¿Cómo proteger archivos y directorios de WordPress con .htaccess?
· Время на чтение: 10мин · por
·
Publicada
· Actualizado
Escucha este artículo
El archivo .htaccess es un archivo de configuración del servidorcompatible con muchos servidores web, incluido el software de servidor web Apache más popular. Este archivo aparentemente sin pretensiones está lleno de todo tipo de funciones que, cuando se usan correctamente, pueden determinar de manera muy efectiva cómo su servidor web maneja las solicitudes. Aprenda a restringir el acceso a los archivos y directorios de WordPress con un archivo .htaccess.
Además de determinar cómo el servidor web procesa las solicitudes, también es muy útil para proteger sus archivos de WordPress del acceso no autorizado por parte de piratas informáticos. En este artículo, analizaré muchas formas de proteger los archivos y directorios de WordPress con .htaccess.
El contenido del artículo:
- 1. ¿Cómo proteger archivos y directorios de WordPress con .htaccess?
- 1.1 Proteger el archivo .htaccess
- 1.2 Restringir el acceso a la carpeta wp-admin con .htaccess
- 1.3 Bloquear el acceso no autorizado a wp-config.php
- 1.4 ¿Cómo bloquear el acceso al contenido/descargas de wp y deshabilitar la ejecución de pHp?
- 1.5 Deshabilitar la exploración de directorios en WordPress
- 1.6 Bloquear el acceso al sitio a ciertas direcciones IP
- 1.7 Bloquear el acceso de ciertos dominios a su sitio web
- 2. Solución alternativa
1. ¿Cómo proteger archivos y directorios de WordPress con .htaccess?
Echemos un vistazo a algunos métodos simples que puede usar para mantener sus archivos de WordPress a salvo de miradas indiscretas.
Antes de continuar con la protección de otros archivos, comencemos con la protección de .htaccess. Sin embargo, como siempre digo, antes de realizar cualquier cambio (sin importar cuán grande o pequeño sea) siempre haz una copia de seguridad de tu sitio y, en este caso, guarda un par de copias de tu archivo .htaccess en tu sistema local. Esto debería evitar cualquier daño que pueda resultar de la manipulación accidental del archivo.
1.1 Proteger el archivo .htaccess
El archivo .htaccess se puede encontrar fácilmente en la carpeta web raíz public_html. Hay dos formas de acceder a este archivo: usando FTP como FileZilla o usando el administrador de archivos de su cuenta de alojamiento de WordPress. En este artículo, uso un administrador de archivos para acceder a un archivo y mostrarle cómo puede protegerlo.
Paso 1: Inicie sesión en su cuenta de alojamiento web con su nombre de usuario y contraseña. Si no está seguro de las credenciales de su cuenta de alojamiento web, comuníquese con su proveedor de alojamiento para obtener ayuda.
Paso 2: Haga clic en "Administrador de archivos".
Seleccione Administrador de archivos.
Paso 3: Luego haga clic en la carpeta public_html.
Seleccione "public_html".
Paso 4: Dentro verás un archivo .htaccess. Haz clic derecho. Y elige una opción edición.
Una vez que tenga acceso al archivo, coloque el siguiente fragmento de código en él.
# Denegar acceso a .htaccess Permitir pedido, denegar Denegar de todos
Esto restringirá el acceso de los usuarios a su archivo .htaccess. Sencillo, ¿verdad?
Ahora que hemos asegurado el archivo .htaccess, es hora de pasar al resto. Entonces, comencemos asegurando la carpeta wp-admin.
1.2 Restringir el acceso a la carpeta wp-admin con .htaccess
La carpeta wp-admin contiene los archivos que juntos hacen que funcionen las herramientas de administración. El archivo admin.php en esta carpeta realiza las siguientes funciones:
- Le permite conectarse a la base de datos.
- Muestra la barra de herramientas de WordPress.
- Administrar la página de inicio de sesión del sitio.
Como puede ver, el directorio wp-admin es muy importante y se debe tener cuidado para protegerlo del acceso no autorizado. Esto se debe a que el acceso al panel de administración permitirá que un pirata informático cause estragos en su sitio. Para hacer esto, restrinja el acceso de los usuarios a la carpeta de administración de WordPress usando el archivo .htaccess. Permita el acceso a direcciones IP específicas de su elección. Para hacer esto, deberá crear un archivo .htaccess separado con algún código (el que está en el cuadro azul de abajo) y cárguelo en la carpeta wp-admin.
Para crear un nuevo archivo .htaccess, simplemente abra el nuevo archivo en su editor de texto predeterminado y asígnele el nombre .htaccess. No .htaccess.txt o .htaccess.doc o cualquier otra extensión de archivo adicional. Solo .htaccess. Una vez que hayas hecho eso, pega el siguiente código en él.
