¿Cómo puedo proteger mi archivo .htaccess?
Introducción
Asegurar un sitio web es un reto, hay muchos aspectos diferentes de la seguridad del sitio web y un sinnúmero de agujeros de seguridad que necesitan ser cerrados. Hemos reunido algunos consejos útiles de seguridad htaccess, ajustes y fragmentos de código para solucionar problemas comunes de seguridad del sitio web. Todas estas correcciones funcionan perfectamente en nuestra plataforma de alojamiento web. Los escáneres de seguridad a menudo detectan estos problemas. He aquí cómo puede solucionarlos para mejorar la seguridad general de su sitio web. Puede utilizar estos consejos de seguridad htaccess y fragmentos de código para WordPress y cualquier otro sitio web.
¿Qué es un archivo .htaccess?
.htaccess es un archivo utilizado por el servidor web Apache para definir variables de entorno del servidor y parámetros de configuración sólo para el directorio especificado. Normalmente se encuentra en el directorio raíz de su sitio web, por ejemplo, /home/nombre_usuario/public_html/.htaccess
Activar HTTP Strict Transport Security (HSTS) en .htaccess
La compatibilidad con HTTP Strict Transport Security (HSTS) es mostrada a menudo por SEO y escáneres de seguridad. ¿Para qué sirve? Simplemente indica a los navegadores web que desea que su sitio web sólo sea accesible a través de una conexión https válida. Para activarlo, simplemente añada esta línea a su htaccess:
Conjunto de cabeceras Strict-Transport-Security "max-age=31536000" env=HTTPS
Bloquear la ejecución de código PHP en determinados directorios en .htaccess
Este es un rápido .htaccess sitio web de seguridad tweak que funciona para WordPress o cualquier otro sitio web personalizado con directorios que desea proteger de la ejecución de código PHP. Con este truco .htaccess, puede bloquear fácilmente la ejecución de PHP en sus directorios centrales de WordPress para detener ataques comunes. Sin embargo, compruebe cuidadosamente su sitio web para asegurarse de que la funcionalidad de los temas o plugins existentes no se vea afectada. Para ello, simplemente cree un archivo .htaccess en cada directorio que desee proteger y añada este código:
Orden allow,deny
Denegar desde todos
Requerir denegar de todos
Restringir el acceso por dirección IP en .htaccess
Si dispone de una dirección IP estática, puede utilizarla para controlar el acceso a determinados archivos o directorios de su sitio web, como la página de inicio de sesión o el área de administración. Esto se suele utilizar para proteger sitios web de WordPress restringiendo el acceso a los directorios wp-login.php y /wp-admin/, pero también funciona para otros sistemas de gestión de contenidos y sitios web y aplicaciones personalizados.
Para restringir el acceso a un archivo específico
<Archivos .php>
Orden deny,allow
Denegar desde todos
Permitir desde
Para restringir el acceso a un directorio completo, cree un archivo .htaccess en el directorio que desea proteger y añada este código:
Orden Denegar,Permitir
Denegar desde todos
Permitir desde
Impedir la navegación por directorios en .htaccess
Su proveedor de alojamiento suele configurarlo por defecto, pero si no es así, puede añadir la siguiente línea a su archivo .htaccess para impedir la navegación por sus directorios a través de un navegador web.
Opciones Todas -Índices
Evitar hotlinking de imágenes en .htaccess
Esto impide que otros sitios web muestren las imágenes alojadas en su sitio web. Esto no es un gran problema, pero si el sitio web tiene mucho tráfico, puede consumir rápidamente su ancho de banda y hacer que su sitio web se bloquee o incurra en costes adicionales de ancho de banda. También puedes sustituir la imagen por una que muestre el nombre y la dirección de tu sitio web para hacerte un poco de promoción, o sustituirla por algo descarado si lo consideras oportuno. Sólo tienes que añadir este código a tu archivo .htaccess y cambiar en consecuencia tu dominio y la URL de tu imagen sin hotlinks:
RewriteEngine Activado
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http://(www.)?sudominio.com/.*$ [NC]
RewriteRule .(jpeg|JPEG|jpe|JPE|jpg|JPG|gif|GIF|png|PNG)$ https://www.yourdomain.com/no-hotlinking.png [R,L]
Encabezado para compartir recursos entre orígenes (CORS)
Básicamente, esta cabecera restringe el acceso a recursos como hojas de estilo CSS, imágenes y scripts al dominio especificado. Le recomendamos que lea más sobre CORS en la página Sitio web para desarrolladores de Mozilla para leer. Si desea activar CORS, simplemente añada la siguiente línea a su .htaccess:
Header set Access-Control-Allow-Origin https://www.yourdomain.com
Desactivar HTTP Track & Trace
Otro método indicado a menudo por los escáneres de seguridad es desactivar los métodos HTTP TRACE y HTTP TRACK. Esto se puede conseguir en Apache añadiendo TraceEnable Off a su httpd.conf o añadiendo el siguiente código a su archivo .htaccess:
RewriteEngine activado
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* - [F]