Seguridad en la carpeta «uploads» de WordPress

Seguridad WordPress
Seguridad WordPress
Imagen creada por Noreboo

Una de las más posibles vías de entrada de intrusos en una instalación WordPress es la carpeta «uploads«, situada en la ruta «…/wp-content/uploads«, pues debe tener permisos de escritura para que el mismo WordPress pueda almacenar las imágenes y documentos que subes a través del cargador de medios.

Es por ello que es especialmente importante asegurar lo máximo esta carpeta, para evitar cargas de archivos indeseadas, especialmente si tu WordPress tiene habilitada la publicación de artículos por terceros, incluso invitados y, por supuesto, por hackers indeseables, que los hay.

Lo primero que debes tener en cuenta son los permisos correctos de carpetas en WordPress y, una vez comprobado, podemos añadir un control de seguridad adicional mediante unas líneas de código en un archivo, y al que llamaremos .htaccess (no olvides el punto delante del nombre), y crearemos en la misma carpeta «uploads«.

Sería algo así:

# seguridad de subida de archivos en carpeta
<Files ~ ".*\..*">
	Order Allow,Deny
	Deny from all
</Files>
<FilesMatch "\.(jpg|jpeg|jpe|gif|png|bmp|tif|tiff|doc|pdf|rtf|xls|numbers|odt|pages|key|zip|rar)$">
	Order Deny,Allow
	Allow from all
</FilesMatch>

Lo que hacemos es evitar la carga de cualquier archivo salvo los especificados en ‘FilesMatch‘ que, como puedes adivinar, puedes adaptar a tus necesidades (el ejemplo contempla imágenes, pdf, documentos de varios procesadores de texto, hojas de cálculo, presentaciones y archivos comprimidos, bastante amplio). Lo que si que te recomiendo es que no permitas la carga de ficheros con extensiones ejecutables de manera local o remota, como archivos Javascript o similares, por supuesto.

Esto mismo lo puedes hacer en otras carpetas que también requieren la carga de archivos, como «upgrade«, por ejemplo, que la usa WordPress como carpeta temporal para las actualizaciones y demás.

¡Que usted lo asegure bien!

VALORA Y COMPARTE ESTE ARTÍCULO PARA MEJORAR LA CALIDAD DEL BLOG…
(4 votos, promedio: 4.3)

¿Te gustó este artículo? ¡Ni te imaginas lo que te estás perdiendo en YouTube!

AVISO: Esta publicación es de hace 3 años o más. Si es un código o un plugin podría no funcionar en las últimas versiones de WordPress, y si es una noticia podría estar ya obsoleta. Luego no digas que no te hemos avisado.

18 comentarios en “Seguridad en la carpeta «uploads» de WordPress”

    1. Que tal Vera oye, tu código es solamente un php vacío cierto?
      En que puede ayudar eso, no estoy criticando tengo la duda, gracias

  1. Hola Fernando:

    Muchas gracias por el truco para estar un poquito más seguros. Una pregunta. En la carpeta upgrade que tipos de archivo podemos permitir, lo digo porque al ser las actualizaciones serán un zip o estarán descomprimidas y habrá php y js que ahí es donde entra mi duda.

    Muchas gracias

  2. He creado el fichero .htaccess y lo he subido al directorio uploads con FileZilla. Hace el proceso de subida bien pero luego no se ve en la carpeta del servidor. ¿por qué? ¿es por el tipo de fichero?.

  3. Muy bueno. Me gustaría saber si hay una forma de evitar que se descarguen por ejemplo vídeos desde mi web? es decir, he publicado varios archivos tipo .mp3 y .mp4 y lo que realmente quiero es evitar que estos sean descargados, por ejemplo viendo el código fuente. He visto en varias paginas que esta opicion es posible y para no ir muy lejos, ver en youtube, no se puede descargar el video desde fuente. o en RTVE, también es restringido, y asi en diferentes paginas los protegen contra descargas. Qué forma existe para hacerlo en WordPress? Gracias.

  4. Cualquier «hacker» (y quien dice hacker dice cualquiera con muy pocos conocimientos sobre el tema) puede saltarse esa seguridad…

  5. Hola, simplemente comentar que lo tenía implementado hace tiempo pero me he dado cuenta de que ahora ya hay imágenes webp.
    Por otra parte para los que estamos alojados en siteground en esta carpeta están los css y js optimizados de siteground.
    He intentado usar Directory pero no se permite en los .htaccess, he conseguido permitir los css y js dentro de la carpeta de siteground con el If de htaccess.
    Espero poder aportar algo aunque el post sea antiguo me ha parecido importante tenerlo en cuenta ya que podemos no darnos cuenta de ello.
    @Fernando Si ves algo mal elimina el comentario sin problemas no. No quiero confundir a nadie

    # Permito css y js en la carpeta de siteground

    Order Deny,Allow
    Allow from all

    # seguridad de subida de archivos en carpeta

    Order Allow,Deny
    Deny from all


    Order Deny,Allow
    Allow from all

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Ir arriba Ir al contenido