Actualizado el jueves, 22 diciembre, 2022
El .htaccess es un archivo de configuración que te permite gestionar y manejar configuraciones y accesos al servidor de forma descentralizada, y utilizando instrucciones específicas puedes proteger carpetas, archivos y hasta el propio .htaccess dentro de tu WordPress.
Aprovechamos para dejarte por aquí otros consejos para aumentar la seguridad de tu WordPress, ¡y sin utilizar ningún plugin!
Índice de contenidos
¿Dónde busco el archivo .htaccess?
Este archivo se encuentra en la carpeta de archivos (www) de tu alojamiento web. Inicia sesión por FTP con el cliente que elijas y lo tendrás accesible.
FileZilla es uno de los clientes FTP más populares. Aquí te enseñamos cómo usarlo.
Antes de hacer cualquier cambio…
Este es el aspecto que lucirá por defecto el archivo.htaccess en una instalación limpia de WordPress:
# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ – [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress
Para editarlo puedes utilizar cualquier editor de texto, como Notepad ++, o mismamente el propio bloc de notas.
Si no puedes guardarlo como .htaccess, hazlo como .txt y una vez subido lo renombras.
Eso sí, antes de comenzar a aplicar cambios, ten en cuenta estos dos puntos:
- Toda configuración que agregues al archivo .htaccess colócala debajo de la última línea de código “#END WordPress”, así lo tendrás todo organizado.
- Primero realiza un backup o copia de seguridad de tu archivo .htaccess por si te encuentras con algún contratiempo. Basta con que guardes una copia en tu PC para poder volver a la configuración original si lo necesitas.
5 consejos muy fáciles para proteger tu WordPress con .htaccess
Como te decíamos, añadiéndole simplemente unas pocas líneas de código podrás mejorar mucho la seguridad de tu web. ¡Vamos allá!
Restringe el acceso a tu carpeta wp-content
La carpeta wp-content contiene los archivos de temas y plugins de tu instalación. El acceso a esa carpeta no debe ser directo, con excepción de las imágenes, JavaScript y CSS que puedan ser utilizados por el tema que has escogido.
Para corregir eso, crea un archivo .htaccess dentro de la carpeta wp-content a través del «Administrador de archivos» de tu Panel de Control, y agrega la siguiente línea:
Order deny,allow deny from all <files ~ ".(xml|css|jpe?g|png|gif|js)$"> allow from all </files>
Protege el archivo wp-config.php
El archivo wp-config.php de WordPress, localizado en la raíz de la instalación del sistema, es otro elemento importantísimo del CMS. En él se guarda, por ejemplo, la información de la base de datos que estás utilizando (nombre, usuario, contraseña), además de otros datos críticos.
Desactivar el acceso a él también es esencial para mantener tu blog seguro. Añade el siguiente código al .htaccess principal, utilizando la herramienta de edición del Administrador de archivos:
<Files wp-config.php>
order allow,deny
deny from all
</Files>
Protege el archivo xmlrpc.php
Este archivo permite que una aplicación externa se pueda comunicar con tu WordPress. Es posible anularlo con sólo añadir el siguiente código al .htaccess:
<files xmlrpc.php> order allow,deny deny from all </files>
Evita el hotlinking
El hotlinking es una mala práctica que se produce cuando un tercero usa imágenes tuyas en sus contenidos, pero en vez de subirlas a su hosting las enlaza desde un URL de tu web. Lo que consigue con eso es ahorrarse recursos de su alojamiento web y consumir los del tuyo.
Añade este código al .htaccess y te protegerás de él:
RewriteEngine On RewriteCond %{HTTP_REFERER} !^$ RewriteCond %{HTTP_REFERER} !^http://(www.)?dominio-ejemplo.com/.*$ [NC] RewriteRule .(gif|jpg)$ http://www.dominio-ejemplo.com/hotlinking.png [R,L]
Recuerda sustituir “dominio-ejemplo.com” por tu propio dominio y “hotlinking.png” por el nombre del archivo de la imagen de aviso que hayas subido a tu servidor, que será la que se cargue en la web de la persona que haya intentado apropiarse de tus fotos.
No te olvides del propio .htaccess
Protegerlo es muy sencillo. Tan solo tienes que implementar el siguiente código en el archivo .htaccess de la carpeta principal de tu WordPress:
<files .htaccess> order allow,deny deny from all </files>
Gracias a estos sencillos trucos, y sin tener que usar ningún plugin, podrás proteger muchísimo la seguridad de tu WordPress con .htaccess.
¿Quieres disfrutar de una web 100 % segura y, con Soporte 24/7? Echa un ojo a nuestras ofertas en Hosting WordPress
Deja una respuesta