# Limitar inicios de sesión y administración por IP denegar orden, permitir denegar de todos permitir desde 12.34.56.78
Para cargar el archivo .htaccess recién creado en la carpeta wp-admin, inicie sesión en su cuenta de alojamiento web y abra el administrador de archivos como se muestra a continuación.
Seleccione Administrador de archivos.
Una vez que haga clic en Administrador de archivos, verá todos los archivos y carpetas en su sitio como se muestra a continuación. Luego haga clic en la carpeta public_html.
Seleccione "public_html".
Haga clic en la carpeta wp-admin.
Seleccione "wp-admin".
Luego haga clic en el botón de descarga como se muestra arriba.
Seleccione Descargar.
Seleccione el .htaccess que acaba de crear en su sistema local y cárguelo en la ventana que se abre.
Descargar el archivo.
Una vez que haya cargado su nuevo archivo .htaccess, ¡habrá terminado! Estas nuevas medidas de seguridad restringirán el acceso de los usuarios a su panel de administración que no sean aquellos a los que les ha dado permiso explícitamente.
Tenga en cuenta que esto solo restringirá el acceso a wp-admin y no restringirá el acceso al sitio de WordPress por completo. Los usuarios registrados aún pueden acceder a wp-admin, pero esto también puede estar limitado por las funciones de los usuarios. Puede restringir los permisos de los usuarios para que no todos los usuarios registrados puedan acceder a la carpeta.
1.3 Bloquear el acceso no autorizado a wp-config.php
El archivo wp-config maneja las configuraciones básicas de WordPress y mantiene la información confidencial sobre su instalación de WordPress, como la configuración de MySQL, las claves secretas, los detalles de conexión de la base de datos de WordPress, etc. de miradas indiscretas.
El archivo .htaccess puede resultar útil para proteger este archivo tan importante al que accede un usuario web. Para hacer esto, todo lo que tiene que hacer es copiar el código a continuación en su archivo .htaccess.
Como se describe en la sección Protección del archivo .htaccess, abra el archivo .htaccess desde el administrador de archivos y agréguele el siguiente código.
orden permitir, denegar denegar de todos
Una vez que agregue el código anterior, bloqueará el acceso no autorizado a wp-config.php.
1.4 ¿Cómo bloquear el acceso al contenido/descargas de wp y deshabilitar la ejecución de pHp?
A menudo, los piratas informáticos dejan una puerta trasera para acceder a los archivos de su sitio, de modo que incluso si se descubre y repara el ataque, pueden acceder fácilmente al sitio en el futuro. Estos archivos de puerta trasera a menudo se disfrazan como archivos de WordPress en los directorios wp-includes o wp-content/uploads/. Y estos son a menudo archivos .php. Para proteger mejor sus archivos y carpetas de WordPress, debe deshabilitar la ejecución de dichos archivos. Esto puede ayudar a restringir el acceso a WordPress, y esto se puede hacer deshabilitando la ejecución de PHP en estos directorios.
Deshabilitar la ejecución de PHP con .htaccess es un proceso muy simple si sigue estas sencillas instrucciones en el archivo.
En primer lugar, cree un nuevo archivo .htaccess en un editor de texto y agréguele el siguiente código.
Negar todo
Como siguiente paso, inicie sesión en su cuenta de alojamiento web y abra administrador de archivos. Aquí es donde accede a la carpeta de contenido y descarga. Encuentra una carpeta wp-content/subir/.
Seleccione "descargas" desde "wp-content".
Clic en el botónDescargar' y cargue el archivo .htaccess que acaba de crear.
Seleccione Descargar.
Al presionar el botón "Descargar» Se abrirá una nueva ventana donde puede seleccionar un archivo .htaccess de su sistema local.
Subir archivo.
Después de haber subido el archivo .htaccess a la carpeta wp-content/subir/, debes agregarlo a la carpeta wp-incluye.
Igual que agregar a la carpeta wp-content/subir/, abra el administrador de archivos para acceder a la carpeta wp-incluye desde el directorio de inicio de su sitio.
Seleccione "wp-incluye".
Haga clic en una carpeta wp-incluyey luego haga clic en el botón de descarga.
Seleccione Descargar.
Después de hacer clic en el botón de descarga, podrá seleccionar un archivo de su sistema local. Seleccione el archivo .htaccess que acaba de crear y cárguelo.
Descargar el archivo.
Una vez que haya agregado .htaccess a estas dos carpetas muy importantes, habrá deshabilitado con éxito cualquier ejecución de PHP en esas carpetas.
