Guía para configurar el .htaccess para mayor seguridad en WordPress
|
podcast
 |
La culminación de tu sitio Web es una tarea muy importante dentro de tus objetivos SEO y de marketing online, es la básica, por eso hoy en Posicionamiento Web Salamanca queremos darte una guía para configurar el .htaccess para mayor seguridad en WordPress. Es un archivo poderoso que se encuentra en la raíz de tu instalación de wordpress y que puedes usar para reemplazar la configuración de tu servidor y mejorar la seguridad y desempeño de la misma. Sigue leyendo y aprende más sobre este tema.
Tabla de contenidos
Hablemos de lo básico, ¿qué es .htaccess?
.htaccess es en inglés “hypertext access” o acceso a hipertexto en español.
Algunas de estas características son redirecciones básicas, bloquear el acceso a carpetas específicas, optimizar las URLs, pero también hay opciones más avanzadas, como protección con contraseñas para algún contenido, o prevenir el hotlinking de imágenes.
El archivo .htaccess está localizado en la raíz de tu sitio, en WordPress este fichero es usado para facilitar los enlaces permanentes y se crea automáticamente cuando la opción de enlaces amigables está activada, puedes hacer con este archivo redirecciones 301, o incluir reglas para prohibir la entrada de agentes que pueden amenazar tu Web.
Un archivo de cuidado
En el archivo .htaccess hay que ser muy cuidadoso, ya que cualquier error de sintaxis puede dañar todo tu sitio, no se trata de que te asustes a la hora de hacer alguna modificación ahí, pero sí de que tengas cuidado a la hora de hacer alguna configuración en tu WordPress.
Debes hacer un respaldo del archivo antes de llevar a cabo cualquier cambio, así tendrás un soporte si algo sale mal, y rápidamente podrás restaurar tu archivo htaccess y volver a cómo estaba antes. Se recomienda descargar una copia de tu fichero .htaccess a tu ordenador con cPanel, luego de loguearte, yendo a Archivos -> Administrador de Archivos. O via ftp.
Sigue la guía para configurar el .htaccess para mayor seguridad en WordPress
Ahora, vamos a los puntos de la configuración de este fichero. Recuerda que cuando estás editando tu archivo es importante que notes que las líneas comienzan con un hashtag (#) son los comentarios, y no están incluídas en la regla. Al momento de añadir reglas, es básico que las incluyas encima o debajo de la regla por defecto de WordPress.
No deberías añadir nada entre los # BEGIN WordPress y # END WordPress.
Para editar tu archivo hay muchas opciones, una es hacerlo directamente en el cPanel, para muchos este es el más fácil. Debes ir al cPanel en Archivos -> Administrador de Archivos y escoge que muestren los archivos ocultos (Show Hidden Files), luego ir a la raíz de tu sitio y hacer click en tu fichero .htaccess. Después haz click en Editar, incluye lo que desees. ¡No olvides guardar (hacer clic en Save) una vez que hiciste los cambios!
Las otras opciones son editar a través del FTP, también puedes usar el SSH para hacer los cambios. Recuerda que sin importar qué método uses, debes actualizar tu sitio inmediatamente después de hacerlos, y si notas algún error, puedes usar el respaldo y volver a la configuración anterior.
El método más seguro en via FTP o SSH, con una copia seguridad hecha previamente y guardada a buen recaudo en el pc, como deciamos anteriormente.
Protege archivos importante
Con este truco podrás proteger tu fichero .htaccess. Este es uno de los mayores beneficios de aprender a modificar tu archivo .htaccess, junto con sus registros de errores, el wp-config.php y los archivos php.ini. Si sigues las siguientes instrucciones, cualquier intento de acceso a esos archivos será negado. (Revisa cómo esté nombrado tu php.ini, puede ser que no tenga ese nombre sino php5.ini, entonces cambia el nombre en la siguiente regla).
