Seleccionar página

10 consejos para reforzar la seguridad de WordPress con .htaccess

lunes, 30 junio 2014 | WordPress | 7 Comentarios

Que tu sitio web se vea afectado por ataques, hackeos o infecciones no es divertido ni agradable y acaba revirtiendo en el soporte técnico de tu alojamiento, por lo que tener presente que puedes hacer como usuario y administrador de sitios WordPress puede aliviar esta presión y mejorar la seguridad de WordPress con .htaccess.

El archivo .htaccess (archivo de configuración distribuida) en directorios de tu sitio web, es un archivo de configuración que se puede utilizar para anular la configuración del servidor web (si este lo permite). Con los código adecuados se pueden habilitar o deshabilitar funcionalidades y características adicionales para proteger tu sitio de spammers, hackers y otras amenazas.

Algunas de estas características incluyen redirecciones básicas, bloqueando el acceso externo a archivos concretos, o usando funciones más avanzadas como la protección mediante contraseña del contenido o la prevención del uso inadecuado de imágenes del sitio web en sitios externos (hotlinking).

Configura el archivo .htaccess

Aparte del uso de plugins, hay una serie de mejoras que se pueden llevar a cabo en el archivo .htaccess, y que junto con el uso de los plugins adecuados y realizar actualizaciones de forma regular la seguridad se verá reforzada añadiendo un nivel extra de protección al que implemente el propio servidor.

El archivo .htaccess mínimo y típico que por defecto debe incluir cualquier instalación de WordPress es:

# BEGIN WordPress
    
    RewriteEngine On
    RewriteBase /
    RewriteRule ^index.php$ - [L]
    RewriteCond %{REQUEST_FILENAME} !-f
    RewriteCond %{REQUEST_FILENAME} !-d
    RewriteRule . /index.php [L]
    
# END WordPress

Cabe destacar que cualquier añadido que se realice en este archivo debería hacerse «despues» de # END WordPress y nunca antes.

Esto aseguraría que no se rompe ninguna de las funciones de WordPress basadas en .htaccess. Antes de realizar cambios al archivo .htaccess se recomienda encarecidamente realizar una copia de seguridad.

Edita el archivo .htaccess

Cuando se habilitan enlaces permanentes (permalinks) en WordPress, se crea automáticamente un archivo .htaccess en el directorio raíz del sitio.

Cuando WordPress escribe un archivo .htaccess, siempre añade los datos entre # BEGIN WordPress y END WordPress. El carácter almohadilla # significa que estas líneas son comentarios y no afectarán a la configuración.

Estos archivos son de gran alcance y un error de sintaxis, como olvidar un carácter de apertura o cierre <, pueden dejar tu sitio inaccesible, por lo que es importante hacer una copia de seguridad de tu archivo .htaccess antes de hacer cambios en el.

Algunos sistemas operativos no permiten crear un archivo .htaccess por lo que la forma más fácil de hacerlo es:

  1. Usando el Bloc de Notas o un editor de texto plano semejante (Notepad ++) para agregar los comandos necesarios.
  2. Guarda el archivo como un archivo txt, por ejemplo: htaccess.txt
  3. Sube el archivo a tu sitio a la carpeta adecuada.
  4. Una vez subido, renombra el archivo htaccess.txt a .htaccess

Puedes leer el artículo completo que he publicado en el Blog de Webempresa desde el siguiente enlace.

Entradas relacionadas

¿Qué es WordPress?

¿Qué es WordPress?

WordPress es el sistema ideal para los principiantes, para usuarios avanzados o para los que no tienen demasiados conocimientos técnicos.

7 Comentarios

  1. Andrea

    Hola! sabes que acabo de actualizar a la versión 4.1.2 de wordpress y el único archivo htaccess que se encuentra en wp-contentpluginsakismet no tiene el contenido que señalas en este post. En su lugar muestra esto:

    # Only allow direct access to specific Web-available files.

    # Apache 2.2

    Order Deny,Allow
    Deny from all

    # Apache 2.4

    Require all denied

    # Akismet CSS and JS

    Allow from all

    Require all granted

    # Akismet images

    Allow from all

    Require all granted

    Espero que me puedas decir si debo cambiarlo o que hacer con él, ya que he tenido algunos problemas de bucle desde que instaré el multisitios y estoy revisando todo para encontrar la falla.

    Gracias!

    Responder
    • gnumax

      Prueba a actualizar, previa copia de seguridad, a la versión estable 4.2 y verifica si persiste el problema.

      Responder
      • Andrea

        Hola Gnumax! Leí que al parecer no tengo ese archivo porque tengo el hosting configurado con windows, asi que me estoy poniendo en contacto con godaddy para que me ayuden a cambiarlo a linux, sé que se puede solo que no encuentro la opción.

        El problema que tengo, por el que estoy haciendo esta revisión de archivos, es que cambié mi wordpress a multisites y los sitios nuevos creados se muestran sin estilo y al querer entrar al wp-admin la página me da un error de bucle. Sin embargo el sitio original funciona perfectamente.

        Ya intenté desactivando plugins, cambiando temas, configuraciones, etc. he visto varios foros pero las soluciones propuestas no me dan resultados.

        Te agradecería si pudieras darme alguna sugerencia.

        Saludos!!

        Responder
        • Andrea

          Hola gnumax! lo resolví finalmente cambiando el SO del servidor a Linux y reinstalando wordpress.
          De todas maneras gracias por tu ayuda!

        • gnumax

          Lo importante es que lo hayas podido resolver 🙂

          Saludos

  2. Pascual Martínez

    Hola

    No sabía que este archivo pudiera servir para el tema de seguridad
    Gracias por el artículo

    Responder

Deja un comentario