Cuando utilizamos un CMS como columna vertebral de nuestro Sitio Web, debemos tomas todas las medidas necesarias con vista a mejorar la seguridad del mismo, en este artículo podrás encontraras 5 tips que te serán muy útiles a la hora de reforzar la seguridad de un sitio que utilice el CMS WordPress.
¿Qué es .htaccess?
Un fichero .htaccess (hypertext access), también conocido como archivo de configuración distribuida, es un fichero especial, popularizado por el Servidor HTTP Apache que permite definir diferentes directivas de configuración para cada directorio (con sus respectivos subdirectorios) sin necesidad de editar el archivo de configuración principal de Apache.
Protegiendo wp-config.php
Uno de los archivos más importantes de tu instalación de WordPress es el archivo wp-config.php.
Este archivo se encuentra en la raíz de tu directorio de archivos de WordPress y contiene detalles de configuración de la base de tu sitio, como las claves de seguridad de WordPress y la información de conexión de base de datos. Esta información, por supuesto, es sensible y cualquier persona que acceda a ella puede meterse con su sitio.
Usted puede proteger su archivo wp-config.php agregando el siguiente fragmento de código en el archivo htaccess.:
<files wp-config.php>
order allow,deny
deny from all
</files>
Prevenir la navegación por directorios
Proteger sus directorios de ser listados, mejora, la seguridad por oscuridad. Es decir, se está escondiendo sus cosas de la vista, lo que impide a los visitantes entrometidos la navegación través de tus directorios. En realidad, es el equivalente web de esconder su dinero bajo el colchón.
Aún así, es una buena práctica para evitar la exploración de directorios, junto con la aplicación de otras medidas para proteger su sitio.
Para deshabilitar la exploración de sus directorios, añadir esto a su archivo htaccess.:
Options All -Indexes
Prevenir Image Hot Linking
Hotlinking, o el robo de ancho de banda, que pasa con la gente que enlaza los archivos y las imágenes en un servidor diferente, y el ancho de banda es a costa de otra persona.
Añadiendo este fragmento a su archivo .htaccess se detendrá hotlinking a su sitio:
RewriteEngine On
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http://(www.)?yourdomain.com/.*$ [NC]
RewriteRule .(gif|jpg)$ http://www.yoursite.com/hotlink.gif [R,L]
Tendrá que cambiar usted yoursite.com a su nombre de dominio, y cambiar hotline.gif a un archivo de imagen en su servidor que explica hotlinking está desactivado en su sitio.
Restringe el acceso al área de administración
Hay varias maneras diferentes con la que usted puede proteger el área de administración de WordPress (directorio wp-admin de los hackers)
Una forma sencilla de restringir el acceso es si usted tiene una dirección IP fija y siempre accede a su sitio desde el mismo lugar, es mediante la creación de una regla en archivo .htaccess con el siguiente fragmento:
order deny,allow
allow from 192.168.5.1
deny from all
Cambie la dirección IP a su propia dirección IP (se puede averiguar su dirección IP en http://www.whatismyip.com/ si aún no lo sepa) Luego cargar el archivo en la carpeta / wp-admin de su sitio.
Esto le permitirá tener acceso a área de administración de su sitio, y bloqueará todos los demás accesos que no sean desde la IP fijada.
Usted puede agregar direcciones IP adicionales para otros administradores de su sitio, o incluso de otros lugares que utiliza para acceder a su sitio, esto se puede hacer mediante la adición de líneas de «allow» extra o lista de direcciones IP y separándolas con comas, es decir, permite que desde 192.168.5.1, 192.168.9.2, 192.168.3.4
Proteja su archivo .htaccess
No tiene sentido la protección de los archivos de su sitio si no protegemos el archivo .htaccess, ya que podría estar abierto a un ataque. Cuando un usuario intenta acceder a su archivo .htaccess, el servidor genera automáticamente un error prohibido 403, incluso con los permisos de archivo en su configuración predeterminada.
Usted puede apretar su seguridad agregando el siguiente código en su htaccess:
<Files .htaccess>
order allow,deny
deny from all
</Files>
Espero que el artículo les sea de utilidad, incluso hay algunos códigos que los podemos adaptar a desarrollos propios.
Vía: wpmudev
@JPPM A.G.A.
Saludos
Cada días estas mas corto de palabras, ahorrativo.
A.G.A. = Another good article
Saludos
Añadido a favoritos !!!. Saludos.
Siempre es bueno tener las informaciones necesarias para mejorar la seguridad de nuestros sitios webs.
estoy de acuerdo con tigo
alguien me puede comentar sobre esto q no entiendo nada
Estas instrucciones son para colocar en un archivo que lleva como nombre .htaccess que se utiliza en el servidor Apache, el mismo permite hacer modificaciones en la configuración del servidor creando reglas que son de mucha utilidad para los webmasters.
Es solo crear el archivo .htaccess y ponerle las configuraciones?