS Linux, SFTP viene integrado en OpenSSH; esta guía muestra una configuración segura en servidores Hiddence.

SFTP con usuario dedicado

Cree un usuario solo para subir archivos:

sudo adduser sftpuser
sudo passwd sftpuser

# Test SFTP from client:
sftp sftpuser@YOUR_VPS_IP

# Or use FileZilla: Protocol SFTP, port 22

Jail chroot (recomendado)

Restrinja al usuario a un solo directorio por seguridad:

sudo mkdir -p /var/sftp/sftpuser/upload
sudo chown root:root /var/sftp/sftpuser
sudo chmod 755 /var/sftp/sftpuser
sudo chown sftpuser:sftpuser /var/sftp/sftpuser/upload

sudo nano /etc/ssh/sshd_config

# Add at end:
Match User sftpuser
    ChrootDirectory /var/sftp/sftpuser
    ForceCommand internal-sftp
    AllowTcpForwarding no
    X11Forwarding no

sudo systemctl restart sshd

Conectar desde el escritorio

Los clientes populares admiten SFTP de serie:

• FileZilla — Host: sftp://YOUR_VPS_IP, Port: 22, Logon Type: Normal
• WinSCP — Protocol: SFTP
• macOS Finder — Connect to Server: sftp://user@IP
• Linux: sftp user@IP or scp file user@IP:/path/
• VS Code — Remote SSH extension for direct editing

Lista de comprobación de seguridad

• Use claves SSH en lugar de contraseñas para usuarios SFTP cuando sea posible
• Nunca comparta acceso SFTP de root con terceros
• Desactive la autenticación por contraseña para root en sshd_config
• Use chroot para cuentas solo de subida
• Combine con Fail2ban en el puerto SSH
• Firewall: permita el puerto 22 solo desde IPs de confianza si es posible

Consejos

• SFTP no es FTP — no abra el puerto 21 salvo que necesite FTP legacy
• Para WordPress, prefiera claves SSH + sftp en wp-config o herramientas de despliegue
• rsync sobre SSH es más rápido para migraciones grandes
• Compruebe permisos si falla la subida (directorios 755, archivos 644)
• Tras cambios en sshd_config, pruebe SSH en una segunda sesión antes de cerrar la actual