WordPress es un sistema seguro y fiable, no obstante WordPress está compuesto por miles y miles de themes y plugins tanto de pago como gratuitos, y es por eso que es imposible que pueda incluir todas y cada una de las medidas de seguridad que son necesarías para proteger bien una página web.
Qué es el fichero .htaccess
Pues la definición técnica la puedes encontrar en Apache, que basicamente viene a decir algo así:
“Los ficheros .htaccess (o “ficheros de configuración distribuida”) facilitan una forma de realizar cambios en la configuración en contexto directorio. Un fichero, que contiene una o más directivas, se coloca en un documento específico de un directorio, y estas directivas aplican a ese directorio y todos sus subdirectorios.”
La definición no lo deja muy claro, pero vamos a ver para que utiliza el fichero .htaccess en WordPress, en general se utiliza para que el servidor configure los links permanentes amigables. No obstante, hay muchas más cosas que puedes hacer con el fichero .htaccess, como crear redireccionamientos, incluir reglas para bloquear a los visitantes no autorizados, permitir o quitar acceso a determinados directorios y ficheros, o bien banear direcciones IP sospechosas.
El fichero .htaccess se halla en la raíz de la instalación de tu página web.
Este fichero es bastante útil, sobre todo tratándose de fortalecer la seguridad de tu sitio contra los intrusos que procuran espiar tu contenido o bien piratear tu WordPress.
Trucos .htaccess en WP
En este tutorial vamos a editar el fichero .htaccess para aplicar nuevas reglas y directrices. Si no te sientes cómodo editando los ficheros puedes hacerlo por medio de plugins aunque lo primero y más esencial que debes de hacer es guardar una copia de este fichero.
En cualquier caso te invitamos a crear un backup completo de los ficheros de tu sitio así como de la base de datos para resguardar tu contenido.
Protegiendo el Fichero wp-config.php
Este es el fichero más sensible de tu sitio , que es el que tiene la configuración de tu página web. Wp-config.php guarda los credenciales de acceso a la base de dato y más datos sensibles que puede poner en peligro tu instalación.
<files wp-config.php> order allow,deny deny from all </files> |
Con este código te bloqueará cualquier acceso sobre ese fichero, es importante salvar el fichero wp-config.php contra cualquier acceso no autorizado.
Bloquear escaneo de Usuarios
El ataque más popular y fácil que emplean los piratas informáticos para acceder a tu sitio es el ataque de fuerza salvaje, donde primero cuentan todos y cada uno de los usuarios que están registrados en el lugar.
Para fortalecer la seguridad de tu sitio, uno de los trucos htaccess más beneficios en este tema es bloquear el escaneo de usuarios.
# BEGIN bloquear escaneo de usuarios RewriteEngine On RewriteBase / RewriteCond % undefined (author=\d+) [NC] RewriteRule .* - [F] # END bloquear escaneo de usuarios |
Con este código en el fichero .htaccess de tu instalación bloquearás todos los intentos de búsqueda y recuento de usuarios registrados en el lugar. De esta manera dismuyen el peligro de ataque drásticamente.
Deshabilitar el acceso a XML-RPC
WP ofrece una API que te deja conectar aplicaciones de terceros a tu sitio para conseguir una determinada información, publicar utilizando otra plataforma, en definitiva te ofrece muchas posibilidades para poder conectarte en remoto a tu página web.
No obstante esta tecnología puede ser un problema grande en tu seguridad puesto que se puede usar para ejecutar ataques DDoS a través de el fichero xmlrpc.php de la instalación.
Por seguridad, te invitamos a deshabilitar XML-RPC si no la empleas para conectar tu lugar con otras aplicaciones.
# Bloquear solicitudes a xmlrpc.php <files xmlrpc.php> order deny,allow deny from all </files> |
Este código es uno de los trucos htaccess más empleados por el hecho de que está relacionado de manera directa con la protección y seguridad de tu lugar.
