.htaccess

Seguridad básica: instalación de WordPress

Por Jordi Sanchez - 11/01/2010 - Guardado en Seguridad, Tutoriales

Hoy seguiremos nuestro tutorial sobre Seguridad en WordPress con el segundo apartado, Seguridad básica: instalación de WordPress. La instalación de WordPress es la base de nuestra seguridad y, aunque es extremadamente fácil de hacer, lo mejor es tomársela  con calma y prestar atención a todos sus detalles, que no siempre son tenidos en cuenta.

  1. Usuario de la base de datos: lo ideal es crear un usuario destinado exclusivamente a nuestro blog, con permisos exclusivos para trabajar con las tablas de WordPress. Es por eso que no debemos utilizar nunca el usuario root. En general, los permisos que daremos al usuario destinado a acceder a la base de datos de nuestro blog serán SELECT, INSERT, UPDATE, DELETE (para datos) y CREATE, ALTER, DROP (para estructuras), pudiendo descartar el CREATE y el DROP si comparte su base de datos con otros proyectos.
  2. Cambia el prefijo de tus tablas: WordPress por defecto utiliza wp_ como prefijo para las tablas correspondientes a nuestro WordPress, pero siempre se debería cambiar esta opción en nuestra instalación. De esta forma alguien que quiera acceder a nuestros datos deberá conocer ese prefijo antes. Lo mejor, pues, es utilizar un prefijo aleatorio que no sea de fácil deducción.

    3. Leer más »

Etiquetas: , , , , , ,
9 comentarios

Quitar las fechas de los permalinks sin tocar el archivo .htaccess

Por 1C11 - 22/12/2009 - Guardado en Plugins, SEO, Trucos, Tutoriales

Hace casi 3 meses que empecé con mi blog Un Cafelito a las Once. De entre las muchas opciones que barajé, me quedé con WordPress como plataforma y pronto de mi cuenta de la versatilidad y capacidades que ofrecía. Lo que me quedó claro desde un principio fue que era muy importante tener una estructura de direcciones de artículos o permalinks lo mejor posible para que fueran amigables a los buscadores.

Pero, ¿qué estructura de URL (permalinks) me convenía más para mis artículos? En aquel entonces pensé que, una que incluyera la fecha completa, podría venir bien como referencia en el futuro. Grave error. Con el tiempo me di cuenta de que el contenido de mis artículos, no tendría por qué tener caducidad, y de tenerla preferiría ser yo o mis lectores quienes lo decidieran. Además, parece ser que los buscadores no tienen en cuenta las fechas.

Leer más »

Etiquetas: , , ,
4 comentarios

Más .htaccess trucos para WordPress

Por Ignacio - 13/08/2009 - Guardado en Programación, Trucos

.htaccess (hypertext access) es un utilísimo archivo que nos realizará una gran cantidad de interesantes tareas en nuestros servidores Apache (pero también otros), y que todo usuario de WordPress agradecerá conocer, especialmente cuando quiera ‘tunear’ el comportamiento de su instalación sin tener que tocar una sola línea del core de nuestro sistema de blog favorito, o mucho menos de la estructura de su servidor.

El pequeño archivo, que tiene la forma de un simple, vacío documento de texto, debe ser creado y nombrado como .htaccess (y ello con un editor de texto especializado en escribir código como el excelente NotePad++).

Una vez creado y llenado con las distintas órdenes que nos interesen, lo tendremos que subir al directorio principal de nuestro servidor, desde donde governar el conjunto de nuestro espacio on-line. Aunque hay excepciones, aquí usaremos ejemplos inofensivos desde el directorio principal.

Recordemos también que a menudo, tanto nuestro servidor como WordPress, crean por defecto un .htaccess vacío a modificar (las razones de la eventualidad de esta creación automática escapan al autor).

Leer más »

Etiquetas:
4 comentarios

¿Quieres colaborar con tu sitio en la lucha contra spam y los botnets?

