Uno de los archivos más importantes de una instalación de WorPress, si no el más importante, es el archivo de configuración wp-config.php.
Y, en consecuencia, uno de los objetivos de cualquier indeseable que quiera hackear tu WordPress.
Pues bien, buena noticia, proteger este archivo de accesos no deseados es muy sencillo. Solo debes añadir unas líneas de código al fichero .htaccess de tu instalación de WordPress, estas:
<Files wp-config.php> order allow,deny deny from all </Files>
Guardas los cambios y ya está. Por supuesto, si no tienes un archivo .htaccess debes crearlo accediendo con tu aplicación cliente FTP.
¿Te gustó este artículo? ¡Ni te imaginas lo que te estás perdiendo en YouTube!
AVISO: Esta publicación es de hace 3 años o más. Si es un código o un plugin podría no funcionar en las últimas versiones de WordPress, y si es una noticia podría estar ya obsoleta. Luego no digas que no te hemos avisado. ¡Ah! ¿te funciona? pues entonces no he dicho nada :)
Yo nunca he podido utlilizar ninguno de estos métodos por que cuando lo hago el .htaccesss le niega el premiso hasta al propio servidor y obviamente la página queda como si el archivo no existiera.
Gracias por el dato, lo hice, hace poco tuve ataque de un hacker, lamentablemente por mas actualizados que estemos siempre hay algún riesgo, a ver si asi podemos proteger un poco mas nuestro blog, saludos 🙂
Fernando, yo también tengo añadido el archivo readme.html, para los más profanos, el archivo con la versión de wordpress … por aquello de no dar "pistas" a los hackers…
en la primera linea no deveria ser asi?
Con las "" (comillas)
Para que el "truco" funcione hay que tener el directorio del WordPress con la opción AllowOverride Limit, sería algo como lo siguiente:
Options All
AllowOverride AuthConfig FileInfo Options Limit
Order allow,deny
Allow from all
Para poder añadir las opciones order, allow y deny en un .htaccess hay que habilitarlo antes mediante la opción Limit de AllowOverride, cosa que me volvió loco la semana pasada porque todo el mundo comentaba como cambiar el deny a un fichero () o ficheros () pero nadie explicaba porqué daba error de servidor al poner un order… lo dicho, o tienes un AllowOverride All o añades Limit a las opciones del AllowOverride.
En mi caso lo que he hecho ha sido utilizar una redirección:
RewriteRule ^.*wp-config.*.php$ / [R=301,NC,L]
Otra idea que me gusta es intentar un Rewrite que redirija a un 404 ;D
Un saludo
Fernando no comprendo totalmente como hacer para bloquear el wp-config sin que me genere errores e imposibilite ver la pagina. ¿Cual es el código completo?
Mi archivo apenas tiene estas lineas:
# BEGIN WordPress
RewriteEngine On
RewriteBase /
RewriteRule ^index.php$ – [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
# END WordPress
Gracias!
Pues simplemente le añades el código de esta entrada a tu .htaccess, antes de lo que has puesto, que es lo que pone WordPress por defecto.
Gracias, pero si añado directamente estas lineas de código me da un error 500 de acceso y no me carga el sitio web.
Debo hacer algún tipo de cambio adicional?
pero siempre que trato de agregarle algo al .htaccess se me blokea la pagina y tengo que hacer un backu
Eso solo funciona en algunos servidores si por casualidad usas HostGator, nunca te funcionará. Igual si no lo haces tampoco quiere decir que te van a hackear… solo son medidas de seguridad que puede que frenen a algún tipo de hackeo.
No funciona en todos los servidores.