Seguridad de WordPress a través del archivo .htaccess

Uno de los archivos importantes en WordPress es el archivo .htaccess. Esto permitirá a los usuarios acceder al sitio web según las reglas. Esta guía le dirá todo lo que necesita saber sobre el archivo .htaccess de seguridad de WordPress.

Aquí veremos por qué puedes utilizarlo a tu favor. Empezaremos con lo que .htaccess para las personas que no tienen idea al respecto y luego veremos todas las demás cosas que importan. Esto incluirá un par de trucos mediante los cuales podrá mejorar la seguridad del sitio web.

Comencemos con la guía.

¿Qué es el archivo .htaccess de seguridad de WordPress?

Al principio, veremos qué es el archivo .htaccess. Es un archivo del sistema que viene en todos los sitios web. Él no importa qué sitio web CMS estés usando, ya sea WordPress o cualquier otro, tendrás un archivo .htaccess donde se almacenan todas las cosas.

Hay algunos de los reglas establecidas en el expediente. Estas reglas te lo dirán cómo verán los usuarios el sitio web. Si el .htaccess no permitirá que el visitante acceda al archivo, nadie podrá acceder al archivo. Por lo general, existen reglas que impedir que las personas accedan a las páginas principales de administración del sitio web.

Sin embargo, sólo incluye seguridad básica. Seguramente puedes mejorar la seguridad agregando más reglas.

Veremos las mismas reglas aquí. Cuando siga todo esto e implemente estas reglas, obtendrá una mejor seguridad aquí: archivo .htaccess de seguridad de WordPress.

¿Cómo cambiar/agregar un archivo .htaccess?

Veremos cómo cambiar/agregar el archivo .htaccess. Si abre el administrador de archivos, no verá ningún archivo llamado .htaccess. La sencilla razón de esto es que es un archivo del sistema.

Los archivos del sistema suelen estar ocultos. de todos los demás archivos. Por lo tanto, no verá el archivo. Para ver el archivo, tendrás que seguir ciertos procedimientos.

Para hacer eso, simplemente puedes Abra el administrador de archivos y luego haga clic en la configuración. icono que se puede ver en la barra superior. Al hacer clic en el botón de configuración, tendrá la opción de mostrar todos los archivos ocultos.

Simplemente puede hacer clic en mostrar archivos ocultos y le mostrará la lista completa de archivos ocultos. Estos son los archivos que tienen (.) delante de su nombre. Por ejemplo, no verás el Archivo htaccess. En cambio, es Archivo. Htaccess.

Una vez que vea el archivo, podrá descargar. La razón por la que le pedimos que descargue el archivo es con fines de copia de seguridad. ¿Qué pasa si algo sale mal y terminas borrando cosas importantes? Hay muchas posibilidades de que su sitio web falle si algo sale mal. Si ya tiene una copia de seguridad, puede restaurarla rápidamente en un minuto.

Por lo tanto, puedes descargar el archivo y listo. Mantenlo seguro en algún lugar de tu computadora.

Modificación del archivo: archivo .htaccess de seguridad de WordPress

Ahora, hablemos de modificar el archivo. Tu puedes fácilmente modifíquelo haciendo clic derecho en el archivo y luego tendrás que hacer clic en el botón “Código editar" botón. Cuando hagas eso verás el archivo abierto en otra pestaña. Aquí es donde puedes realizar los cambios.

Lo único que tienes que hacer es añadir el código donde te indiquemos. te sugerimos agregar todo al final del archivo. De esta forma sabrás cuáles son los cambios que has realizado.

También puedes descargar el archivo y ábrelo en el editor de código para editar el archivo.. Incluso notepad++ hará el trabajo. Si descarga el archivo y luego lo edita, también debe cargar el archivo una vez editado. También, asegúrese de tener otra copia del archivo original como copia de seguridad. Puedes guardarlo en una carpeta diferente. De esta forma, los dos archivos no se mezclarán. Si los archivos están mezclados, te confundirás y no podrás hacer las cosas. Por lo tanto, tendrás que asegurarte de haberlos agregado en el lugar correcto.

