Avisos
Vaciar todo
Hola, he estado leyendo uno de los post en los que se comenta que es bueno eliminar la información sensible de wp-config.php, creando para ello un nuevo archivo config.php.
En post dice que lo ideal es crearlo en un directorio accesible sin www, en un directorio anterior a public_html o www.
En mi public_html tengo muchas webs diferentes y no se como tendría que hacerlo para más de un config.php.
Se me ocurre que en este directorio no accesible (anterior al public_html) podría poner un config-1.php, config-2.php y así sucesivamente por cada web que tenga y luego añadir la siguiente línea en el wp-config.php original.
<?php
include('/home/tu_usuario/config-1.php');
...o config-2-php o lo que corresponda según la web que sea.
Sería correcto?
Gracias 🙂
URL del sitio: Contenido solo visible a usuarios registrados
Respondido : 26/09/2014 5:17 pm
HOla Jorge
Creo que te complicas con esto, hay otros temas de seguridad que podrían ser más importantes que monitorees como actualizaciones de wp y plugins, acceso al backend , etc
Lo que te recomiendo es dejar el wp-config ya que al cambiar te complicará la administración, lo que podrías evaluar sería cambiar los permisos del archivo en lugar de moverlo puedes poner permiso de solo lectura por ejemplo y evitar configuraciones de mover archivo
Saludos.
Respondido : 26/09/2014 6:55 pm
Ok, gracias por tu respuesta Jhon.
Ahora mismo, los permisos de mi wp-config.php están en 644.
Y respecto a seguridad en el .htaccess he preparado este código siguiendo uno de los post de WE.
A ver que te parece.
# BEGIN WordPress
RewriteEngine On
RewriteBase /
RewriteRule ^index.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
# END WordPress
# Proteger wp-config.php
order allow,deny
deny from all
# evitar acceso wp-content
Order deny,allow
Deny from all
Allow from all
# desactivar trace
RewriteEngine on
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* - [F]
# evitar navegación de directorios
Options All -Indexes
# hotlinking
RewriteEngine On
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^ http://(www.)?tu_dominio.com/.*$ [NC]
RewriteRule .(gif|jpg)$ http://www.tu_dominio.com/hotlink.gif [R,L]
# proteger htaccess
order allow,deny
deny from all
Gracias
Respondido : 26/09/2014 8:29 pm
Hola
Lo que quieres hacer con .htaccess lo puedes hacer cambiando el permiso de tu archivo a 444
Puedes hacerlo a través del Administrador de Archivos de tu cpanel
Igual puedes también colocar el código de denegación al archivo en el .htaccess
Saludos.
Respondido : 26/09/2014 10:26 pm
Gracias Jhon pero cuando hablas de poner permisos 444 al wp-config...
con eso haría lo mismo que con este trozo de código, pero el resto del código del htaccess está bien y sirve para tener un wp más seguro, no? Gracias
# Proteger wp-config.php
order allow,deny
deny from all
Respondido : 29/09/2014 3:25 am
Hola Jorge,
Para que hacer con un código lo que puedes hacer desde tu cPanel, Administrador de Archivos.
Pienso que no es practico, por dos razones:
1. Cuando ejecutes Stephan desde tu Área de Cliente, cambiarás los permisos a 644 de neuvo a wp-config.php porque son sus permisos naturales.
2. Por muchos permisos que cambies, wp-config.php no puede ser listado desde el navegador ¿has probado a llamar al archivo desde el navegador? 🙂
Como dice Jhon, es más práctico centrase en aspectos importantes de seguridad como mantener WordPress actualizado, los plugins y temas actualizados y no instalar plugins de dudosa procedencia que liarte a hacer cambios raros que puedan dejar inoperativo tu sitio web.
¿Quieres un perímetro adicional de seguridad? instala Latch 🙂
Saludos
Respondido : 29/09/2014 3:39 am
Perdón por insistir pero me he perdido. Jhon me dijo que pusiera los permisos en 444 pero según tu captura debo ponerlo en 644.
Ok, suelo tener los plugins y temas al día pero pensaba que era útil usar ese código en el htaccess porque lo leí en una publicación del blog de webempresa pero si me decías que no es necesario lo dejo con el código standard de wp y echaré un ojo a Latch.
Esta es la publicación de la que os hablaba:
Gracias y un saludo
Respondido : 29/09/2014 3:49 am
Hola Jorge,
Cito lo que dije:
1. Cuando ejecutes Stephan desde tu Área de Cliente, cambiarás los permisos a 644 de nuevo a wp-config.php porque son sus permisos naturales.
No adelanta que los cambies, volverán a ser 644 a la que ejecutes Stephan para ver como esta tu web. 🙂
Conozco el artículo 🙂 lo escribí hace unos 3 meses, no obstante "son consejos genéricos" no es necesario seguirlos al pie de la letra, tómalos como recomendaciones y extrae aquello que te resulte útil 🙂
Latch si que es una alternativa a todo lo demás, instalas Latch, lo configuras con tu formulario de acceso de WordPress y controlas cuando esta abierto y cuando esta cerrado desde tu móvil, y te olvidas de ataques de fuerza bruta, etc.
Saludos
Respondido : 29/09/2014 3:59 am
Ok muchas gracias 😀
Respondido : 29/09/2014 4:01 am
