SEGURIDAD DEL DIRECTORIO DE CONTENIDO

La verdadera medida de la justicia de un sistema es la cantidad de protección que garantiza a los más débiles.

Frases de Aung San Suu Kyi

Volvamos nuevamente al tema de WordPress y el como este Gran CMS creado por Matt Mullenweg y compañia. Puede ir se transformando una idea de una pagina web a una plataforma de servicios y aplicaciones. Y todos estos complementos fusionados a dicho CORE, de una manera sutil y satisfactoria. Lo cual hace que sigamos apostando por WP, para las soluciones de nuestros clientes.

Actualmente con unos de nuestros clientes hemos implementado un LMS “sistema de gestión de aprendizaje” y entre los testeos nos dimos cuenta que teníamos un punto de seguridad no cubierto. El cual se encontraba en nuestros directorios de contenido. El famosimo WP-CONTENT. Este directorio contiene los temas de su sitio web “Themes”, los archivos de complementos “Plugins” y las cargas de medios “Uploads”. Aunque no son las únicas carpeta que pueden estar ahí presentes. Por lo cual es recomendable que si ven una carpeta fuera de estas 3 que son las que se instalan por default, analizar de que trata.

Es importante darle seguridad a este repositorio ya que prácticamente se tiene ahí la solución final del aplicativo web. Y esta la que debe ser protegida ya que muchos software maliciosos hacen ataques directos a dicha carpeta y cualquier destrucción de información de esta ruta. Puede tornar un bloqueo del sitio web. Y esto en cualquier multiverso no es nada bueno.

El maldito .HTACCESS

Existe infinidad de plugins que te pueden dar opciones. Y las opciones son buenas pero son algo tardadas y yo soy un programador de gustos simples y siempre voy a preferir configurar cosas con mis propias manos. Así experimento la sensación de saber que estoy haciendo. Y esta vez vamos a proteger el directorio con el .htaccess

El archivo .htaccess (HyperText Access o acceso de hipertexto) es un archivo de configuración del software de servidor Apache, que contiene las directivas que definen el comportamiento de Apache. Este archivo. indica en todo momento qué puede hacer y qué no el usuario que visita tu web, así como configurar el comportamiento del servidor ante errores de conexión u optimizar de contenido

Manos a la obra en una sola maniobra, A donde vamos?

Comenzamos en ir al directorio wp-content y agregar un .htaccess y agregar las siguientes lineas de código

Order Allow, Deny
Deny from all
Allow from all

Posteriormente vamos al directorio wp-content/uploads y agregar un .htaccess y agregar las siguientes lineas de código.

<Files ~ ".*\..*">
Order Allow,Deny
Deny from all
</Files>
<FilesMatch "\.(jpg|jpeg|jpe|gif|png|bmp|tif|tiff|doc|pdf|rtf|xls|numbers|odt|pages|zip|rar|docx|xlsx)$">
Order Deny,Allow
Allow from all
</FilesMatch>

En este fragmento de codigo lo que le estamos diciendo es que no tenga permitido acceder a dicha carpeta , por lo cual si acceden mandara un error 404. ademas en la carpeta uploads no permitiremos subir archivos maliciosos.

Bueno espero que esto les sea de utilidad y si mas por el momento me despido queridos lectores y únicos amigos.

Referencia

https://digwp.com/2012/09/secure-media-uploads/

https://codex.wordpress.org/WordPress_Files

Deja un comentario

Tu dirección de correo electrónico no será publicada.