El fichero .htaccess es la primera barrera que puedes usar en un sistema basado en servidores Linux con Apache, pues dispone de una buena cantidad de reglas que podemos aplicar y, gracias a ello, y como es el caso de hoy, proteger WordPress de hackers.
El siguiente código, añadido al archivo .htaccess de tu instalación (fichero oculto situado en la carpeta raíz) evitará un buen montón de sistemas habituales de inyectar código y hackear WordPress.
Simplemente añade estas líneas:
RewriteEngine On
# sin acceso a proc/self/environ
RewriteCond %{QUERY_STRING} proc/self/environ [OR]
# bloquear cualquier script que trate de establecer un valor mosConfig a través de una URL
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|\%3D) [OR]
# bloquear cualquier script que trate de colocarte código codificado base64_encode a través de una URL
RewriteCond %{QUERY_STRING} base64_encode.*(.*) [OR]
# bloquea cualquier script que incluya la tag <script> en la URL
RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]
# bloquea cualquier script que trate de establecer la variable PHP GLOBALS a través de una URL
RewriteCond %{QUERY_STRING} GLOBALS(=|[|\%[0-9A-Z]{0,2}) [OR]
# bloquea cualquier script que trate de modificar una variable _REQUEST a través de una URL
RewriteCond %{QUERY_STRING} _REQUEST(=|[|\%[0-9A-Z]{0,2})
# manda a todas las peticiones bloqueadas a la página principal con un error de 403 Prohibido
RewriteRule ^(.*)$ index.php [F,L]Guarda los cambios y vivirás más tranquilo pues te habrás quitado un buen montón de amenazas.
¿Te gustó este artículo? ¡Ni te imaginas lo que te estás perdiendo en YouTube!
AVISO: Esta publicación es de hace 3 años o más. Si es un código o un plugin podría no funcionar en las últimas versiones de WordPress, y si es una noticia podría estar ya obsoleta. Luego no digas que no te hemos avisado. ¡Ah! ¿te funciona? pues entonces no he dicho nada :)
Gracias por el codigo!
Hola, una duda. Yo tengo las siguientes líneas en el archivo .htaccess
RewriteEngine On
RewriteBase /
RewriteRule ^index.php$ – [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
Las líneas que recomiendas añadir, irían de tras de éstas, o quizá detrás de RewriteBase /
Muchas gracias por compartir esta información.
Saludos!
Ponlas antes. .htaccess funciona por orden.
Gracias por el codigo!
Gran post
Es lo que necesitaba.
Gracias por el codigo, este se debe colocar en cualquier instalacion de wordpress que tengamos o solo en /public_html?
Me ha sido de mucha utilizadad esta informacion, gracias por compartir.
gracias
Disculpe puedes o si ya tienes un post de todo lo basico para los que volvemos de nuevo al blogueo pero se nos olvido, o para los noobs, configuraciones para cada archivo php etc..
Jeff Starr lleva manteniendo algo similar, pero más completo, desde hace ya bastante tiempo http://perishablepress.com/5g-blacklist-2013/
Bueno, no creo que importe mucho que esté el cógido mas arriba o mas abajo
mmm…, vamos a ver, si no me equivoco ¿mosConfig no es de Mambo o Joomla?? oO’
Gracias!
Hola buen dia me podrian ayudar como configurar el archivo .htaccess ¿Se modifica el que esta dentro de la carpeta public_html u otro? mi archivo dice lo siguiente que tengo que editar para dejar mi wordpress.org seguro porque anteriormente mi sitio sufrio un Defacement:
# BEGIN WordPress
RewriteEngine On
RewriteBase /
RewriteRule ^index.php$ – [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
# END WordPress
Muy útil, gracias.