Mejor .htaccess para aumentar la seguridad de WordPress

Añadir seguridad a un wordpress usando el .htaccess

El archivo .htaccess es un archivo de configuración utilizado por el servidor web Apache.

El archivo .htaccess es un archivo de texto plano que se coloca en la raíz de tu sitio web y contiene instrucciones que el servidor utiliza para manejar las solicitudes de los usuarios que visitan nuestro WordPress.

El archivo .htaccess es una herramienta muy poderosa que permite a los administradores de sitios web controlar y personalizar el comportamiento del servidor web, aumentar la seguridad, restringir accesos, proteger carpetas y mucho más.

Uno de los usos más comunes del archivo .htaccess en WordPress es la configuración de reglas de reescritura de URL, que permiten a los administradores crear URL amigables para los visitantes del sitio. Además, también se utiliza para controlar el acceso al sitio, establecer encabezados de seguridad, proteger archivos críticos, entre otras cosas.

En el caso de un sitio web WordPress, el archivo .htaccess puede utilizarse para aumentar la seguridad del sitio. Por ejemplo, puedes utilizarlo para bloquear el acceso a ciertas carpetas y archivos críticos, como la carpeta de inclusión de administrador y el archivo de configuración de la base de datos. También puedes utilizarlo para proteger el sitio de ataques de inyección de código y para forzar la conexión segura HTTPS.

Este es el mejor .htaccess para WordPress.

# Bloquear los archivos de includes.
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
</IfModule>

# Desactivar la exploración de directorios
Options All -Indexes

# Proteger wp-config.php
<files wp-config.php>
order allow,deny
deny from all
</files>

# Proteger .htaccess
<files .htaccess>
order allow,deny
deny from all
</files>

# Protección contra ataques XSS
<IfModule mod_headers.c>
Header set X-XSS-Protection "1; mode=block"
</IfModule>

# Protección contra MIME-sniffing
<IfModule mod_headers.c>
Header set X-Content-Type-Options: "nosniff"
</IfModule>

# Forzar SSL
#RewriteEngine On
#RewriteCond %{HTTPS} off
#RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Descripción de cada sección del código .htaccess usado para proteger WordPress.

  1. <IfModule mod_rewrite.c> y </IfModule>: Estas etiquetas indican que las siguientes líneas de código sólo deben ejecutarse si el módulo mod_rewrite de Apache está habilitado.
  2. <strong>RewriteEngine On</strong>: Habilitar el motor de reescritura de URL de Apache, necesario para usar reglas de reescritura.
  3. <strong>RewriteBase /</strong>: Establece la base para las reglas de reescritura.
  4. <strong>RewriteRule ^wp-admin/includes/ - [F,L]</strong>: Bloquea el acceso a cualquier archivo dentro de la carpeta wp-admin/includes.
  5. <strong>RewriteRule !^wp-includes/ - [S=3]</strong>: Esta regla indica que no se deben aplicar las siguientes tres reglas a la carpeta wp-includes.
  6. <strong>RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]</strong>: Bloquea el acceso a cualquier archivo PHP dentro de la carpeta wp-includes, excepto a los que están dentro de subcarpetas.
  7. <strong>RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]</strong>: Bloquea el acceso a cualquier archivo PHP dentro de la carpeta wp-includes/js/tinymce/langs.
  8. <strong>RewriteRule ^wp-includes/theme-compat/ - [F,L]</strong>: Bloquea el acceso a cualquier archivo dentro de la carpeta wp-includes/theme-compat.
  9. <strong>Options All -Indexes</strong> : Deshabilita la lista de directorios de Apache. Esto significa que si alguien intenta acceder a un directorio en lugar de un archivo en tu sitio web, verá un error 403 (prohibido) en lugar de la lista de archivos en ese directorio.
  10. <files wp-config.php> and </files>: Este bloque protege el archivo wp-config.php, que contiene información importante sobre la configuración de tu sitio web, incluyendo las credenciales de la base de datos.
  11. <files .htaccess> and </files>: Este bloque protege el propio archivo .htaccess de ser accedido por navegadores web.
  12. <IfModule mod_headers.c> and </IfModule>: Estas etiquetas indican que las siguientes líneas de código sólo deben ejecutarse si el módulo mod_headers de Apache está habilitado.
  13. <strong>Header set X-XSS-Protection "1; mode=block"</strong>:

Advertencia y recomendaciones sobre cambios en el .htaccess

Es importante que sepas que cualquier cambio en el archivo .htaccess debe ser realizado con precaución, ya que cualquier error de sintaxis puede causar problemas en el funcionamiento del sitio. Por esta razón, te recomiendo hacer una copia de seguridad del archivo antes de realizar cambios, eso lo puedes hacer simplemente duplicando el archivo antes de editarlo.

Juan Luis Martel | WordPress Las Palmas
Creado por:
Juan Luis Martel
Experto en programación en Wordpress, Php, Pic, Microcontroller, ASM.
Escrito el:

¡No te vayas sin valorar el contenido!

¡Haz clic en una estrella para puntuarlo!

Promedio de puntuación 5 / 5. Recuento de votos: 1

Hasta ahora, ¡no hay votos!. Sé el primero en puntuar este contenido.

Ya que has encontrado útil el contenido...

🙏 Ayúdame y compártelo en tus redes sociales ¡Significa mucho para mí! - Gracias

¡Siento que el contenido no te haya sido útil o gustado! 😔

¡Déjame mejorar este contenido!

Dime, ¿cómo crees que puedo mejorar este contenido? 🙏 ¡Significa mucho para mí! - Gracias

Deja un comentario

Seguridad en WordPress

cambiar nombre de usuario en wordpress

Cambiar el nombre de Usuario en WordPress.

Bloquear peticiones salientes del WorPress

Bloquear las peticiones a través de HTTP en WordPress

generador de passwords online

Generador de Password online para las cookies de WordPress

¿Qué es XMLRPC y cómo perjudica la seguridad de WordPress?

¿Qué es XMLRPC y cómo perjudica la seguridad de WordPress?

×
Selecciona tus preferencias de cookies.
Nosotros y nuestros proveedores de servicios (incluido Google) almacenamos y accedemos a información en su navegador, tales como cookies y archivos similares. Algunas de estas cookies o archivos son necesarios para el correcto funcionamiento de esta Web, otros se emplean con fines estadísticos, para ofrecerte una experiencia personalizada y para mostrarte publicidad relacionada con tus hábitos de navegación en internet. Al hacer click en «Aceptar Cookies» estarás aceptando la instalación de todas estas cookies. Si haces click en «Rechazar Cookies» estarás aceptando la instalación solo de las cookies técnicas. Si lo deseas, puedes configurar o rechazar el uso de todas o de algunas de estas cookies pulsando en el botón «Configuración de Cookies», o desde tu navegador. Puedes obtener más información sobre el uso y tus derecho en la política de cookies.
Configuración de cookies Continuar sin aceptar Aceptar cookies
Selecciona tus preferencias de cookies.
Elige qué tipo de cookies quieres aceptar.
Tu elección te permitirá usar este Portal Web con todas las características o no y será guardada durante un año o hasta que las borres en tu navegador.
Las puedes volver ajustar desde el menu inferior en «Configuración de Cookies». Puedes obtener más información sobre el uso y tus derecho en la política de cookies.
Guardar configuración Continuar sin aceptar Aceptar cookies