Con este código bloqueas en el fichero .htaccess bloqueas el acceso al fichero xmlrpc.php a cualquier persona.
Si no utilizas conexiones a terceros que utilicen el fichero XML-RPC en tu WordPress, entonces lo mejor que puedes hacer es bloquearlo ya que es un buen coladero de seguridad.
Redirecciones 301
Los fallos de página no encontrada 404 jamás son buenos, ni para los visitantes que ven una imagen negativa de tu sitio, ni para los buscadores web, que pueden rebajar la clasificación de tu lugar en los resultados de la búsqueda.
De ahí que existen el redireccionamiento 301 y el redireccionamiento temporal 302, con los que puedes indicar tus intenciones de redireccionamiento a los buscadores de una forma muy sencilla, y todo esto utilizando el fichero .htaccess
# Redirecciones temporal 302 Redirect 302 /antigo-post http://www.tu-dominio.com/url-temporal # Redirecciones fija 301 Redirect 301 /antigua-url http://www.tu-dominio.com/nueva-url Redirect 301 /categoria/antigua-url /categoria/nueva-url |
Uno de los trucos htaccess que más se usan en este fichero es hacer redireccionamiento de las páginas que ya no existen o bien que hayas actualizado y cambiado en tu página web.
Proteger el Panel de Administración de tu wp
Las páginas de acceso al panel de control wp-admin y wp-login.php, la segunda te llevará a la primera después de logearte, por lo que podemos ver todo el sistema de administración de wp cuelga sobre la carpeta wp-admin.
Uno de estos trucos htaccess que vamos a ver el día de hoy es de qué forma guardar y/o limitar el acceso a la administración, para reducir el peligro de ataques por fuerza bruta intentando una y otra vez validar tu contraseña y poder acceder al panel de administración
# Limitar acceso wp-admin por IP order deny,allow deny from all allow from xx.xx.xx.xxx |
Con en este código ejecutamos una orden a través de el fichero .htaccess para rechazar el acceso al panel de WordPress a cualquier dirección IP salvo la que incluimos en la regla, que debería ser la nuestra. También puedes poner rangos de ips, o liberar múltiples ips.
De esta manera nadie con IPS diferentes a las que hayas puesto podrá acceder al panel de administración, únicamente aquel que lo haga desde un dispositivo que utilice esa dirección IP.
Banear Dirección IP en WP
De manera predeterminada todos las IPs pueden visitar tu wp, y también intentar acceder a sus ficheros o al panel de administración.
No obstante, ciertas personas aprovechan esto para desarrollar actividades sospechosas en tu página web con la intención de generar algún problema o generar alguna vulnerabilidad. Si detectas esas IPs siempre puedes bloquearlas y así impedir que ese “pesado” siga adelante con sus intentaciones.
Para bloquear IPs o rangos de IPs desde el fichero htaccess tendrías que hacer lo siguiente:
order allow,deny deny from 187.56.84.5 deny from 147.158.65.x allow from all |
Uno de los trucos htaccess que podemos utilizar para banear y bloquear direcciones IP concretas a fin de que no puedan explorar o bien ver tu sitio es este código una vez por todas y cada una.
Proteger el propio fichero .htaccess
Con todos estas recomendaciones para proteger tu instalación wp, vamos a dar paso a una recomendación para proteger el propio fichero htaccess, sería así:
<files .htaccess> order allow,deny deny from all satisfy all </files> |
Con este código resguardamos el fichero .htaccess contra cualquier intento de acceso no autorizado. Lógicamente como administrador de la instalación proseguirás teniendo acceso al mismo a través de FTP o de tu cpanel.
La seguridad integral de tu pagina web no se restringe solo al fichero .htaccess, pero si hablamos de seguridad nos podríamos extender post y post sobre ello. En esta píldora hemos hablado exclusivamente de recomendaciones de seguridad para el fichero .htaccess, espero que te haya sido útil.