icono htaccess

Guía para configurar el .htaccess para mayor seguridad en WordPress

Escrito por Arianna Silva el . Posteado en SEO

Guía para configurar el .htaccess para mayor seguridad en WordPress
4.2 (84%) 5 votes

Guía para configurar el .htaccess para mayor seguridad en WordPress

La culminación de tu sitio Web es una tarea muy importante dentro de tus objetivos SEO y de marketing online, es la básica, por eso hoy en Posicionamiento Web Salamanca queremos darte una guía para configurar el .htaccess para mayor seguridad en WordPress. Es un archivo poderoso que se encuentra en la raíz de tu instalación de wordpress y que puedes usar para reemplazar la configuración de tu servidor y mejorar la seguridad y desempeño de la misma. Sigue leyendo y aprende más sobre este tema.

Hablemos de lo básico, ¿qué es .htaccess?

.htaccess es en inglés “hypertext access” o acceso a hipertexto en español.

Es un archivo dentro dentro de la instalación de tu Web que puedes modificar con las directivas correctas, podrás permitir o prohibir funcionalidades y configuraciones para proteger a tu sitio del spam, de los hackers y otras amenazas.

Algunas de estas características son redirecciones básicas, bloquear el acceso a carpetas específicas, optimizar las URLs, pero también hay opciones más avanzadas, como protección con contraseñas para algún contenido, o prevenir el hotlinking de imágenes.

El archivo .htaccess está localizado en la raíz de tu sitio, en WordPress este fichero es usado para facilitar los enlaces permanentes y se crea automáticamente cuando la opción de enlaces amigables está activada, puedes hacer con este archivo redirecciones 301, o incluir reglas para prohibir la entrada de agentes que pueden amenazar tu Web.

Un archivo de cuidado

En el archivo .htaccess hay que ser muy cuidadoso, ya que cualquier error de sintaxis puede dañar todo tu sitio, no se trata de que te asustes a la hora de hacer alguna modificación ahí, pero sí de que tengas cuidado a la hora de hacer alguna configuración en tu WordPress.

Debes hacer un respaldo del archivo antes de llevar a cabo cualquier cambio, así tendrás un soporte si algo sale mal, y rápidamente podrás restaurar tu archivo htaccess y volver a cómo estaba antes. Se recomienda descargar una copia de tu fichero .htaccess a tu ordenador  con cPanel, luego de loguearte, yendo a Archivos -> Administrador de Archivos. O via ftp.

Sigue la guía para configurar el .htaccess para mayor seguridad en WordPress

Ahora, vamos a los puntos de la configuración de este fichero. Recuerda que cuando estás editando tu archivo es importante que notes que las líneas comienzan con un hashtag (#) son los comentarios, y no están incluídas en la regla. Al momento de añadir reglas, es básico que las incluyas encima o debajo de la regla por defecto de WordPress.

Noticia relacionada  Wordpress y el posicionamiento web

No deberías añadir nada entre los # BEGIN WordPress y # END WordPress.

Para editar tu archivo hay muchas opciones, una es hacerlo directamente en el cPanel, para muchos este es el más fácil. Debes ir al cPanel en Archivos -> Administrador de Archivos y escoge que muestren los archivos ocultos (Show Hidden Files), luego ir a la raíz de tu sitio y hacer click en tu fichero .htaccess. Después haz click en Editar, incluye lo que desees. ¡No olvides guardar (hacer clic en Save) una vez que hiciste los cambios!

Las otras opciones son editar a través del FTP, también puedes usar el SSH para hacer los cambios. Recuerda que sin importar qué método uses, debes actualizar tu sitio inmediatamente después de hacerlos, y si notas algún error, puedes usar el respaldo y volver a la configuración anterior.

El método más seguro en via FTP o SSH, con una copia seguridad hecha previamente y guardada a buen recaudo en el pc, como deciamos anteriormente.

Protege archivos importante

Con este truco podrás proteger tu fichero .htaccess. Este es uno de los mayores beneficios de aprender a modificar tu archivo .htaccess, junto con sus registros de errores, el wp-config.php y los archivos php.ini. Si sigues las siguientes instrucciones, cualquier intento de acceso a esos archivos será negado. (Revisa cómo esté nombrado tu php.ini, puede ser que no tenga ese nombre sino php5.ini, entonces cambia el nombre en la siguiente regla).

protege archivos importantes

Restringir acceso al Escritorio de Admin

Modificando el archivo podrás restringir el acceso al Escritorio del admin y a la página de inicio de sesión, reglas tomadas de https://premium.wpmudev.org:

Si tienes una IP fija:

si tienes ip fija

Las primeras dos líneas redireccionan direcciones IP no autorizadas a tu página de error 404. Esto también ayuda a resolver cualquier hueco en la redirección para que su sitio no parezca que está caído. Sólo asegúrate de editar ambos casos de /path-to-your-site/ a la ruta real de su sitio. Reemplaza donde dice IP Address One, Two y Three, por las direcciones IP a las que realmente quieras dar acceso, si quieres usar solo una línea de direcciones borra las otras y si quieres agregar más también puedes.

