EsBrillante

Marketing Online - Diseño Gráfico y Web Profesional

Protege tu WordPress en OpenLiteSpeed / CyberPanel

por Deja un comentario

Proteger WordPress en OpenLiteSpeed

Si estás utilizando OpenLiteSpeed para alojar tus sitios web en WordPress, seguramente ya conoces sus ventajas. Este servidor web ha ganado popularidad como una alternativa a Apache, ofreciendo mejor rendimiento y velocidad de forma gratuita. Una de sus características más llamativas es que permite utilizar el mismo archivo de configuración .htaccess que Apache, lo que facilita la migración y la gestión de las reglas de seguridad.

Sin embargo, es importante mencionar que no todas las reglas de Apache son compatibles con OpenLiteSpeed. Algunas reglas de Apache que puedes encontrar en varios blogs no funcionan en OpenLiteSpeed, ya que este servidor tiene algunas limitaciones en su versión gratuita. En LiteSpeed Enterprise (la versión de pago), la compatibilidad con las reglas de Apache es mucho más completa, pero para OpenLiteSpeed, muchas de estas reglas requieren ajustes.

Este artículo te proporcionará un conjunto de reglas que he probado específicamente en servidores que utilizan OpenLiteSpeed, para que no tengas que preocuparte por buscar y adaptar las configuraciones. Todas estas reglas están diseñadas para reforzar la seguridad de tu sitio WordPress.

¿Cómo proteger tu WordPress en OpenLiteSpeed?

Es posible que ya estés preocupado por la seguridad de tu sitio, pero la buena noticia es que puedes aprovechar el archivo .htaccess para implementar reglas que refuercen la protección de tu sitio web basado en WordPress. Aunque en OpenLiteSpeed no todas las reglas de Apache funcionan de manera idéntica, existen alternativas que han sido probadas y funcionan eficazmente.

A continuación, te comparto algunas reglas de seguridad que he implementado con éxito para proteger mis sitios web.

1. Proteger los archivos más importantes

Esta es una de las reglas más importantes, ya que protege archivos clave de WordPress como wp-config.php, que contiene la información de conexión a la base de datos. Los atacantes suelen modificar este archivo para ejecutar scripts maliciosos, por lo que bloquear su acceso es fundamental.

# Denegar el acceso a archivos críticos
RewriteCond %{REQUEST_URI} error_log|wp-config-sample.php|xmlrpc.php|readme.html|readme.txt|license.txt|wp-config.php|php.ini [NC]
RewriteRule .* - [F,L]
#END

2. Desactivar la ejecución de código PHP en la carpeta “uploads”

Los hackers suelen utilizar el directorio wp-content/uploads para cargar archivos de puerta trasera. Como esta carpeta está destinada a almacenar medios (imágenes, videos, etc.), no hay razón para tener archivos PHP ejecutándose allí. Para evitar esto, crea un archivo .htaccess dentro de wp-content/uploads/ y pega el siguiente código:

# Desactivar la ejecución de PHP en uploads
RewriteEngine on
RewriteRule (.*)php$ - [F]
#END

Nota: No agregues este código en el archivo .htaccess de la raíz de tu sitio, ya que esto podría impedir que el sitio web funcione correctamente.

3. Desactivar la ejecución de código PHP en “wp-includes”

De manera similar, es recomendable desactivar la ejecución de código PHP en el directorio wp-includes. Para ello, crea un archivo .htaccess en la carpeta wp-includes/ y añade el siguiente código:

# Desactivar la ejecución de PHP en wp-includes
RewriteEngine on
RewriteRule (.*)php$ - [F]
#END

4. Bloquear la enumeración de usuarios

WordPress permite conocer los nombres de usuario a través de una función que muchos atacantes aprovechan para obtener información valiosa. Para comprobar si tu sitio es vulnerable, añade ?author=1 al final de la URL de tu sitio. Si el nombre del usuario aparece en la URL, entonces debes aplicar esta regla para bloquear la enumeración:

# Bloquear enumeración de usuarios
RewriteCond %{QUERY_STRING} ^author=\d+ [NC,OR]
RewriteRule .* - [F,L]
#END

Consejos adicionales de seguridad

Una medida adicional que puedes tomar es cambiar el propietario del archivo .htaccess para hacerlo más difícil de modificar. Ejecuta el siguiente comando vía SSH:

chown lscpd .htaccess && chgrp lscpd .htaccess

Si este comando no funciona, puedes probar el siguiente:

chown www-data .htaccess && chgrp www-data .htaccess

Este artículo te proporciona una guía básica para proteger tu sitio web en WordPress utilizando OpenLiteSpeed y CyberPanel. Recuerda que la seguridad es un proceso continuo y es recomendable revisar periódicamente las configuraciones de tu servidor para evitar vulnerabilidades.

FAQs

  1. ¿Qué es el archivo .htaccess y por qué es importante? Es un archivo de configuración utilizado por servidores web como Apache y OpenLiteSpeed para gestionar directivas de seguridad y redirecciones.
  2. ¿Cómo puedo saber si mi sitio está infectado por malware? Puedes utilizar herramientas de escaneo de seguridad como Sucuri o Wordfence para detectar malware en tu sitio.
  3. ¿Qué es la enumeración de usuarios en WordPress? Es una técnica utilizada por atacantes para conocer los nombres de usuario de un sitio, facilitando ataques de fuerza bruta.
  4. ¿Es seguro desactivar la ejecución de PHP en uploads y wp-includes? Sí, estas carpetas no deben contener archivos PHP, por lo que es una medida de seguridad eficaz.
  5. ¿Cómo puedo hacer una copia de seguridad del archivo .htaccess? Puedes copiar el contenido del archivo y guardarlo en otro lugar antes de hacer modificaciones.

Post Relacionados

Interacciones con los lectores

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

¿Hola, en qué te puedo ayudar?