Por Álvaro Degives-Más - 05/07/2009 - Guardado en Trucos, Tutoriales, WordPress

En TodoWordPress ya hay varias entradas dedicadas a diferentes formas de mejorar la seguridad de tu bitácora. Sin embargo, aún no se ha ofrecido una descripción de un método bastante que – a la vez – ayuda a proteger tu sitio WordPress cuando lo tienes funcionando bajo un plan de hospedaje propio, y que participa en un proyecto colaborativo mediante el cual de hecho ayudas a proteger a otros sitios, incluso aquellos que funcionan bajo otro sistema y encima participa en la caza continua de los muchos y malvados rastreadores que nos bombardean con mensajes spam, bien sea por correo electrónico o con los dichosos comentarios fantasma y sus enlaces spam en tu bitácosa.

Antes que nada, una necesaria aclaración: no hay método que acierte al 100%. Dicho de otra forma: seguridad no es cuestión de tomar determinadas medidas, de incorporar algunos elementos, si no que es una disciplina necesariamente continua que ha de aplicarse con un rigor y un ahínco igual o superior a los malos que intentan las 24 horas al día fastidiarte tu sitio. Es bien sabido que los métodos de los maleantes cambian de forma continua, adaptándose a las medidas que se vayan desarrollando y adoptando en su contra. Al mismo tiempo, y según vaya avanzando WordPress, los posibles objetivos (léase: posibles vulnerabilidades) también cambian. Compárese con la seguridad de tu equipo PC: no vale acomodarse, ni pensar que con tal de emplear un determinado programa tengas asegurada la seguridad de tu equipo (sea de la marca que sea, y funcione con el sistema operativo que sea). Éste, pues, es un artículo que no pretende más que indicar una vía – entre otras posibles alternativas y/o medidas complementarias – para aclarar que no sólo es deseable, sino que muy posible y bastante fácil tomar cartas en el asunto.

Si estás hasta el gorro de spam, los botnets y los rastreadores que te van robando ancho de banda a la medida que intentan allanar la morada de tu sitio: esta entrada va por tí.

Leer más »

Etiquetas: , , , , ,
4 comentarios

Proteger tu blog del Hotlinking desde el .htaccess

Por Marcelo Lynch - 09/06/2009 - Guardado en Programación, Trucos

A esta altura del partido deben saber lo que es el hotlinking, pero, si no es así, les explico. Éste término es utilizado por bloggers y gente similar, y proviene del problema de que otros sitios enlacen contenido -imágenes, mayormente-, y gasten parte de la banda ancha de tu servidor.

Pero con unas líneas de código en el .htaccess (recuerda siempre hacer una copia de seguridad antes de modificarlo), se puede evitar lo antedicho. Sólo hay que agregar esto:
RewriteEngine On
RewriteCond %{HTTP_REFERER} !^http://(.+\.)?TUSITIO\.com/ [NC]
RewriteCond %{HTTP_REFERER} !^$
RewriteRule .*\.(jpe?g|gif|bmp|png)$ /imagenes/nohotlink.jpg [L]
En cualquier parte del archivo.

Leer más »

Etiquetas: ,
16 comentarios

Evita que se listen los archivos que hay en un directorio

Por Francisco Marín - 30/12/2008 - Guardado en Trucos, WordPress

Archivos dentro de un directorio (Capturado de enGeneral).Seguramente alguna vez has entrado en un directorio y te has encontrado un listado con todos las carpetas y archivos que hay en el.

Esto lo vemos diariamente en WordPress con la carpeta uploads, si entras, por ejemplo, en www.tudominio.com/wp-content/uploads/2009/01/ verás todas las subidas que se han hecho en el mes de enero de dos mil nueve, más o menos como se ve en la imagen de la izquierda (pulsa en la imagen para agrandarla).

Si quieres que no se listen los archivos que hay subidos en un directorio sin index simplemente tienes que añadir esto en el .htaccess de tu sitio:

Options -Indexes

De esta forma, si algún curioso intenta entrar en alguna carpeta sin index le debería aparecer algo como esto:

Error 404: No se muestran los archivos que hay en el directorio.

Imagen (1) capturada de enGeneral

Etiquetas: ,
7 comentarios