Si tú u otros usuarios tiene IP dinámicas:

Ip dinamicas

Tampoco olvides cambiar /path-to-your-site/ a la ruta real de tu sitio, al igual que cambiar your.site.com por el dominio real.

Este punto es importante ya que muchos hackers usan bots para tratar de acceder a tu escritorio o iniciar sesión externamente, al añadir esto solo dejarás entrar a las personas que tu quieras a tu backoffice. No bloqueará hackers que intentan entrar manualmente adivinando los detalles de acceso de alguno de tus usuarios.

Evitar que vean tu directorio

Si no realizas esta acción cualquier visitante con un poco de conocimientos Web podrá acceder a tu directorio, si escriben tu dominio y luego un directorio en la barra de su navegador. Y es que por la estructura de archivos de WordPress nada bloquea que las personas puedan entrar a tu-sitio.com/wp-content-uploads y ver una lista de tus carpetas y archivos.

Noticia relacionada  Cómo añadir mi negocio en Apple Maps

¿No lo sabías? Bueno no querrás que siga pasando, ya que haces mucho más fácil el acceso de hackers a información importante de tu Web, es una simple línea que tienes que agregar a tu .htaccess:

Options All -Indexes

Restringir el acceso a archivos PHP

Al igual que el punto anterior, que personas maliciosas vean tus archivos PHP es un gran error. Mientras más difícil sea para los hackers encontrar archivos como este, será mejor para la seguridad de tu sitio en WordPress, evitarás que incluyan códigos maliciosos en tu Web.

Puedes añadir las siguientes líneas de Acunetix para bloquear el acceso directo:

restringir acceso php

Restringe la ejecución de archivos PHP

Prevenir la ejecución de archivos PHP también es un excelente uso del fichero .htaccess, por si te hackean y alguien entra a tu sitio, no podrán subir su propio archivo PHP con códigos maliciosos. Estarías poniéndole más obstáculos a aquél que quiera entrar en tu sitio.

Añade el siguiente código:

restringe la ejecucion archivo PHP

Evita la enumeración de nombres de usuario

Si un visitante ingresa en su barra del navegador la dirección tu-sitio.com/?author=1 serán llevados a la página del autuor cuyo ID de usurio es uno, en esa página verán el nombre de usuario asociado con ese número, entonces, podrán ver todos los nombres de usuario, esto si tienen cualquier post asociado con su cuenta. Esto se conoce como enumeración de nombres de usuario.

Si un hacker consigue tu nombre de usuario tiene parte del camino allanado para hackearte, ya que solo le falta adivinar la contraseña, claro, si alguien usa una buena contraseña será difícil adivinarla..

Para prevenir la enumeración, incluye el siguiente código en tu archivo .htaccess.

RewriteCond %{QUERY_STRING} author=d
RewriteRule ^ /? [L,R=301]

Protege tu sitio contra las inyecciones de scripts

Cambiar tu archivo .htaccess para evitar la inyección de códigos maliciosos en tus archivos PHP es fácil con estos códigos. ¿Por qué hacerlo? Porque muchos hackers tratan de hacer cambios en tu WordPress para inyectar estos códigos maliciosos, añade los siguiente a tu .htaccess y evita estos cambios.

Protege tu sitio contra las inyecciones de scripts

Ya conoces un poco más sobre como configurar el .htaccess para mayor seguridad en WordPress, hoy en día es importante aumentar la seguridad de tu Web para evitar ser víctima de hackers. Otro truco SEO importante es aprender a desactivar la firma del servidor.

¿Te gustó nuestro post?
Compártelo con tus amigos en tus redes sociales para que también puedan aprovechar estos consejos.

Etiquetas:

Arianna Silva

Arianna Silva

Licenciada en Comunicación Social. Redactora. Jefa del departamento redacción y contenidos y SEO Junior en Posicionamiento web Systems S.L de JesusLopezSEO®
Leer entrada anterior
Qué es keyword stuffing y cómo evitarlo
Qué es keyword stuffing y cómo evitarlo

En Posicionamiento Web Salamanca te explicamos qué es keyword stuffing y cómo evitarlo. Se trata de una práctica negativa que...

Cerrar