Crear un nuevo wp-config quitando la información importante  

 
Jorge
 Jorge
Usuario activo

Hola, he estado leyendo uno de los post en los que se comenta que es bueno eliminar la información sensible de wp-config.php, creando para ello un nuevo archivo config.php.
En post dice que lo ideal es crearlo en un directorio accesible sin www, en un directorio anterior a public_html o www.

En mi public_html tengo muchas webs diferentes y no se como tendría que hacerlo para más de un config.php.

Se me ocurre que en este directorio no accesible (anterior al public_html) podría poner un config-1.php, config-2.php y así sucesivamente por cada web que tenga y luego añadir la siguiente línea en el wp-config.php original.

<?php
include('/home/tu_usuario/config-1.php'); 

...o config-2-php o lo que corresponda según la web que sea.

Sería correcto?

Gracias 🙂

URL del sitio: Contenido solo visible a usuarios registrados

Citar
Respondido : 26/09/2014 5:17 pm
Jhon
 Jhon
Soporte CMS Webempresa Moderator

HOla Jorge

Creo que te complicas con esto, hay otros temas de seguridad que podrían ser más importantes que monitorees como actualizaciones de wp y plugins, acceso al backend , etc

Lo que te recomiendo es dejar el wp-config ya que al cambiar te complicará la administración, lo que podrías evaluar sería cambiar los permisos del archivo en lugar de moverlo puedes poner permiso de solo lectura por ejemplo y evitar configuraciones de mover archivo

Saludos.

Si nuestra ayuda te sirve déjanos tu testimonio y mejora así el posicionamiento de tu web:
Enviar mi Testimonio
¡Gracias!.

ResponderCitar
Respondido : 26/09/2014 6:55 pm

Cursos Gratuitos WordPress

Jorge
 Jorge
Usuario activo

Ok, gracias por tu respuesta Jhon.
Ahora mismo, los permisos de mi wp-config.php están en 644.
Y respecto a seguridad en el .htaccess he preparado este código siguiendo uno de los post de WE.
A ver que te parece.

# BEGIN WordPress
    
    RewriteEngine On
    RewriteBase /
    RewriteRule ^index.php$ - [L]
    RewriteCond %{REQUEST_FILENAME} !-f
    RewriteCond %{REQUEST_FILENAME} !-d
    RewriteRule . /index.php [L]
    
# END WordPress

# Proteger wp-config.php

order allow,deny
deny from all


# evitar acceso wp-content
Order deny,allow
    Deny from all
    
    Allow from all
    
    
# desactivar trace
RewriteEngine on
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* - [F]

# evitar navegación de directorios
Options All -Indexes

# hotlinking
RewriteEngine On
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^ http://(www.)?tu_dominio.com/.*$  [NC]
RewriteRule .(gif|jpg)$  http://www.tu_dominio.com/hotlink.gif  [R,L]

# proteger htaccess

order allow,deny
deny from all

Gracias

ResponderCitar
Respondido : 26/09/2014 8:29 pm
Jhon
 Jhon
Soporte CMS Webempresa Moderator

Hola

Lo que quieres hacer con .htaccess lo puedes hacer cambiando el permiso de tu archivo a 444
Puedes hacerlo a través del Administrador de Archivos de tu cpanel

Igual puedes también colocar el código de denegación al archivo en el .htaccess

Saludos.

Si nuestra ayuda te sirve déjanos tu testimonio y mejora así el posicionamiento de tu web:
Enviar mi Testimonio
¡Gracias!.

ResponderCitar
Respondido : 26/09/2014 10:26 pm

Gestor de Contraseñas - VPN Conexión Segura - Gestor 2FA (Segundo Factor de Autenticación

Jorge
 Jorge
Usuario activo

Gracias Jhon pero cuando hablas de poner permisos 444 al wp-config...
con eso haría lo mismo que con este trozo de código, pero el resto del código del htaccess está bien y sirve para tener un wp más seguro, no? Gracias
# Proteger wp-config.php

order allow,deny
deny from all

ResponderCitar
Respondido : 29/09/2014 3:25 am
Luis Mendez Alejo
 Luis Mendez Alejo
Miembro Admin

Hola Jorge,

Para que hacer con un código lo que puedes hacer desde tu cPanel, Administrador de Archivos.

Pienso que no es practico, por dos razones:

1. Cuando ejecutes Stephan desde tu Área de Cliente, cambiarás los permisos a 644 de neuvo a wp-config.php porque son sus permisos naturales.

2. Por muchos permisos que cambies, wp-config.php no puede ser listado desde el navegador ¿has probado a llamar al archivo desde el navegador? 🙂

Como dice Jhon, es más práctico centrase en aspectos importantes de seguridad como mantener WordPress actualizado, los plugins y temas actualizados y no instalar plugins de dudosa procedencia que liarte a hacer cambios raros que puedan dejar inoperativo tu sitio web.

¿Quieres un perímetro adicional de seguridad? instala Latch 🙂

- https://www.webempresa.com/blog/item/1390-protege-y-bloquea-el-dashboard-de-wordpress-con-latch-de-eleven-paths.html

Saludos

Si nuestra ayuda te sirve déjanos tu testimonio y mejora así el posicionamiento de tu web:
Enviar Testimonio
¡Gracias!.

ResponderCitar
Respondido : 29/09/2014 3:39 am

wpdoctor-revisa-la-salud-de-tu-wordpress

Jorge
 Jorge
Usuario activo

Perdón por insistir pero me he perdido. Jhon me dijo que pusiera los permisos en 444 pero según tu captura debo ponerlo en 644.

Ok, suelo tener los plugins y temas al día pero pensaba que era útil usar ese código en el htaccess porque lo leí en una publicación del blog de webempresa pero si me decías que no es necesario lo dejo con el código standard de wp y echaré un ojo a Latch.
Esta es la publicación de la que os hablaba:

Gracias y un saludo

ResponderCitar
Respondido : 29/09/2014 3:49 am
Luis Mendez Alejo
 Luis Mendez Alejo
Miembro Admin

Hola Jorge,

Cito lo que dije:

1. Cuando ejecutes Stephan desde tu Área de Cliente, cambiarás los permisos a 644 de nuevo a wp-config.php porque son sus permisos naturales.

No adelanta que los cambies, volverán a ser 644 a la que ejecutes Stephan para ver como esta tu web. 🙂

Conozco el artículo 🙂 lo escribí hace unos 3 meses, no obstante "son consejos genéricos" no es necesario seguirlos al pie de la letra, tómalos como recomendaciones y extrae aquello que te resulte útil 🙂

Latch si que es una alternativa a todo lo demás, instalas Latch, lo configuras con tu formulario de acceso de WordPress y controlas cuando esta abierto y cuando esta cerrado desde tu móvil, y te olvidas de ataques de fuerza bruta, etc.

Saludos

Si nuestra ayuda te sirve déjanos tu testimonio y mejora así el posicionamiento de tu web:
Enviar Testimonio
¡Gracias!.

ResponderCitar
Respondido : 29/09/2014 3:59 am

optimiza-automaticamente-todas-las-imagenes-de-tu-wordpress

Jorge
 Jorge
Usuario activo

Ok muchas gracias 😀

ResponderCitar
Respondido : 29/09/2014 4:01 am

Por favor Iniciar Sesión o Registro