¿Alguna vez os han hackeado un proyecto web? Esta es una pregunta que si os dedicáis al amplio mundo de la comunicación online seguro que habréis escuchado muchas veces. Si la respuesta es sí, bueno ya sabéis los riesgos que conlleva: restaurar copias de seguridad de archivos y bases de datos, comprobar los posibles daños que ha podido sufrir nuestro proyecto…si la respuesta es no, te doy la enhorabuena, tienes una web muy protegida…o ¿quizás ha sido suerte?
Me llamo Jose Peñaranda, soy programador Junior y gestiono el soporte en TicTag Branding y hoy me estreno en nuestro blog hablando sobre la seguridad en nuestros proyectos web, en concreto sobre cómo mejorar la seguridad del archivo .htaccess, sin más dilación…¡vamos allá!
¿Qué es el archivo .htaccess?
Antes de meternos de lleno con la seguridad de este archivo, vamos a explicar brevemente qué es y cuál es su función. El archivo .htaccess es básicamente un archivo de configuración utilizado por servidores apache. Sus funciones son varias, desde proteger nuestro sitio, a hacer redirecciones de nuestras urls.
¿Cómo puedo mejorar la seguridad de mi web con .htaccess?
WordPress es uno de los CMS más seguros, pero aún así nunca está demás protegerlo un poco más y hacerle la vida lo más difícil posible a los intrusos que quieren tirar nuestro proyecto abajo, para esto añadiremos unas instrucciones a nuestro archivo .htaccess y vamos a explicar la función de cada una de ellas:
Bloquear el acceso al archivo wp-config.php
[code]<Files wp-config.php>
Order Allow,Deny
Deny from all
</Files>[/code]
Para los que estéis familiarizados con WordPress sabéis de sobra qué función tiene el archivo wp-config.php, y para aquellos que no, os diré que es el archivo responsable de la conexión con la base de datos. Este es uno de los primeros objetivos de todo hacker de libro, atacar a ese archivo y romper dicha conexión, por esto hemos de bloquear el acceso a este archivo y acceder a él solo mediante nuestra cuenta de FTP.
Bloquear acceso al propio .htaccess
[code]<Files ~ “^.*\.([Hh][Tt][Aa])”>
Order allow,deny
Deny from all
Satisfy all
</Files>[/code]
Al igual que hemos visto en el punto anterior, ahora le toca el turno al archivo .htaccess, con estas líneas bloquearemos el acceso y solo será posible acceder a él mediante nuestro FTP.
Bloqueamos el acceso a la carpeta wp-content
[code]RewriteCond %{REQUEST_URI} !^/wp-content/plugins/file/to/exclude\.php
RewriteCond %{REQUEST_URI} !^/wp-content/plugins/directory/to/exclude/
RewriteRule wp-content/plugins/(.*\.php)$ – [R=404,L]
RewriteCond %{REQUEST_URI} !^/wp-content/themes/file/to/exclude\.php
RewriteCond %{REQUEST_URI} !^/wp-content/themes/directory/to/exclude/
RewriteRule wp-content/themes/(.*\.php)$ – [R=404,L][/code]
La carpeta wp-content contiene los archivos de los distintos plugins que hemos instalado. Estos directorios han de estar protegidos ya que puede haber agujeros de seguridad, como por ejemplo plugins que no estén actualizados.
Bloquear el acceso a los direcorios wp-includes y wp-admin
[code]<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ – [F,L]
RewriteRule !^wp-includes/ – [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ – [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php – [F,L]
RewriteRule ^wp-includes/theme-compat/ – [F,L]
</IfModule>[/code]
Los directorios de wp-admin y wp-includes son de vital importancia para el funcionamiento de WordPress, el primero contiene todos aquellos archivos y librerías que forman parte del backend y el segundo de ellos contiene los archivos que son necesarios para el funcionamiento de WordPress, APIs, librerías y demás.
Bloquear el listado de directorios
[code]Options -Indexes[/code]
Con esta instrucción lo que hacemos es prohibir a los usuarios que puedan ver el árbol de directorios y por consiguiente los archivos que hay en cada carpeta, archivos que pueden ser claves para la seguridad de nuestro proyecto.
Y hasta aquí el final del artículo, con estas instrucciones dotaréis a vuestros proyectos de seguridad. Recordad que si tenéis alguna duda podéis contactar conmigo en los comentarios, os contestaré a la mayor brevedad posible.
¡Gracias por vuestra visita!
