Si te dedicas a desarrollar webs utilizando WordPress te habrás planteado en algún momento qué posibilidades hay de aumentar la seguridad, al margen de todos los plugins dedicados a ello.
Una de esas posibilidades la encontramos en el archivo .htaccess, el cual se crea por defecto en toda instalación de WordPress, en el directorio raíz:
Un archivo .htaccess es un archivo de configuración a nivel de servidor popularizado por los servidores Apache, por lo tanto sus posibilidades para configurar reglas en todo tipo de ámbitos es muy amplia. Hoy nos centraremos en algunos trucos para dar un punto más de seguridad a nuestro sitio WordPress.
Cómo aumentar la seguridad en WordPress con el archivo .htaccess
Proteger xmlrpc
Toda instalación de WordPress crea un archivo xmlrpc.php, el cual se usa como puente entre aplicaciones y servicios externos con el propio WordPress. Es por esto que puede ser usado como una entrada ilícita a nuestro blog o página y debe ser protegido, insertando el siguiente código en el archivo .htaccess:
<files xmlrpc.php>
order deny,allow
deny from all
</files>
Proteger wp-config.php
El archivo wp-config es uno de los archivos del núcleo de WordPress. Contiene datos muy importantes tanto sobre la instalación como sobre los datos de conexión con la base de datos. Tenerlo bien protegido es vital, por lo que deben insertarse estas líneas de código:
<files wp-config.php>
order allow,deny
deny from all
</files>
Proteger los plugins
Una de las bases de WordPress son las funcionalidades que le damos mediante los miles de plugins disponibles. Así que para evitar el posible acceso malicioso por parte de otras personas deberíamos protegerlos empleando el código:
<files ~ "\.(js|css)$">
order allow,deny
allow from all
</files>
Proteger la carpeta uploads
Todo usuario de la plataforma WordPress conoce la carpeta “…/wp-content/uploads” , que es donde se almacenan todas las imágenes y archivos que se suben mediante el cargador de medios del dashboard. Así que es interesante mantenerla todo lo segura que se pueda incluyendo este código en el .htaccess:
<files ~ ".*\..*">
order allow,deny
deny from all
</files>
<filesMatch "\.(jpg|jpeg|jpe|gif|png|bmp|tif|tiff|doc|pdf|rtf|xls|numbers|odt|pages|key|zip|rar)$">
order deny,allow
allow from all
</filesMatch>
Proteger el .htaccess
Puede parecer redundante incluir un código en el propio archivo para protegerse a sí mismo. Pero no lo es, ya que si no lo hacemos es un archivo fácilmente manipulable y muy expuesto a la inyección de código.
Lo podemos hacer de forma directa o protegiendo todo los archivos que empiezen por “.hta”:
<files .htaccess>
order allow,deny
deny from all
satisfy all
</files>
<files ~ “^.*\.([Hh][Tt][Aa])”>
order allow,deny
deny from all
satisfy all
</files>
Con estas 5 claves podremos estar un poco más tranquilos respecto a la seguridad de nuestros sitio WordPress. Si os ha parecido interesante el uso de estas directivas en el htaccess y queréis profundizar, esta guía de configuración del archivo .htaccess es muy completa.
En WeLoveWebs somos especialistas en Diseño y Desarrollo Web. Adaptándonos a las necesidades de nuestros clientes para lograr cumplir sus objetivos de tu negocio. Si necesitas asesoramiento, no dudes en contactar con nosotros.