WordPress, una herramienta eficaz para incrementar la seguridad es la correcta configuración del archivo .htaccess, especialmente cuando se trata de restringir el acceso a archivos que no deberían ser públicamente accesibles. Este artículo explora cómo los administradores de sitios WordPress pueden utilizar el archivo .htaccess para prevenir accesos no autorizados a archivos críticos o sensibles.

Utilización de .htaccess para Bloquear Acceso a Archivos Sensibles

El archivo .htaccess, un archivo de configuración usado en servidores web que operan bajo Apache, es crucial para gestionar la seguridad en WordPress. Permite a los administradores establecer reglas que limitan el acceso a archivos específicos, proporcionando una capa adicional de protección contra accesos indeseados. A continuación, se detalla cómo implementar estas restricciones:

Directivas de Seguridad en .htaccess

1. Activación de mod_alias: El bloque <IfModule mod_alias.c> verifica si el módulo mod_alias de Apache está activo, permitiendo el uso de directivas para redireccionar y remapear URLs. Este módulo es esencial para aplicar las restricciones de acceso especificadas.
2. Restricción de Acceso a Archivos Temporales o de Respaldo:
   • RedirectMatch 403 (?i)(^#.*#|~)$: Esta regla impide el acceso a archivos que comúnmente son temporales o de respaldo, como los que terminan en ~ o están encerrados entre #, que son frecuentemente creados por editores de texto.
   • RedirectMatch 403 (?i).(ds_store|well-known): Bloquea el acceso a los archivos .ds_store, comunes en sistemas operativos macOS, y a directorios .well-known que pueden contener configuraciones sensibles.
3. Protección de Archivos de Configuración y Documentación:
   • RedirectMatch 403 (?i)/readme.(html|txt): Restringe el acceso a los archivos readme.html o readme.txt, que podrían proporcionar información sobre la configuración del sitio.
   • RedirectMatch 403 (?i)/wp-config-sample.php: Específicamente prohíbe el acceso al archivo de muestra de configuración de WordPress, evitando que se expongan configuraciones predeterminadas.
4. Bloqueo de Tipos de Archivos Potencialmente Peligrosos:
   • RedirectMatch 403 (?i).(7z|bak|bz2|com|conf|dist|fla|git|inc|ini|log|old|psd|rar|tar|tgz|save|sh|sql|svn|swo|swp)$: Esta directiva es crucial, ya que prohíbe una variedad de extensiones de archivo que normalmente no deberían ser accesibles a través de la web, como archivos de copia de seguridad, de configuración, y comprimidos.

Importancia de la Configuración Personalizada

Mientras que las reglas proporcionadas constituyen un buen punto de partida para la seguridad básica, es esencial que cada administrador ajuste estas configuraciones según las necesidades específicas de su sitio. La seguridad web es dinámica y requiere una revisión y adaptación constantes a las nuevas amenazas y vulnerabilidades.

Ejemplo de .htaccess

# SECURE FILES
# https://wpdirecto.com
<IfModule mod_alias.c>
RedirectMatch 403 (?i)(^#.*#|~)$
RedirectMatch 403 (?i)/readme.(html|txt)
RedirectMatch 403 (?i).(ds_store|well-known)
RedirectMatch 403 (?i)/wp-config-sample.php
RedirectMatch 403 (?i).(7z|bak|bz2|com|conf|dist|fla|git|inc|ini|log|old|psd|rar|tar|tgz|save|sh|sql|svn|swo|swp)$
</IfModule>

La configuración adecuada del archivo .htaccess en sitios WordPress es una medida esencial de seguridad para proteger archivos sensibles y configuraciones críticas del acceso público. Al implementar las directivas de seguridad detalladas, los administradores pueden significativamente mejorar la protección de sus sitios contra accesos no autorizados y potenciales ciberataques. Esta práctica no solo fortalece la seguridad de la información, sino que también protege la reputación y la operatividad del sitio en el ciberespacio.