De forma predeterminada, WordPress hace que se puedan escribir ciertos directorios para que usted y otros usuarios autorizados en su sitio web puedan cargar fácilmente temas, complementos, imágenes y videos a su sitio web.
Sin embargo, se puede abusar de esta capacidad si cae en manos equivocadas, como los piratas informáticos que pueden usarla para cargar archivos de acceso de puerta trasera o malware a su sitio web.
Estos archivos maliciosos a menudo se disfrazan como archivos centrales de WordPress. En su mayoría están escritos en PHP y pueden ejecutarse en segundo plano para obtener acceso completo a todos los aspectos de su sitio web.
Suena aterrador, ¿verdad?
No se preocupe, hay una solución fácil para eso. Básicamente, simplemente deshabilitaría la ejecución de PHP en ciertos directorios donde no lo necesita. Al hacerlo, los archivos PHP no se ejecutarán dentro de esos directorios.
En este artículo, le mostraremos cómo deshabilitar la ejecución de PHP en WordPress usando el archivo .htaccess.
Deshabilitar la ejecución de PHP en ciertos directorios de WordPress usando el archivo .htaccess
La mayoría de los sitios de WordPress tienen un archivo .htaccess en la carpeta raíz. Este es un poderoso archivo de configuración que se utiliza para proteger con contraseña el área de administración, deshabilitar la exploración de directorios, generar una estructura de URL compatible con SEO y más.
De forma predeterminada, el archivo .htaccess se encuentra en la carpeta raíz de su sitio web de WordPress, pero también puede crearlo y usarlo dentro de sus directorios internos de WordPress.
Para proteger su sitio web de los archivos de acceso de puerta trasera, debe crear un archivo .htaccess y cargarlo en los directorios /wp-includes/ y /wp-content/uploads/ de su sitio.
Simplemente cree un archivo en blanco en su computadora usando un editor de texto como Notepad (TextEdit en Mac). Guarde el archivo como .htaccess y pegue el siguiente código dentro de él.
<Files *.php> deny from all </Files>
Ahora guarde el archivo en su computadora.
A continuación, debe cargar este archivo en las carpetas /wp-includes/ y /wp-content/uploads/ en su servidor de alojamiento de WordPress.
Puede cargarlo utilizando un cliente FTP o a través de la aplicación Administrador de archivos en el panel de control de cPanel de su cuenta de alojamiento.
Una vez que se agrega el archivo .htaccess con el código anterior, detendrá la ejecución de cualquier archivo PHP en estos directorios.
El uso de este truco .htaccess lo ayuda a fortalecer la seguridad de WordPress, pero no es una SOLUCIÓN para un sitio de WordPress ya pirateado.
Las puertas traseras están ingeniosamente disfrazadas y ya pueden ocultarse a simple vista.
Si desea verificar posibles puertas traseras en su sitio web, debe activar Sucuri en su sitio web.
Sucuri es el mejor complemento de seguridad de WordPress del mercado. Escanea su sitio web en busca de posibles amenazas, códigos sospechosos, malware y vulnerabilidades.
También bloquea eficazmente la mayoría de los intentos de piratería para incluso llegar a su sitio web al agregar un firewall entre su sitio y el tráfico sospechoso.
Lo que es más importante, si su sitio de WordPress es pirateado, lo limpiarán por usted. Para obtener más información, puede consultar nuestra revisión de Sucuri porque hemos estado usando su servicio durante años.
Esperamos que este artículo le haya ayudado a aprender cómo deshabilitar la ejecución de PHP en ciertos directorios de WordPress para fortalecer la seguridad de su sitio web. Si está buscando una guía completa, consulte nuestra última guía de seguridad de WordPress.
.