Instalar WordPress

Guía de Instalación

Optimizar WordPress

Optimización y Velocidad

Seguridad de WordPress

Guía de Protección

10 Trucos htaccess para Proteger tu WordPress

10 Trucos htaccess para Proteger tu WordPress

WordPress de forma predeterminada es un sistema seguro y confiable, sin embargo es imposible que pueda incluir todas las medidas de seguridad necesarias de cada caso aislado en particular porque terminaría afectando el rendimiento global. Por eso, es importante ir reforzando la seguridad de tu sitio web aprovechando el potencial que te ofrece WordPress. Por eso hoy te explicaremos cómo aplicar 10 trucos htaccess para proteger tu sitio web.

Archivo .htaccess en WordPress

El archivo .htaccess se utiliza en WordPress generalmente para servir enlaces permanentes amigables. Sin embargo, hay mucho más que puedes hacer con .htaccess, como crear redireccionamiento 301, incluir reglas para bloquear a los visitantes no autorizados o banear direcciones IP sospechosas.

El archivo .htaccess se encuentra en la raíz de la instalación de tu sitio. El punto anterior al nombre se utiliza en los archivos ocultos para que no aparezca en la lista debido a su naturaleza delicada.

Este archivo es bastante útil, sobre todo cuando se trata de reforzar la seguridad de tu sitio web contra los intrusos que intentan espiar tu contenido o hackear tu WordPress.

Trucos htaccess en WordPress

En este tutorial queremos aprovechar todas las posibilidades que el archivo .htaccess te ofrece en beneficio de tu sitio web.

En este tutorial vamos a editar el archivo .htaccess para aplicar nuevas reglas y órdenes. Si no te sientes cómodo modificando archivos, te recomendamos ver cómo editar archivos en WordPress.

En todo caso, siempre te recomendamos crear un backup completo y fresco de los archivos de tu sitio web junto con la base de datos para proteger su contenido y preservar su integridad.

1 . Proteger el Archivo wp-config.php

Sin duda el archivo más sensible de tu sitio web es wp-config.php que almacena los credenciales de acceso a la base de datos, y que el sistema de WordPress utiliza para acceder al contenido y configuración del sitio.

<files wp-config.php>
order allow,deny
deny from all
</files>

Este código de pocas líneas tiene un efecto mágico sobre tu sitio web y te otorga mucha tranquilidad, porque proteger el archivo wp-config.php contra cualquier acceso no autorizado.

En un tutorial anterior hemos abordado el asunto de protección del archivo wp-config.php con más detalles para que tengas más información sobre él.

2 . Crear Redirecciones 301

Los errores de página no encontrada 404 nunca son buenos, ni para los visitantes que conciben una imagen negativa de tu sitio web, ni para los motores de búsqueda, que pueden rebajar la clasificación de tu sitio en los resultados de búsqueda.

Por eso existen el redireccionamiento 301, que puedes realizar de forma muy sencilla a partir del archivo .htaccess

Redirect 301 /antiguo-enlace http://www.example.com/nuevo-enlace
Redirect 301 /pagina-1/antiguo-enlace /pagina-1/nuevo-enlace
Redirect 301 / http://www.example.com/

Uno de los trucos htaccess que más se utilizan en este archivo es hacer redireccionamiento de las páginas que ya no existen o que hayas actualizado en tu sitio web.

En un tutorial anterior hemos explicado con más detalle cómo realizar redireccionamiento 301 en WordPress de dos formas distintas.

3 . Aumentar Tamaño de Archivos Subidos

Es muy probable que te hayas encontrado alguna vez con el inconveniente del tamaño de archivo que intentas subir por los Medios del panel de administración.

Muchos de los proveedores de hosting establecen el tamaño máximo de archivo que puedes subir entre 2MB y 8MB, lo que te impide subir plugins o temas que exceden ese valor.

php_value upload_max_filesize 64M
php_value post_max_size 64M
php_value max_execution_time 300
php_value max_input_time 300

Con este código solucionamos el problema del peso máximo de archivos que puedes subir mediante el panel de WordPress y lo cambiamos al valor de 64MB que es un tamaño más que necesario.

En un tutorial anterior hemos explicado cómo aumentar el tamaño máximo de archivos permitido en la sección de Medios de WordPress de forma más detallada.

4 . Bloquear Escaneo de Usuarios

El ataque más popular y sencillo que utilizan los hackers para acceder a tu sitio web es el ataque de fuerza bruta, donde primero enumeran todos los usuarios que están registrados en el sitio.

Para reforzar la seguridad de tu sitio web, uno de los trucos htaccess más beneficios en este tema es bloquear el escaneo de usuarios.

# BEGIN bloquear escaneo de usuarios
RewriteEngine On
RewriteBase /
RewriteCond %{QUERY_STRING} (author=\d+) [NC]
RewriteRule .* - [F]
# END bloquear escaneo de usuarios 

Cuando pegas ese código en el archivo .htaccess de tu instalación, bloqueará todos los intentos de enumeración o recuento de usuarios registrados en el sitio. De esta forma reducen el riesgo de ataque drásticamente.

5 . Deshabilitar el Acceso a XML-RPC

WordPress ofrece una API que te permite conectar aplicaciones de terceros a tu sitio web para obtener una determinada información, publicar usando otra plataforma, entre otras posibilidades.