Limitar el acceso

Seguramente puedes limitar el acceso por dirección IP. De forma predeterminada, todos pueden acceder a la página de administración. Hay una manera de limitar esto. Es simplemente agregar un nuevo código de dirección IP en el archivo .htaccess. Cuando haces esto, sólo su dirección IP estará en la lista blanca y todos los otros estarán en la lista negra.

Por lo tanto, sólo tú podrás acceder a la página y nadie más. Hay un gran riesgo que viene con esto. Cuando se bloquear todas las direcciones IP, también estás bloqueando todo el acceso a la página. En caso de que cambie su dirección IP, tendrá problemas. Además, si abandona el lugar y se va a trabajar a otro lugar, su dirección IP puede cambiar según la red.

Si la persona utiliza datos móviles, la dirección IP no cambiará. Del mismo modo, si la persona está utilizando Wifi para acceder al sitio web, la dirección IP cambiará.

uthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
# whitelist Syed's IP address
allow from xx.xx.xx.xxx
# whitelist David's IP address
allow from xx.xx.xx.xxx
</LIMIT>

Denegar acceso a Wp-config

Ahora bien, esta es otra cosa interesante que puedes hacer. Wp-config es el archivo donde almacenas todas las cosas. Es el archivo de base de datos donde puede configurar el archivo. Cosas como las de tu sitio web Las contraseñas de la base de datos se guardan aquí..

Si alguien obtiene acceso aquí, estarás en problemas. Es posible que obtengan acceso fácilmente a la base de datos y que puedan cambiar muchas cosas en el sitio web.

Por tanto, veremos ¿Cómo puedes proteger ese archivo?. Aquí no necesita preocuparse ya que el archivo siempre está seguro. Si el archivo es seguro, nadie tendrá acceso aquí. Sin embargo, siempre puedes estar más seguro agregando algún nivel de seguridad aquí.

Cuando agrega una capa adicional de seguridad, puede estar seguro de que su sitio web es seguro y que nadie tiene acceso a ninguna de estas cosas: el archivo .htaccess de seguridad de WordPress.

Por suerte, hay un pequeño código que puedes agregar a su archivo .htaccess. Cuando agrega el código pequeño en el archivo, puede proteger su sitio web. El código le indicará al servidor que niegue todas las conexiones a ese archivo. De esta forma, no tendrás que afrontar ningún problema.

Aquí está el código que puede agregar al archivo .htaccess. Si agrega este código, su sitio web será más seguro. Como hemos mencionado antes, siempre agregue el código después de las otras líneas. De esta forma, podrás eliminarlo cuando sea necesario.

<files wp-config.php>
order allow,deny
deny from all
</files>

Evite que otros sitios web roben su ancho de banda

Esto podría requerir un poco más de contexto antes de comenzar con el código. Primero veremos cuál es el problema principal aquí y luego veremos cómo solucionarlo.

Supongamos que tiene un sitio web en el que publica una gran cantidad de contenido de forma regular. Si también publicas imágenes, Mucha gente te robará imágenes.. A la mayoría de la gente no le importa robar una o dos imágenes. Sin embargo, el problema comienza cuando copian el archivo.

Si alguien simplemente presione el botón copiar haciendo clic derecho en la imagen y luego colocarlo en su sitio web, tendrás que sufrir. Ahora, si alguien visita su sitio web, las la imagen se cargará desde su servidor y no desde su servidor. ¿Sabes que esto es un problema para ti?

Están utilizando tus recursos y mostrando tu imagen.. Si tiene un ancho de banda limitado o tiene recursos limitados en su servidor, podrías agotarlo pronto. Incluso si no lo tienes, debes detener esto.

Si la carga del servidor aumenta, tu sitio web podría caerse. Para las personas que utilizan alojamiento en la nube, es posible que deban pagar costos adicionales.

Por eso siempre es mejor evitar que la gente use su recurso y utilice un par de estrategias para detenerlos.

Afortunadamente, la seguridad .htaccess puede ayudarte y evitar que otros sitios web utilicen tus recursos aquí. El trato es bastante simple y cualquiera puede hacerlo.

Puedes simplemente agrega el código a tu sitio web y listo. Si, es tan simple como eso. Todo lo que necesitas hacer es agregar el código en tu archivo htaccess.