Restringir acceso al Escritorio de Admin
Modificando el archivo podrás restringir el acceso al Escritorio del admin y a la página de inicio de sesión, reglas tomadas de https://premium.wpmudev.org:
Si tienes una IP fija:
Las primeras dos líneas redireccionan direcciones IP no autorizadas a tu página de error 404. Esto también ayuda a resolver cualquier hueco en la redirección para que su sitio no parezca que está caído. Sólo asegúrate de editar ambos casos de /path-to-your-site/ a la ruta real de su sitio. Reemplaza donde dice IP Address One, Two y Three, por las direcciones IP a las que realmente quieras dar acceso, si quieres usar solo una línea de direcciones borra las otras y si quieres agregar más también puedes.
Si tú u otros usuarios tiene IP dinámicas:
Tampoco olvides cambiar /path-to-your-site/ a la ruta real de tu sitio, al igual que cambiar your.site.com por el dominio real.
Este punto es importante ya que muchos hackers usan bots para tratar de acceder a tu escritorio o iniciar sesión externamente, al añadir esto solo dejarás entrar a las personas que tu quieras a tu backoffice. No bloqueará hackers que intentan entrar manualmente adivinando los detalles de acceso de alguno de tus usuarios.
Evitar que vean tu directorio
Si no realizas esta acción cualquier visitante con un poco de conocimientos Web podrá acceder a tu directorio, si escriben tu dominio y luego un directorio en la barra de su navegador. Y es que por la estructura de archivos de WordPress nada bloquea que las personas puedan entrar a tu-sitio.com/wp-content-uploads y ver una lista de tus carpetas y archivos.
¿No lo sabías? Bueno no querrás que siga pasando, ya que haces mucho más fácil el acceso de hackers a información importante de tu Web, es una simple línea que tienes que agregar a tu .htaccess:
Options All -Indexes
Restringir el acceso a archivos PHP
Al igual que el punto anterior, que personas maliciosas vean tus archivos PHP es un gran error. Mientras más difícil sea para los hackers encontrar archivos como este, será mejor para la seguridad de tu sitio en WordPress, evitarás que incluyan códigos maliciosos en tu Web.
Puedes añadir las siguientes líneas de Acunetix para bloquear el acceso directo:
Restringe la ejecución de archivos PHP
Prevenir la ejecución de archivos PHP también es un excelente uso del fichero .htaccess, por si te hackean y alguien entra a tu sitio, no podrán subir su propio archivo PHP con códigos maliciosos. Estarías poniéndole más obstáculos a aquél que quiera entrar en tu sitio.
Añade el siguiente código:
Evita la enumeración de nombres de usuario
Si un visitante ingresa en su barra del navegador la dirección tu-sitio.com/?author=1 serán llevados a la página del autuor cuyo ID de usurio es uno, en esa página verán el nombre de usuario asociado con ese número, entonces, podrán ver todos los nombres de usuario, esto si tienen cualquier post asociado con su cuenta. Esto se conoce como enumeración de nombres de usuario.
Si un hacker consigue tu nombre de usuario tiene parte del camino allanado para hackearte, ya que solo le falta adivinar la contraseña, claro, si alguien usa una buena contraseña será difícil adivinarla..
Para prevenir la enumeración, incluye el siguiente código en tu archivo .htaccess.
RewriteCond %{QUERY_STRING} author=d
RewriteRule ^ /? [L,R=301]
Protege tu sitio contra las inyecciones de scripts
Cambiar tu archivo .htaccess para evitar la inyección de códigos maliciosos en tus archivos PHP es fácil con estos códigos. ¿Por qué hacerlo? Porque muchos hackers tratan de hacer cambios en tu WordPress para inyectar estos códigos maliciosos, añade los siguiente a tu .htaccess y evita estos cambios.
Ya conoces un poco más sobre como configurar el .htaccess para mayor seguridad en WordPress, hoy en día es importante aumentar la seguridad de tu Web para evitar ser víctima de hackers. Otro truco SEO importante es aprender a desactivar la firma del servidor.
¿Te gustó nuestro post? Compártelo con tus amigos en tus redes sociales para que también puedan aprovechar estos consejos.
