Una de las más posibles vías de entrada de intrusos en una instalación WordPress es la carpeta «uploads«, situada en la ruta «…/wp-content/uploads«, pues debe tener permisos de escritura para que el mismo WordPress pueda almacenar las imágenes y documentos que subes a través del cargador de medios.
Es por ello que es especialmente importante asegurar lo máximo esta carpeta, para evitar cargas de archivos indeseadas, especialmente si tu WordPress tiene habilitada la publicación de artículos por terceros, incluso invitados y, por supuesto, por hackers indeseables, que los hay.
Lo primero que debes tener en cuenta son los permisos correctos de carpetas en WordPress y, una vez comprobado, podemos añadir un control de seguridad adicional mediante unas líneas de código en un archivo, y al que llamaremos .htaccess (no olvides el punto delante del nombre), y crearemos en la misma carpeta «uploads«.
Sería algo así:
# seguridad de subida de archivos en carpeta <Files ~ ".*\..*"> Order Allow,Deny Deny from all </Files> <FilesMatch "\.(jpg|jpeg|jpe|gif|png|bmp|tif|tiff|doc|pdf|rtf|xls|numbers|odt|pages|key|zip|rar)$"> Order Deny,Allow Allow from all </FilesMatch>
Lo que hacemos es evitar la carga de cualquier archivo salvo los especificados en ‘FilesMatch‘ que, como puedes adivinar, puedes adaptar a tus necesidades (el ejemplo contempla imágenes, pdf, documentos de varios procesadores de texto, hojas de cálculo, presentaciones y archivos comprimidos, bastante amplio). Lo que si que te recomiendo es que no permitas la carga de ficheros con extensiones ejecutables de manera local o remota, como archivos Javascript o similares, por supuesto.
Esto mismo lo puedes hacer en otras carpetas que también requieren la carga de archivos, como «upgrade«, por ejemplo, que la usa WordPress como carpeta temporal para las actualizaciones y demás.
¡Que usted lo asegure bien!
¿Te gustó este artículo? ¡Ni te imaginas lo que te estás perdiendo en YouTube!
AVISO: Esta publicación es de hace 3 años o más. Si es un código o un plugin podría no funcionar en las últimas versiones de WordPress, y si es una noticia podría estar ya obsoleta. Luego no digas que no te hemos avisado. ¡Ah! ¿te funciona? pues entonces no he dicho nada :)
Es crear el archivo pegar el codigo y ya está?
Si, salvo que quieras cambiar la lista de extensiones permitidas.
Con introducir un fichero PHP denominado index.php con el siguiente contenido bastará:
Vuelvo a introducir el contenido del fichero index:
«»
Nada, como es código y aquí lo interpreta les dejo el link del contenido: http://pastebin.com/LCSrgbhS
Que tal Vera oye, tu código es solamente un php vacío cierto?
En que puede ayudar eso, no estoy criticando tengo la duda, gracias
¡Exacto! 😉
Denada
Hola Fernando:
Muchas gracias por el truco para estar un poquito más seguros. Una pregunta. En la carpeta upgrade que tipos de archivo podemos permitir, lo digo porque al ser las actualizaciones serán un zip o estarán descomprimidas y habrá php y js que ahí es donde entra mi duda.
Muchas gracias
Pues si, ahí es más jodido, es prueba-error.
Muy útil, lo puse en práctica en puertoarial. Esta pagina me es muy buena, me sirvio mucho en la creación de mi site. Gracias.
He creado el fichero .htaccess y lo he subido al directorio uploads con FileZilla. Hace el proceso de subida bien pero luego no se ve en la carpeta del servidor. ¿por qué? ¿es por el tipo de fichero?.
Comprueba que en el cliente ftp tienes habilitada la opción de ver ficheros ocultos, un fichero con punto delante es oculto
Hola Fernando, esta función no afecta la funcionalidad e plugins cone NextGen Gallery o WP-DBManager que al instalarse crean distintas carpetas?
Saludos
Muy bueno. Me gustaría saber si hay una forma de evitar que se descarguen por ejemplo vídeos desde mi web? es decir, he publicado varios archivos tipo .mp3 y .mp4 y lo que realmente quiero es evitar que estos sean descargados, por ejemplo viendo el código fuente. He visto en varias paginas que esta opicion es posible y para no ir muy lejos, ver en youtube, no se puede descargar el video desde fuente. o en RTVE, también es restringido, y asi en diferentes paginas los protegen contra descargas. Qué forma existe para hacerlo en Wordpress? Gracias.
Cualquier «hacker» (y quien dice hacker dice cualquiera con muy pocos conocimientos sobre el tema) puede saltarse esa seguridad…
Cómo???
cada ves que quiero modificar el alchivo ma da error y se me blokea la pagina y tengo que haser un backu
Hola, simplemente comentar que lo tenía implementado hace tiempo pero me he dado cuenta de que ahora ya hay imágenes webp.
Por otra parte para los que estamos alojados en siteground en esta carpeta están los css y js optimizados de siteground.
He intentado usar Directory pero no se permite en los .htaccess, he conseguido permitir los css y js dentro de la carpeta de siteground con el If de htaccess.
Espero poder aportar algo aunque el post sea antiguo me ha parecido importante tenerlo en cuenta ya que podemos no darnos cuenta de ello.
@Fernando Si ves algo mal elimina el comentario sin problemas no. No quiero confundir a nadie
# Permito css y js en la carpeta de siteground
Order Deny,Allow
Allow from all
# seguridad de subida de archivos en carpeta
Order Allow,Deny
Deny from all
Order Deny,Allow
Allow from all