Cómo hacer más seguro y rápido tu blog con WordPress y .htaccess

Los archivos .htaccess que están en la raíz de la instalación de WordPress tienen la función principal de contener la reglas de reescritura de las URL para tener URLs personalizadas en WordPress, aquí tienes la explicación de .htaccess de WordPress explicado línea por línea, pero también se pueden agregar más reglas para optimizar tu blog y para agregar mayor seguridad, aquí te voy a mostrar algunas de estas reglas que yo uso desde hace algún tiempo.

Para empezar vamos a activar el motor de reescritura RewriteEngine:

RewriteEngine On

Deshabilitamos la posibilidad de listar los archivos de las carpetas, por razones de seguridad:

Options -Indexes

Agregamos o eliminamos el prefijo www. para prevenir contenido duplicado (reemplaza el ejemplo por tu propio dominio):

# Agrega www (para quitar las www cambia www.techtastico.com por techtastico.com)
RewriteCond %{HTTP_HOST} !^www.techtastico.com$ [NC]
RewriteRule ^(.*)$ http://www.techtastico.com/$1 [R=301,L]

Deshabilitar las ETags, como lo recomienda ySlow:

Header unset ETag
FileETag None

Suprime mostrar errores de PHP, por razones de seguridad (aunque esto no funciona en algunos Hosts):

php_flag display_startup_errors off
php_flag display_errors off
php_flag html_errors off
php_value docref_root 0
php_value docref_ext 0

Controla el caché de los archivos para hacer más rápida la carga de tu blog:

ExpiresActive On
ExpiresDefault A0
<FilesMatch "\\.(gif|jpg|jpeg|png|swf)$">
# 2 weeks
ExpiresDefault A1209600
Header append Cache-Control "public"
</FilesMatch>
<FilesMatch "\\.(xml|txt|html)$">
# 2 hours
ExpiresDefault A7200
Header append Cache-Control "proxy-revalidate"
</FilesMatch>
<FilesMatch "\\.(js|css)$">
# 3 days
ExpiresDefault A259200
Header append Cache-Control "proxy-revalidate"
</FilesMatch>

Asegura el archivo .htaccess evitando que los demás lo puedan ver:

<Files .htaccess>
 Order Allow,Deny
 Deny from all
</Files>

Asegura el archivo wp-config.php evitando que los demás lo puedan ver:

<Files wp-config.php>
 Order Deny,Allow
 Deny from all
</Files>

Si quieres agregar más configuraciones, aquí te dejo una lista de más cosas que puedes agregar el .htaccess para hacer más rápido tu blog.

Escríbe un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

7 comentarios en “Cómo hacer más seguro y rápido tu blog con WordPress y .htaccess”

  1. Hola Muy Interesante E Instructivo En Ciertas Cosas Me Fue Muy Util Hasta Cierto Punto. Pero Estoy Realmente Preocupado En Ciertos Puntos Que Explicas Y Recomiendas Ciertas Cosas Del .htaccess, Con Todo Respeto Solo Habla De Lo Que Conoces, Por Ejemplo Deshabilitar El Visor De Errores De Php(Es Un Error BRUTAL) y Tu Hablas Que Por Seguridad Es Al Reves, Tendrias Que Reparar El Error En Vez De Ocultarlo Al Fin y Al Cabo Para Una Personas Experta En Seguridad Eso No Lo Detendra Y Hackeara El Sitio, Otra Cosa Deshabilitar ‘ MAGIC QUOTES’ Es Como Quitarle Las Rejas A Una Casa La Deja Mas Vulnerable A Intrusion, Talvez Muchos Ya Han Sido Hackeados Gracias A Tus Consejos, Y Despues Le Echan La Culpa A Los Hackers Cuando Ustedes Son Los Principales Responsables Que Un Lammer Haga Daños En Su Sitio. Por Todo Lo Demas Te Felicito Muy Instructivo Y Practico Gracias.

    • En entornos de producción es muy recomendable deshabilitar los errores de PHP, pues no querrás que los usuarios vean rutas internas e información sensible que a veces exponen dichos errores y advertencias.

      En cambio en entornos de desarrollo, cuando estás haciendo pruebas localmente siempre debes tener habilitados los errores.

      Saludos