Podcast: Reproducir en una nueva ventana | Descargar
La Seguridad en HTACCESS, sin duda una de las maneras de mejorar de forma sencilla la Seguridad en WordPress.
En este nuevo Episodio de la Serie La Seguridad en WordPress vamos a ver una serie de puntos de seguridad que podemos aplicar y cómo hacerlo.
Lo que te vas a encontrar aquí
La Seguridad en HTACCESS en WordPress
Todos los puntos que vemos en este episodio son sólo algunas de las medidas de seguridad que podemos aplicar para mejorar la seguridad en WordPress desde el archivo HTACCESS.
Conocer todos los puntos de mejora y saber cómo hacerlo de forma manual nos servirá para complementar la instalación de cualquiera de los Plugins de seguridad que veremos en futuros episodios del podcast.
Todos estos son los puntos que te cuento durante el episodio:
- SSL: Redireccionar al protocolo https.
- Bloquear acceso a directorios y archivos importantes:
- Directorio includes en wp-admin y wp-includes.
- WP-CONFIG.
- htaccess.
- Directorios de temas y plugins en wp-content.
- Bloquear la ejecución de PHP.
- No permitir ver el índice de los directorios.
- Bloquear el acceso por IP o por rango de IPs.
- Redirecciones 301
- Bloquear HOTLINK.
- Bloquear User-Agents o Bots.
- Personalización de errores.
Y aquí te dejo todos los códigos del fichero HTACCESS para que los puedas copiar:
# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress
#SSL
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteCond %{REQUEST_URI} !^/[0-9]+\..+\.cpaneldcv$
RewriteCond %{REQUEST_URI} !^/[A-F0-9]{32}\.txt(?:\ Comodo\ DCV)?$
RewriteCond %{REQUEST_URI} !^/\.well-known/acme-challenge/[0-9a-zA-Z_-]+$
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
# Bloqueamos acceso al directorio includes
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
</IfModule>
# Bloqueamos acceso a WP-CONFIG
<Files wp-config.php>
Order Allow,Deny
Deny from all
</Files>
# Sólo nuestra IP en el login
<Files wp-login.php>
Order Allow,Deny
Deny from all
Allow from 127.0.0.1
</Files>
# Protegemos nuestros HTACCESS
<Files ~ “^.*\.([Hh][Tt][Aa])”>
Order allow,deny
Deny from all
Satisfy all
</Files>
# Cerramos acceso a directorios de themes y plugins
RewriteCond %{REQUEST_URI} !^/wp-content/plugins/file/to/exclude\.php
RewriteCond %{REQUEST_URI} !^/wp-content/plugins/directory/to/exclude/
RewriteRule wp-content/plugins/(.*\.php)$ - [R=404,L]
RewriteCond %{REQUEST_URI} !^/wp-content/themes/file/to/exclude\.php
RewriteCond %{REQUEST_URI} !^/wp-content/themes/directory/to/exclude/
RewriteRule wp-content/themes/(.*\.php)$ - [R=404,L]
# No permitir ver los directorios
Options -Indexes
# Bloquear HOTLINK
RewriteEngine On RewriteCond %{HTTP_REFERER} !^$ RewriteCond %{HTTP_REFERER}
!^http://(www\.)?your-site.com/.*$ [NC] RewriteRule \.(gif|jpg)$
http://www.your-site.com/hotlink.gif [R,L]
# Bloquear USER-AGENTS y BOTS
RewriteEngine On
RewriteCond %{HTTP_USER_AGENT} ^.*(Baiduspider|HTTrack|Yandex).*$ [NC]
RewriteRule .* - [F,L]
#Personalizar errores
ErrorDocument 404 / error404.html
ErrorDocument 403 / error403.html
ErrorDocument 500 / error500.html
Notas del Episodio
Contacto con José Cisneros – Comunidad de WordPress en Chile
Sitio web: https://www.josecifuentes.net
Twitter: @jcifur
Si tienes cualquier tipo de duda puedes utilizar la página de contacto de WordPress desde Zero.
Saludos estoy tratando de instalar un certificado gratis SSL en mi hosting
Pero tengo un problema:
En el proceso de validación debo pode abrir en el navegador
/.well-known/acme-challenge/NAa5aNF_6MCtI77nn4oFwlzzprOSBqAgiFL71ECTTAI
Y no me abre, me da el siguiente error
1) File or directory does not exist
2) Missing .htaccess with correct rewrite rules
Consciente de que el fichero existe, me queda la opción 2
Hacienda pruebas renombre el fichero:
NAa5aNF_6MCtI77nn4oFwlzzprOSBqAgiFL71ECTTAI por NAa5aNF_6MCtI77nn4oFwlzzprOSBqAgiFL71ECTTAI.txt
Cuando le pongo una extensión ejemplo .txt pude abrirlo si dificultad
¿Que debería agregar a mí .htaccess para que me permita abrir ficheros parecidos al del ejemplo (son generado por zerossl.com aleatoriamente) sin extensiones ya que es vital en el proceso de validación para obtener un certificado SSL gratis?
Muchas gracias en espera de su ayuda
Ivan
Hola Ivan!! Muchas gracias por dejar tu comentario.
Para resolver el problema haría una de estas dos opciones:
1º pedirte a tu proveedor que te instale el certificado.
2º si lo tiens que hacer tú, te recomiendo utilizar un FTP o el administrador de archivos de tu proveedor para abrir ficheros en lugar de hacerlo desde el navegador.
Si continuas con problemas escríbeme a dani@wpdesdezero.com y tratamos de resolverlo.
Muy buen día 🙂
Saludos Dani, muchas gracias por tus recomendaciones seguiré tus consejos, luego te comento como me fue.
Atentamente
Ivan