WordPress se ha convertido en el CMS más popular del mundo. Debido a que es tan popular, esta es una razón más para mejorar la seguridad de WordPress si la está usando para su sitio web. La mayoría de las personas entiende cómo hacer que su página sea segura, pero si no se está enfocando en la seguridad de su sitio de WordPress al limitar el acceso a archivos y carpetas importantes, entonces todavía está en riesgo. Para hacer esto, no hará ningún cambio en WordPress, sino que alterará la forma en que WordPress se ejecuta en un servidor y la cantidad de acceso que los usuarios tienen a sus archivos.

Paso 1: Limitar el acceso a la carpeta wp-includes

Los sitios de WordPress están compuestos por una serie de archivos y carpetas, cada uno con sus propias URL únicas, lo que significa que si alguien escribiera la URL correcta, podría acceder o modificar los archivos confidenciales que ejecutan su sitio. Uno de los objetivos más comunes para este tipo de piratería es la carpeta wp-includes, por lo que vamos a agregar un código adicional al archivo de configuración del servidor para reforzar la seguridad y evitar este tipo de amenazas. Cuando terminemos con esto, cualquiera que intente acceder a estos archivos será redireccionado de nuevo.

Para comenzar, querrá abrir el archivo .htaccess para su sitio. Puedes hacerlo a través de cualquier editor de texto, no importa, porque todo lo que hacemos es agregar un pequeño fragmento de código al archivo. Notará que el archivo ya tiene código, generado por WordPress. En una de las primeras líneas de código, encontrará una línea que dice # BEGIN WordPress . Directamente encima de este código, vamos a agregar las líneas adicionales de código, lo que fortalecerá las defensas del sitio al restringir el acceso a la carpeta wp-includes.

# Blocking web access to the wp-includes folderRewriteEngine OnRewriteBase /RewriteRule ^wp-admin/includes/ - [F,L]RewriteRule !^wp-includes/ - [S=3]RewriteRule ^wp-includes/[^/]+.php$ - [F,L]RewriteRule ^wp-includes/js/tinymce/langs/.+.php - [F,L]RewriteRule ^wp-includes/theme-compat/ - [F,L]

Luego, solo necesita volver a subir el archivo al servidor y listo. Si bien los cambios aquí parecen menores, pueden tener un gran impacto en las defensas de su sitio. Debido a que muchas de las funciones avanzadas de WordPress se encuentran dentro de la carpeta wp-includes, son un objetivo importante para los hackers. Con estos cambios implementados, cuando los usuarios intenten acceder a esta carpeta, en su lugar, serán redirigidos automáticamente a la página principal de su sitio.

Paso 2: Proteger wp-config.php

Nuestro siguiente paso para fortalecer la seguridad de WordPress es limitar el acceso al archivo wp-config.php. La primera vez que creó su sitio de WordPress, tuvo que crear un nombre de base de datos, nombre de usuario, contraseña y prefijo de tabla, que se encuentra en el archivo wp-config.php. La razón por la que desea proteger este archivo es porque contiene la información que WordPress necesita para hablar con la base de datos y, a la larga, controlar su sitio.

Para proteger su archivo wp-config.php, solo tendrá que hacer unos simples pasos. Primero, querremos abrir nuevamente el archivo .htaccess. A continuación, querremos copiar el fragmento de código a continuación y pegarlo en nuestro archivo .htaccess tal como lo hicimos con el paso 1.

# Blocking web access to the wp-config.php fileorder allow,denydeny from all

Finalmente, guarde y vuelva a subir el archivo.

Paso 3: defender el archivo .htaccess en sí

Como puede ver con los pasos 1 y 2, el archivo .htaccess puede ser intrínseco para defender su sitio de WordPress de amenazas externas maliciosas. Es por eso que en este paso vamos a proteger el archivo .htaccess en sí, evitando que los piratas informáticos eliminen las protecciones que ya hemos implementado.

Para hacer esto, volveremos a abrir el archivo .htaccess. A continuación, inserte el código a continuación en el código existente.

# Securing .htaccess fileorder allow,denydeny from allsatisfy all

Y con esta simple adición, su archivo .htaccess está protegido de amenazas externas.

Paso 4: eliminar el acceso al editor de archivos

Para el paso final vamos a estar negando a los piratas informáticos el acceso a una de las herramientas más destructivas que podrían tener en sus manos: el Editor dentro del tablero de WordPress. Le permite editar sus archivos de temas, lo cual es útil pero puede ser peligroso. Si una persona, aparte de usted, tuviera acceso a esto, entonces podrían cambiar su código y romper su sitio.

Con este proyecto, eliminaremos el Editor del tablero de WordPress. En lugar de acceder al archivo a través de WordPress, le recomiendo que acceda a él a través de un cliente ftp como FileZilla, que es mejor para la integridad del sitio.

Entonces, para hacer este proyecto, primero queremos abrir el archivo wp-config.php. Una vez que tenemos eso abierto, vamos a ir al final del código, aquí encontrarás el texto "¡Eso es todo, deja de editar! Happy blogging " . Justo antes de este texto, vamos a agregar el siguiente código para eliminar la edición de archivos completamente de WordPress.

define('DISALLOW_FILE_EDIT', true);

Una vez que haya agregado el código, guarde el archivo y vuelva a subirlo al servidor. Ahora su sitio de WordPress está a salvo de cualquier persona que tenga acceso a su sitio y trate de manipular el código.

Sepa que su sitio es seguro

Si sigue todos estos pasos, su sitio debería ser mucho más seguro. Al reducir la cantidad de acceso que los hackers tienen a los archivos importantes para ejecutar su sitio, ha aumentado la seguridad general de su sitio de WordPress.