Sin embargo esta tecnología puede impactar negativamente en tu sitio ya que se puede utilizar para ejecutar ataques DDoS mediante el archivo xmlrpc.php de la instalación.

Por motivos de seguridad, te recomendamos deshabilitar XML-RPC si no la utilizas para conectar tu sitio con otras aplicaciones.

# Bloquear peticiones a xmlrpc.php
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>

Este código es uno de los trucos htaccess más utilizados porque está relacionado de forma directa con la protección y seguridad de tu sitio.

Pegas este código en el archivo .htaccess para negar el acceso al archivo xmlrpc.php a cualquier persona o usuario.

En un artículo anterior, hemos explicado detenidamente cómo deshabilitar XML-RPC en tu WordPress, sus beneficios e impacto positivo sobre el sitio.

6 . Proteger Panel de Administración wp-admin

La página de acceso al panel de control wp-admin y wp-login.php son la única capa de seguridad en WordPress que separa a los usuarios normales de la administración.

Uno de estos trucos htaccess que veremos hoy es cómo proteger y limitar acceso a la administración, para reducir el riesgo de intervención de intrusos o hackers que intentan acceder al panel de WordPress.

# Restringir acceso wp-admin por IP
<Limit GET POST PUT>
order deny,allow
deny from all
allow from xx.xx.xx.xxx
</Limit>

En este código ejecutamos una orden mediante el archivo .htaccess para denegar el acceso al panel de WordPress a cualquier dirección IP excepto la que incluimos en la regla.

De esta forma ninguna persona puede intentar acceder al panel de administración, solamente aquel que lo haga a partir de un dispositivo o ordenador que usa esa dirección IP.

7 . Deshabilitar Exploración de Archivos

Cuando los archivos y carpetas de tu instalación están expuestos y visibles a todo el mundo, es posible que alguien malintencionado utilice este punto en contra de tu sitio web.

Hoy en día hay miles de plugins, y algunos de ellos sufren problemas de seguridad. Si usas uno de esos plugins, y el hacker se da cuenta de que lo estás usando, estaría corriendo mucho riesgo.

Por eso uno de los trucos htaccess que te recomendamos es deshabilitar la navegación por las carpetas de tu instalación, para guardar cierta privacidad.

Options -Indexes

Con este código en el archivo .htaccess, deshabilitas la exploración de las carpetas y como resultado mejoras la privacidad de tu sitio web.

En un tutorial anterior hemos explicado cómo deshabilitar la exploración de los archivos de tu WordPress de forma más detallada.

8 . Prevenir Hotlinking de Imágenes en WordPress

Cuando un visitante toma la URL de una de tus imágenes y la utiliza en su sitio en lugar de subirla en su servidor, te agota el ancho de banda. Esta acción también se llama enlace en caliente (Hotlinking).

Esta práctica es descarada ya que, además de llevarte tus imágenes, utiliza los recursos de tu servidor en beneficio a su sitio web.

RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?example.com [NC]
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?google.com [NC]
RewriteRule \.(jpg|jpeg|png|gif)$ http://i.imgur.com/g7ptdBB.png [NC,R,L]

Afortunadamente hay una solución para esto. Este código solo permite visualizar imágenes si la solicitud proviene de tu sitio web (example.com) o google.com. No olvides cambiar en enlace al nombre dominio de tu sitio real.

9 . Banear Dirección IP en WordPress

De forma predeterminada todos los sitio web son visibles en cualquier lugar del mundo donde haya un acceso normal a internet, lo que hace que tu contenido y mensaje esté en todas partes.

Sin embargo, algunas personas aprovechan esto para desarrollar actividades sospechosas en tu sitio web con el fin de causar algún tipo de daño o publicar comentarios ofensivos por ejemplo.

<Limit GET POST>
order allow,deny
deny from 123.456.78.9
deny from 987.654.32.1
allow from all
</Limit>

Uno de los trucos htaccess que podemos usar para banear y bloquear direcciones IP específicas para que no puedan explorar o ver tu sitio web es este código una vez por todas.

10 . Proteger el Archivo .htaccess

Durante todos los trucos htaccess anteriores hemos visto cómo reforzar la seguridad de tu sitio web, pero no hablamos de cómo proteger el mismo archivo .htaccess

<files ~ "^.*\.([Hh][Tt][Aa])">
order allow,deny
deny from all
satisfy all
</files>

Con este código protegemos el archivo .htaccess contra cualquier intento de acceso no autorizado. Por supuesto que tú como administrador de la instalación seguirás teniendo acceso al mismo mediante FTP.

Esperamos que esta lista de los trucos htaccess de WordPress te ayude a proteger tu contenido y reforzar la seguridad global de tu stio web.

La seguridad integral de tu sitio web no se limita al archivo .htaccess. En nuestra guía de seguridad de WordPress hablamos de los aspectos generales y esenciales de la seguridad.

Esto es todo. Te invitamos a seguir nuestra página en facebook, para que te mantengas al tanto de las novedades sobre la seguridad y optimización de WordPress.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Si continúas utilizando este sitio significa que aceptas el uso de cookies. más información

Los ajustes de cookies de esta web están configurados para "permitir cookies" y así ofrecerte la mejor experiencia de navegación posible. Si sigues utilizando esta web sin cambiar tus ajustes de cookies o haces clic en "Aceptar" estarás dando tu consentimiento a esto.

Cerrar