Proteger el archivo .htaccess de accesos no deseados es una parte fundamental para asegurar tu sitio web, ya que este archivo controla configuraciones sensibles de tu servidor Apache y de tu instalación de WordPress. Para garantizar que nadie pueda acceder a este archivo y modificarlo o visualizarlo, puedes seguir algunas recomendaciones que detallamos a continuación.
Bloquear el acceso al archivo .htaccess
Una de las formas más simples de proteger el archivo .htaccess
es bloquear el acceso directo a él desde el navegador. Esto se puede hacer añadiendo la siguiente regla dentro de tu archivo .htaccess
:
<Files .htaccess>
Order Allow,Deny
Deny from all
</Files>
Esta regla indica que cualquier intento de acceder al archivo .htaccess
será denegado, independientemente de la dirección IP que haga la solicitud.
Establecer permisos adecuados para el archivo .htaccess
Asegúrate de que los permisos del archivo .htaccess
estén configurados correctamente en el servidor. En general, debes establecer los permisos de lectura y escritura solo para el usuario propietario del archivo, y asegurarte de que otros usuarios no tengan acceso.
Por ejemplo, puedes configurar los permisos del archivo .htaccess
a 644
, de la siguiente manera:
chmod 644 .htaccess
Esto le dará al propietario del archivo permisos de lectura y escritura, mientras que el grupo y otros usuarios solo tendrán permisos de lectura.
Asegurarse de que .htaccess esté en un directorio seguro
Es importante que el archivo .htaccess
esté ubicado en un directorio donde el servidor no lo exponga innecesariamente. Por lo tanto, debes evitar que el archivo esté en carpetas públicas o accesibles a través de la web. En el caso de WordPress, el archivo .htaccess
generalmente se encuentra en el directorio raíz de la instalación, que ya está protegido por defecto en la mayoría de los servidores.
Deshabilitar la navegación de directorios
Otra capa de protección es asegurarse de que el servidor Apache no permita la visualización de los contenidos de un directorio cuando no existe un archivo de índice. Esto lo puedes hacer añadiendo la siguiente directiva en el archivo .htaccess
:
Options -Indexes
Esto evita que los usuarios vean la lista de archivos en los directorios de tu servidor si no existe un archivo como index.php
o index.html
.
Agregar una regla para evitar la ejecución de archivos PHP en ciertos directorios
En algunos casos, puede ser útil prevenir que se ejecuten archivos PHP en directorios donde no deberían ejecutarse, como en los directorios de carga de WordPress (por ejemplo, wp-content/uploads
). Esto puede evitar que un atacante suba y ejecute scripts maliciosos en estos directorios. Agrega lo siguiente en tu archivo .htaccess
:
<Directory "/path/to/wp-content/uploads">
php_flag engine off
</Directory>
Este ejemplo apaga la ejecución de PHP en el directorio uploads
. Deberías ajustar el path según tu configuración.
Mantener WordPress y los plugins actualizados
Aunque no se trata de una configuración del .htaccess
en sí, mantener tu instalación de WordPress y los plugins actualizados es vital para prevenir vulnerabilidades. Los ataques a menudo explotan fallos en software desactualizado, por lo que las actualizaciones periódicas ayudan a mantener tu sitio seguro.
Proteger el archivo .htaccess
es un paso esencial para asegurar tu instalación de WordPress. La combinación de reglas de acceso denegado, permisos correctos, y otras medidas preventivas ayudará a proteger este archivo crítico de accesos no autorizados y a reducir el riesgo de ataques a tu sitio. Si tenéis alguna duda o queréis preguntar algo sobre lo que aquí os explico, podéis escribirme a través del formulario de contacto o enviar un email a info@delioweb.com. Con gusto os atenderé.