Saltar al contenido

Como Proteger WordPress con htaccess

WordPress es el CMS más popular del mundo con más del 22% de sitios web que lo usan, dicho esto ¿sabes que tan segura es su instalación? En este artículo te voy a mostrar cómo proteger wordpress con htaccess.

Si te preguntas porque elegir wordpress, WordPress cuenta con una gran comunidad activa que contribuye con plugins, temas y arreglos al CMS, pero el ser tan grande también implica tener a mucha gente buscando errores o fallos para atacar a WordPress. Entonces ¿Cómo puedes proteger tu wordpress? Los plugins entran en acción.

Tu trabajo como el de todos los que usamos WordPress es mantener tu sitio a salvo de personas que no quieres que tengan acceso al sitio (hackers). Existen numerosos plugins para ayudar a implementar la seguridad para WordPress, plugins como Login LockDown que registra la IP y la bloquea luego de un número determinado de intentos de conexión fallidos al wp-admin.

Otra opción es el plugin WP Security Scan que escanea tu wordpress en busca de vulnerabilidades y te sugiere posibles métodos para la corrección de cualquier fallo que pueda encontrar.

wp-security-scan

Y existen muchos plugins de seguridad que puedes usar para aumentar la seguridad de tu wordpress, además de los plugins existen otras maneras para mantener tu wordpress seguro como la actualización constante a la última versión (mucha gente sigue con versiones anteriores), que te garantiza tener los últimos parches de seguridad y correcciones de wordpress, también recuerda eliminar los archivos readme.html y license.txt para evitar que vean la versión de WordPress que tienes instalada.

Otra buena manera de asegurar tu wordpress es mediante el uso del archivo .htaccess y es justamente lo que te mostraré.

Proteger wordpress con htaccess

Aparte de los plugins existen una serie de configuraciones que puedes hacer en tu archivo .htaccess para que en conjunto con los plugins y las actualizaciones constantes puedas reforzar la seguridad de tu wordpress y darle un nivel de protección extra.
Te voy a compartir algunos de las configuraciones que creo que ayudan más a proteger algunos de los elementos esenciales de tu wordpress y te mostraré cómo y dónde agregarlos, no tienes que utilizar todos, puedes usar los que sientes que te ayudarán a proteger wordpress con htaccess.

Comenzamos con un archivo .htaccess típico de wordpress

# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ – [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress

Toda configuración que agregues al archivo .htaccess colócalo debajo de la última línea de código “#END WordPress” para tener todo ordenado. Además realiza un backup de tu archivo .htaccess por si algo te llega a salir mal.

Proteger wp-config.php

El archivo wp-config.php es uno de los archivos más importantes de tu WordPress en él tienes los datos de conexión a tu base de datos, obviamente no quieres que nadie pueda ver ese archivo, para ello solo debes agregar el siguiente código:

<Files wp-config.php>
order allow,deny
deny from all
</Files>

Esto bloquea el acceso a cualquier persona desde el navegador.

Limitar acceso al wp-admin

Puedes limitar el acceso al panel de administración de wordpress por IP, es decir puedes indicar que IP si puede acceder al wp-admin, para esto se necesita crear un nuevo archivo .htaccess y subirlo a la carpeta wp-admin, el archivo tiene que tener este código:

order deny,allow
allow from 202.090.21.1 (tu ip)
deny from all

Este código bloquea el acceso a todas las ips del mundo y solo permite el acceso a la ip que figura en “allow from”, recuerda colocar allí tu ip pública, además ten en cuenta que si tienes una ip dinámica tendrás que modificar ese archivo constantemente para colocar la nueva ip o se te negará el acceso.

Bloquear la navegación por directorios

Como WordPress es tan popular mucha gente conoce cómo es la estructura de WordPress y sabe dónde mirar para descubrir que plugins de los que estas usando o cualquier otro archivo podría dar demasiada información sobre tu sitio web. Por ejemplo la estructura de archivos subidos en wordpress es misitio.com/wp-content/uploads/año/mes/archivo, si accedes a la url del directorio solamente misitio.com/wp-content/uploads/año/mes verás todos los archivos subidos en ese directorio. Una manera de solucionar esto es usando este código en tu archivo .htaccess

# directory browsing
Options All -Indexes

Bloquear el acceso al wp-content

El directorio wp-content contiene imágenes, templates y plugins, que son archivos muy importantes para el correcto funcionamiento de tu WordPress, por ello tiene mucho sentido evitar que los hackers tengan acceso a los archivos php de este directorio, los demás archivos si pueden y tienen que visualizarse. Para ello crea otro archivo .htaccess y pegalo en el directorio wp-content, el archivo debe contener este código:

Order deny,allow
Deny from all
<Files ~ «.(xml|css|jpe?g|png|gif|js)$»>
Allow from all
</Files>

Este código lo que hace es bloquear el acceso al contenido de wp-content a todo el mundo y solo permite el acceso a los archivos con las extensiones indicadas, si tienes archivos con otras extensiones que deseas que se puedan visualizar (como archivos .pdf) solo agrega dicha extensión.

Proteger al archivo .htaccess

Aunque suene raro, pues claro, se supone que .htaccess protege a nuestro wordpress, pero ¿Quien protege a htaccess?, las personas pasan tanto tiempo preocupándose por tener los mejores plugins de seguridad instalados que pasan por alto el hecho de que el archivo .htaccess está abierto a ataques.

Para proteger nuestro archivo htaccess vamos a pegar el siguiente código en nuestro archivo .htaccess, es decir .htaccess se protege solo:

<Files ~ «^.*\.([Hh][Tt][Aa])»>
order allow,deny
deny from all
satisfy all
</Files>

Lo que hace este código es que bloquea el acceso a todas las personas a archivos que comienzan con “.hta”, es decir nadie podrá ver ningún archivo que comience con “.hta”, esto ayudará a que el archivo .htaccess esté un poco más seguro.

En este artículo he cubierto algunas formas de proteger wordpress con htaccess, hemos visto como prohibir el acceso a la carpeta wp-admin, como evitar que naveguen por los directorios, como proteger el archivo wp-config.php entre otras cosas.

¿Quieres un WordPress seguro todo el tiempo? Entonces compra nuestro paquete de hosting wordpress, te ofrecemos la máxima seguridad las 24 horas del día!

Entradas relacionadas

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Comentarios (9)

Excelente artículo!

Os he dejado el enlace a un artículo que escribí para hacer seguro WordPress a través de plugins y cosas menos técnicas como la que habéis descrito pues vuestro artículo me parece un gran complemento.

Un abrazo!

Responder

Nos alegra que te guste el artículo Iberzal 😀

Responder

Excelentes tutoriales!. Los temas son abordados con simpleza y las explicaciones brindadas, son claras y precisas, la mezcla perfecta para entender ciertos contenidos con distintos niveles de complejidad. Adelante y Felicitaciones! Grandes augurios para este 2015.

Responder

Muchas gracias por tus palabras José, nos confirma que estamos haciendo las cosas bien. Los mejores éxitos para ti también.

Responder

Tanta seguridad no afecta al SEO.?

Responder

Para nada Fabricio.

Responder

Hola y gracias por tan interesantes y útiles recomendaciones. En el caso de «Bloquear el acceso al wp-content» tuve que eliminarlo pues de la página web solo cargaba el fondo de la misma. Por lo demás todo muy bien.

Responder

Muy buenas, gracias por sus códigos, en mi pagina funcionan todos, eres un crack.

Responder

Order deny,allow
Deny from all

Allow from all

Bloquea la web al completo. Como bien dice @Alan Jaén.

Saludos.

Responder