¿Cómo proteger WordPress con el archivo Htaccess?
WordPress es la plataforma para diseño web más usada del mundo, siendo una completa herramienta de gestión de contenido CMS, desafortunadamente, dado a lo anterior, también es vulnerable al ser el foco de atacantes y spam, por ello, una adecuada protección y gestión de seguridad es de vital importancia y la protección basada en el archivo htaccess es una de las más eficaces.
¿Para qué sirve el archivo .htaccess?
.htaccess (Hypertext Access) es un archivo usado para configurar los accesos al servidor, pudiendo lograr determinados comportamientos y funciones que necesitemos configurar, tanto nosotros como las funciones de nuestro WordPress, además permite gestionar lo que queremos que sea público o no.
Los destinos más frecuentes para el archivo .htaccess son:
- Blindar un sitio web
- Ejecutar redirecciones
- Crear una página de error 404
- Control de acceso a la web y a carpetas o archivos
- Crear URL amigables
Existen muchas otras funciones más para .htaccess, pero en este artículo, nos concentraremos en lo relacionado a protección WordPress.
¿Cómo configurar el archivo .htaccess?
Para realizar esta configuración recomendamos seguir estos pasos
- Accede a la raíz de tu web, puedes hacerlo a través de tu cuenta cPanel o a través de el uso de FTP y Filezilla, puedes consultar estos artículos (¿Cómo usar el administrador de archivos? – ¿Cómo crear cuentas FTP en cPanel? – ¿Cómo configurar Filezilla?)
- Realiza una copia de seguridad de tu archivo htaccess antes de modificarlo.
- Edita tu archivo .htaccess y añade el contenido a partir de la línea final #END WordPress. Así te aseguras de no afectar ninguna de las instrucciones previas en tu archivo.
Esta es la estructura de un archivo .htaccess (puede variar según sus funciones):
#BEGIN WordPress
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ – [L] RewriteCond
%{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
#END WordPress
Prácticas para proteger tu WordPress con .htaccess.
Limitar los accesos a través de IP:
Esto te servirá para controlar el acceso a la carpeta wp-admin.
Para poder hacerlo, debes crear un archivo .htaccess adicional en la carpeta wp-admin agregando la siguiente instrucción:
order deny, allow
allow from tuip completa (reemplazar por tu dirección propia de IP)
deny from all
Proteger la carpeta wp-content
En esta carpeta se encuentran imágenes, temas y plugin usados por WordPress. Brindar seguridad a esta carpeta es fundamental, ya que aunque se modifiquen los permisos de acceso, sigue siendo vulnerable ante los hackers.
Para restringir el acceso a la carpeta wp-content, debes crear un archivo .htaccess adicional y en la carpeta wp-content con esta otra instrucción:
order deny, allow
deny from all
<Files ~ «.(xml|css|jpe?g|png|gif|js)$»>
allow from all
</Files>
Protege el archivo wp-config.php
En wp-config.php se encuentra información muy importante de tu web, como, por ejemplo, Nombre, Usuario y Contraseña la base de datos.
Por ello, protegerlo es además lo mejor que puedes hacer. Para lograrlo debes agregar el siguiente código a tu archivo .htaccess (para este caso, debes buscarlo el archivo .htaccess en el directorio raíz de tu web):
<Files wp-config.php>
order allow, deny
allow from all
</Files>
Refuerza la seguridad de los directorios:
Los directorios, son una parte lamentablemente muy expuesta y los hackers lo saben. Por suerte, solo es suficiente agregar una línea para proteger tus estructuras de directorios:
options all – indexesProtege tu archivo htaccess
Ya vimos cómo proteger carpetas y archivos de WordPress, pero nada de esto estaría completo sin proteger el mismo archivo .htaccess. Para hacerlo debes añadir esta instrucción al archivo.
<Files ~ «^.*\.([Hh][Tt][Aa])»>
order allow, deny
deny from all
satisfy all
</Files>
Concluyendo
Tomar medidas para proteger nuestro WordPress es muy importante, como habrás visto, no es algo realmente complicado y puedes ahorrarte muchos dolores de cabeza.
En RhinoHosting cuentas con soporte dedicado WordPress, siempre contarás con nosotros ante cualquier situación, además, tus archivos y carpetas están protegidos con copias de seguridad diarias, sin embargo, es tu responsabilidad y una práctica sana, mantener tu web segura y libre de amenazas.
Si requieres ayuda o deseas consultar nuestro equipo de Soporte 24/7, puedes abrir un ticket de gestión, justo AQUÍ.
