La seguridad de WordPress es uno de las cualidades más débiles entre los WordPreseros novatos. En una instalación de WordPress sin supervisión, hay bastantes vulnerabilidades potenciales que se dejan desatendidas. La mayoría de los tutoriales de instalación de WordPress explican una forma rápida y fácil de implementar WordPress en minutos. Pero se pierden algunos factores de seguridad importantes. Por ejemplo, la exploración de directorios y el uso del nombre de usuario ‘admin’ se consideran lagunas de seguridad graves. Hoy vamos a echar un vistazo a fragmentos de código .htaccess que ayudarán a mejorar la seguridad de su blog de WordPress. Antes de comenzar, echemos un vistazo rápido a qué es el archivo htaccess. La guía la hacemos desde cPanel/Administrador de archivos.
Htaccess en capeta raiz de WordPress.
De no estar visible el archivo .htaccess, dirígete a la rueda de configuración de tu panel y activa ver los archivos ocultos, e ingresar el siguiente código:
# Protege htaccess
<Files ~ «^.*\.([Hh][Tt][Aa])»>
order allow,deny
deny from all
satisfy all
</Files>
# Directorios Protegidos
Options All -Indexes
# Deshabilitar la visibilidad de directorios
Options -Indexes
# Bloquear acceso a wp-config
<Files wp-config.php>
order allow,deny
deny from all
</Files>
# Bloquear acceso al directorio wp-includes
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
</IfModule>
# Proteger acceso a directorios de themes y plugins
RewriteCond %{REQUEST_URI} !^/wp-content/plugins/file/to/exclude\.php
RewriteCond %{REQUEST_URI} !^/wp-content/plugins/directory/to/exclude/
RewriteRule wp-content/plugins/(.*\.php)$ - [R=404,L]
RewriteCond %{REQUEST_URI} !^/wp-content/themes/file/to/exclude\.php
RewriteCond %{REQUEST_URI} !^/wp-content/themes/directory/to/exclude/
RewriteRule wp-content/themes/(.*\.php)$ - [R=404,L]
# Redirigir 403 a url
RewriteEngine On
ErrorDocument 403 https://www.solutionmaker.org/Htaccess en WP-Includes.
Crea un archivo .htaccess en la carpeta wp-includes e ingresa el siguiente código:
#bloquea archivos php <Files ~ ".+\.php"> Deny from all </Files> # Protege htaccess <Files ~ «^.*\.([Hh][Tt][Aa])»> order allow,deny deny from all satisfy all </Files>
Htaccess en WP-Content.
Crea un archivo .htaccess en la carpeta wp-content e ingresa el siguiente código:
# Permite solo los siguientes archivos <Files ~ «.(xml|css|jpe?g|png|gif|js)$»> Allow from all </Files> # Protege htaccess <Files ~ «^.*\.([Hh][Tt][Aa])»> order allow,deny deny from all satisfy all </Files>
Htaccess en WP-Uploads.
Crea un archivo .htaccess en la carpeta wp-content/wp-uploads e ingresa el siguiente código:
<Files *.php> deny from all </Files> # Bloquea archivos php <Files ~ ".+\.php"> Deny from all </Files> # Archivos permitidos <FilesMatch "\.(jpg|jpeg|jpe|gif|png|bmp|tif|tiff|doc|pdf|rtf|xls|numbers|odt|pages|key|zip|rar)$"> Order Deny,Allow Allow from all </FilesMatch> # Protege htaccess <Files ~ «^.*\.([Hh][Tt][Aa])»> order allow,deny deny from all satisfy all </Files>
