Seguridad WordPress

¿Quieres patrocinar?

¿Quieres aparecer aquí? Si quieres patrocinar este blog, ponte en contacto conmigo a través de este formulario

Seguridad WordPress: proteger wp-config.php

El archivo wp-config.php es uno de los más críticos en cuanto a seguridad se refiere ya que es el que contiene la información sobre la conexión a la base de datos: nombre, usuario, contraseña, etc…

wpconf database

Este archivo es uno de los objetivos principales de cualquier atacante malintencionado. Tenemos varias opciones para protegerlo: mediante reglas en el .htaccess, asignándole permisos especiales, o “esconderlo” cambiándolo de ruta por ejemplo a una carpeta de nivel superior.

La primera opción es protegerlo mediante reglas en el .htaccess, basta con añadir estas líneas:

<files wp-config.php>
  order allow,deny
  deny from all
</files>

Además, podemos asignarle unos permisos especiales: 444. Esto significa que será de sólo lectura para propietario, grupo y público, evitando que se pueda escribir en él.

Por último existe un “truco” para proteger este archivo, y es cambiarlo de ruta sacándolo fuera de la instalación. Como todo el mundo sabe, este archivo por defecto va en la raíz del sitio, pero puedes moverlo a un nivel superior y sin necesidad de realizar ninguna acción más WordPress lo detectará automáticamente.

Por ejemplo, si en tu servidor tienes alojado WordPress en la carpeta ../html/wordpress/, puedes mover el archivo wp-config.php a la ruta ../html/wp-config.php, y WordPress lo detectará automáticamente!!

¿Te ha resultado útil esta información?

Si este post te ha resuelto un problema, invítame a un café o a una cerveza. Con este pequeño gesto me animas a seguir escribiendo.