Prevención Anti Hackeos en WordPress desde .htaccess (Truco)

Categorias: Wordpress

.htaccess

Una buena forma de prevenir que no hackeen nuestro WordPress es implementando unas líneas de código en el fichero .htacess (hypertext access).

Se trata de un tipo de archivo especial que se usa dentro de los alojamientos web que funcionan con servidores LAMP (Linux + Apache + MySQL + PHP), como por ejemplo los que ofrece Hostinet en sus planes de Hosting web.

El fichero .htaccess permite modificar diferentes variables en la configuración de nuestra cuenta de alojamiento en el servidor. Por ejemplo, permite limitar o bloquear el acceso a determinados directorios, crear URLs más amigables o fáciles de reconocer, crear diferentes redirecciones, restringir el acceso a a direcciones IP determinadas, evitar el Hotlink, configurar el acceso la web con o sin www e incluso proteger nuestro WordPress de posibles hackeos. Aquí puedes consultar los 6 Mejores Trucos para .htaccess

El fichero .htaccess en servidores LAMP siempre se puede encontrar dentro del directorio de publicación web de nuestro alojamiento, es decir, en el public_html y se guarda en modo ASCCI para que se pueda editar con cualquier editor de texto del mercado, sin necesidad de tener que instalar nada adicional, pero debemos tener en cuenta que no tiene extensión así que si nuestro programa habitual añade el típico .txt hay que eliminar dicha extensión.

Editando .htaccess para prevenir hackeos en WordPress

Ya hemos comentado donde se encuentra el fichero .htaccess, pero lo mejor es indicar todos los pasos a seguir para toparnos con él:

Primeramente, nos logueamos en nuestro panel de control cPanel, por defecto el acceso al mismo se puede localizar escribiendo "cpanel" tras nuestro dominio, por ejemplo, http://nuestrodominio.com/cpanel

Dentro del panel de administración cPanel, hacemos click sobre el Administrador de Archivos y en /public_html (o la carpeta de la instalación de WordPress) localizamos el archivo .htaccess (también podemos usar un cliente de FTP para conectarnos a nuestro servidor y meternos dentro de /public_html).

cPanel Public Html htaccess

Una vez localizado el archivo .htaccess, click con el botón derecho sobre él y click en "edit", tal que así:

htaccess edit

Aceptamos, es decir, click de nuevo en "Edit" en la venta que se abre y, de esta forma, pasamos al editor de texto para editar el archivo.

Para que funcione lo que comentamos de proteger nuestro WordPress de hackers tenemos que incluir el siguiente código en el editor de texto del archivo .htaccess que acabamos de abrir:

htaccess codigo prevencion anti hackeo

Código a añadir:

RewriteEngine On
RewriteCond %{QUERY_STRING} proc/self/environ [OR]
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|\%3D) [OR]
RewriteCond %{QUERY_STRING} base64_encode.*(.*) [OR]
RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|[|\%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]

Información sobre el código: La segunda línea del código es para restringir al archivo /proc/self/environ. La tercera es para bloquear cualquier script que pretenda establecer un valor mosConfig mediante una URL. La cuarta es para bloquear cualquier script cuyo objetivo sea poner un código codificado base64_encodemediante una URL. La quinta es para bloquear cualquier script que contenga la tag <script> en la URL. La sexta es para bloquea cualquier script que trate de establecer la variable PHP GLOBALS a través de una URL. La séptima es para bloquea cualquier script que trate de modificar una variable _REQUEST vía una URL. Y la última línea del código lo que hace es mandar a todas las peticiones bloqueadas a la página principal con un error de 403 Prohibido.

En fin, una vez ya puesto el código en el .htaccess, tan solo quedaría pinchar en "Guardar cambios" arriba del todo a la derecha, con ello seremos menos vulnerables y nuestro WordPress será un poco más seguro.

Importante

El código se debe poner como tal, es decir, como código, por lo que hay que usar la opción de "utilice el editor de código", fuera de dicha opción el código no funcionará. Por defecto al editar un archivo este se edita con el editor de texto y no con el de código.

Copia de seguridad de .htaccess

Esperemos que no haya resultado demasiado complicado llevar a cabo el truco que hemos expuesto, ya que el tener que editar el archivo .htaccess para los menos expertos siempre supone todo un reto, pero para nada es complicado "alterar" este archivo. Aunque antes de hacer nada con el archivo .htaccess es muy recomendable hacer una copia de seguridad del mismo para que en caso de que algo salga mal poder restaurarlo sin problemas.

 


¿Te ha gustado este truco para proteger tu WordPress de un posible hackeo? Recibe trucos como éste y aprende todo lo relacionado con los dominios y el alojamiento web suscribiéndote a nuestras Novedades por email Es sencillo, simplemente introduce tu correo electrónico en el popup que verás en pantalla.


Expertos en cPanel

En Hostinet somos expertos en cPanel y es por ello por lo que nuestros alojamientos web disponen de un panel de control cPanel. Podrás gestionar tu servidor sin problemas y si tienes dudas estaremos encantados de ayudarte en nuestro teléfono fijo (sin 902). Nuestros servidores están ubicados en España (Madrid) y contamos con más de 15 años de experiencia.