De forma predeterminada, WordPress hace que ciertos directorios se puedan escribir para que usted y otros usuarios autorizados en su sitio web puedan cargar fácilmente temas, complementos, imágenes y videos en su sitio web.
Sin embargo, se puede abusar de esta capacidad si cae en la mano equivocada, como los piratas informáticos que pueden usarla para cargar archivos de acceso de puerta trasera o malware a su sitio web.
Estos archivos maliciosos a menudo se disfrazan como archivos centrales de WordPress. En su mayoría están escritos en PHP y pueden ejecutarse en segundo plano para obtener acceso completo a todos los aspectos de su sitio web.
Suena aterrador, ¿verdad?
No se preocupe, hay una solución fácil para eso. Básicamente, simplemente deshabilitaría la ejecución de PHP en ciertos directorios donde no la necesita. Al hacerlo, ningún archivo PHP se ejecutará dentro de esos directorios.
En este artículo, le mostraremos cómo deshabilitar la ejecución de PHP en WordPress usando el archivo .htaccess.
Deshabilitar la ejecución de PHP en ciertos directorios de WordPress usando el archivo .htaccess
La mayoría de los sitios de WordPress tienen un archivo .htaccess en la carpeta raíz. Este es un poderoso archivo de configuración que se utiliza para proteger con contraseña el área de administración, deshabilitar la navegación de directorios, generar una estructura de URL amigable para SEO y más.
De forma predeterminada, el archivo .htaccess se encuentra en la carpeta raíz de su sitio web de WordPress, pero también puede crearlo y usarlo dentro de sus directorios internos de WordPress.
Para proteger su sitio web de los archivos de acceso por puerta trasera, debe crear un archivo .htaccess y cargarlo en los directorios / wp-includes / y / wp-content / uploads / de su sitio.
Simplemente cree un archivo en blanco en su computadora usando un editor de texto como el Bloc de notas (TextEdit en Mac). Guarde el archivo como .htaccess y pegue el siguiente código en su interior.
<Files *.php> deny from all </Files>
Ahora guarde el archivo en su computadora.
A continuación, debe cargar este archivo en las carpetas / wp-includes / y / wp-content / uploads / en su servidor de alojamiento de WordPress.
Puede cargarlo utilizando un cliente FTP o mediante la aplicación File Manager en el panel de control de cPanel de su cuenta de alojamiento.
Una vez que se agrega el archivo .htaccess con el código anterior, detendrá la ejecución de cualquier archivo PHP en estos directorios.
El uso de este truco .htaccess lo ayuda a fortalecer la seguridad de WordPress, pero no es un FIX para un sitio de WordPress ya pirateado.
Las puertas traseras están inteligentemente disfrazadas y ya se pueden ocultar a plena vista.
Si desea buscar posibles puertas traseras en su sitio web, debe activar Sucuri en su sitio web.
Sucuri es el mejor complemento de seguridad de WordPress del mercado. Analiza su sitio web en busca de posibles amenazas, código sospechoso, malware y vulnerabilidades.
También bloquea de manera efectiva la mayoría de los intentos de piratería para llegar a su sitio web al agregar un firewall entre su sitio y el tráfico sospechoso.
Lo más importante es que si su sitio de WordPress es pirateado, lo limpiarán por usted. Para obtener más información, puede consultar nuestra revisión de Sucuri porque hemos estado utilizando su servicio durante años.
Esperamos que este artículo le haya ayudado a aprender cómo deshabilitar la ejecución de PHP en ciertos directorios de WordPress para fortalecer la seguridad de su sitio web. Si está buscando una guía completa, consulte nuestra guía de seguridad definitiva de WordPress.
Si le gustó este artículo, suscríbase a nuestro Canal de Youtube para tutoriales en video de WordPress. También puedes encontrarnos en Gorjeo y Facebook.