Aquí está el código que necesita agregar.

#disable hotlinking of images with forbidden or custom image option
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www.)?yourdomain.com
RewriteCond %{HTTP_REFERER} !^http(s)?://(www.)?google.com
RewriteRule .(jpg|jpeg|png|gif)$ –

No olvide reemplazar example.com con su sitio web. Cuando hace esto, puede estar seguro de que su sitio web funcionará bien sin ningún problema.

Detener todos los escaneos del autor

Seguramente ya lo sabes. El El nombre de usuario de cualquier sitio web es el mismo que la URL del autor.. Veamos un ejemplo aquí. Si tiene un autor llamado "Editor", la URL de ese automóvil será ejemplo.com/autor/editor. Aquí, la última frase es el nombre de usuario de la persona.

Uno puede fácilmente ejecutar un escaneo donde puedan conocer a todos los autores. Cuando ellos ven a conocer los detalles de todos los autores, será bastante más fácil hackear el sitio web.

Si alguien planea realizar un ataque de fuerza bruta, puede fácilmente estaré usando lo mismo aquí. Ahora, en la fuerza bruta es donde tendrá que ejecutar varias combinaciones tanto en el nombre de usuario como en la contraseña. Todo esto pasa al siguiente nivel cuando ya se cual es el nombre de usuario.

¿Qué pasa si tienen un par de nombres de usuario donde pueden probar la contraseña? Podría resultarles más fácil escanear y ejecutar el ataque de fuerza bruta. Además, podría tratarse de un tipo de violación de la privacidad. Por lo tanto, siempre puedes asegurarte de que estás utilizando la configuración correcta para el archivo .htaccess de seguridad de WordPress.

Aquí está el código adicional que puede agregar para detener todos los escaneos del autor.

# BEGIN block author scans
RewriteEngine On
RewriteBase /
RewriteCond %{QUERY_STRING} (author=d+)
RewriteRule .* -
# END block author scans

Acceso al directorio

El acceso al directorio es donde obtendrá acceso al directorio. Es posible que hayas visto un par de Google idiotas listas donde podrás ver que algunas personas también pueden acceder directamente al directorio del sitio web.

Es posible que vea que el "Directorio de padres" estarán accesible directamente al usuario. Si el usuario puede acceder directamente al directorio principal, puede descargar casi todas las cosas en el sitio web. Todos los archivos serán directamente accesibles para la persona que tenga acceso al archivo.

Por lo tanto, seguramente puede desactivar el acceso al directorio desde el archivo. De esta manera, uno podrá acceder directamente al directorio del sitio web: el archivo .htaccess de seguridad de WordPress.

La ejecución de PHP es un gran riesgo

Imagínese, si alguien puede ejecutar el código PHP en su sitio web sin acceder al sitio web. Hay muchas cosas que pueden hacer aquí, ¿verdad?

En términos técnicos, se llama crear una puerta trasera. La puerta trasera es la forma en que el hacker puede ingresar al sitio web sin ingresar a la página de inicio de sesión. Funciona tal como el nombre. Ahora, puede haber ciertos complementos que permitan la ejecución del lado del servidor directamente desde el sitio web. Por lo tanto, deberá asegurarse de proteger su sitio web contra esto.

La forma sencilla de detener esto es agregando un pequeño código que impedirá la ejecución de PHP. Tendras que ingrese este código en el archivo .htaccess.

Aquí está el código que deberá agregar, puede agregar estas líneas y su sitio web estará seguro: archivo .htaccess de seguridad de WordPress.

<Files *.php>
deny from all
</Files>

Palabras finales sobre el archivo .htaccess de seguridad de WordPress

En resumen, estas son todas las cosas que puedes hacer para seguro su sitio web a través del archivo htaccess. Ahora, asegúrese de tener una copia de seguridad de 2 archivos. Uno de ellos es el archivo anterior, que es el archivo htaccess original. Además de esto, también deberá guardar el nuevo archivo htaccess. De esta forma, tu sitio web estará seguro. Si algo sale mal, puedes restaurarlo rápidamente. También puede realizar una copia de seguridad completa de su sitio web y luego ejecutar lo siguiente. De esta manera podrás estar seguro de todas estas cosas.