1.5 Deshabilitar la exploración de directorios en WordPress con htaccess
La exploración de directorios es una función en la que ve una lista de archivos y carpetas en lugar de una página web cuando intenta acceder a un sitio web. Por ejemplo, tiene un directorio llamado privado (como ejemplo) en su sitio web, digamos www.ejemplo.com. Si la exploración de directorios no se ha deshabilitado en ese directorio en particular, entonces si alguien escribe www.ejemplo.com/privado/, verá todos los archivos y carpetas en directorio privado.
Esto puede ser desastroso para su sitio porque un pirata informático puede obtener una gran cantidad de información. ¿Quién puede entonces proceder a planear un ataque en su sitio, armado con el conocimiento de la jerarquía de archivos de su sitio? Al deshabilitar la exploración de directorios en WordPress con htaccess, limitará el nivel de acceso a su sitio.
Para deshabilitar la exploración de directorios para un directorio específico, cree un archivo .htaccess en un editor de texto y guárdelo como .htaccess (sin ninguna extensión de archivo adicional). Luego agregue el siguiente código y restrinja el acceso a sus archivos de WordPress.
# deshabilitar la exploración de directorios Opciones Todos -Índices
Después de agregar el código, cargue este archivo .htaccess recién creado en el directorio para el que desea deshabilitar esta función. Por ejemplo, si desea deshabilitar la exploración de directorios para la carpeta wp-includes, cargue este archivo .htaccess en la carpeta wp-includes como lo hizo anteriormente a través del administrador de archivos.
1.6 Bloquear el acceso al sitio a ciertas direcciones IP
Es posible que haya notado que algunos usuarios de ciertas direcciones IP han enviado spam repetidamente, han intentado piratear o simplemente han intentado obtener acceso no autorizado a su sitio de WordPress. Puede evitar por completo el acceso no autorizado por parte de un usuario de WordPress bloqueando su dirección IP para que no acceda a su sitio utilizando el archivo .htaccess. Para hacer esto, copie el código a continuación en su archivo .htaccess.
ordenar permitir, denegar denegar desde 128.476.75.1 permitir desde todos
La dirección IP proporcionada en el código anterior es solo un maniquí. Puede reemplazar estos valores con la dirección IP que desea bloquear. Si tiene varios en lugar de uno, simplemente agregue cada uno individualmente a una línea que se vea así:
deny from 213.546.87.9
Si, en lugar de la dirección IP completa, desea denegar el acceso a un bloque de direcciones IP, simplemente omita el último octeto como se muestra a continuación.
deny from 213.546.87.9
Esto bloqueará todas las direcciones IP de 213.546.87.0 a 213.546.87.255.
1.7 Bloquear el acceso de ciertos dominios a su sitio web
Es posible que no siempre conozca las direcciones IP específicas que le envían spam. Sin embargo, es posible que sepa que estos ataques provienen de enlaces alojados en ciertos dominios maliciosos. .htaccess le permite bloquear a cualquier visitante que haya llegado a su sitio a través de un enlace de dichos sitios maliciosos.
Para bloquear un nombre de dominio, agregue el siguiente código a su archivo .htaccess.
SetEnvIfNoCase Referer "badsite.com" bad_referer Orden Permitir, Denegar Permitir de TODOS Denegar de env=bad_referer
En el código anterior, reemplace "sitio incorrecto" con el dominio que desea bloquear. Sin embargo, cada vez que un usuario intente acceder a su sitio desde un dominio que haya bloqueado, recibirá un mensaje de error y no podrá acceder a su sitio.
2. Solución alternativa
Si bien todas las soluciones anteriores son efectivas para restringir el acceso a archivos y directorios en WordPress, no se puede negar que representan un gran riesgo para su sitio. ¿Por qué? Bueno, porque te estás metiendo con un archivo de configuración muy importante. ¡Incluso un punto inapropiado puede romper la funcionalidad de su sitio! Aterrador, ¿verdad?
Por lo tanto, si no es un experto, es mejor usar un complemento de seguridad del sitio web de WordPress, ya que ayudará a proteger su sitio web. Los complementos de WordPress llamados Wordfence, All In One WP Security y MalCare pueden encargarse de los aspectos de seguridad de su sitio web. Ya sea que se trate de incluir en una lista negra direcciones IP específicas, implementar medidas de refuerzo de sitios web, proteger su página de inicio de sesión, escanear en busca de malware o muchas otras medidas de seguridad esenciales, ¡estos complementos de seguridad lo hacen todo!
Leyendo este artículo:
- Cómo reducir el spam en el formulario de contacto en WordPress
- Ataques XSS en WordPress: cómo prevenirlos
Gracias por leer: AYUDANTE DE SEO | NICOLA.TOP
