¿Estás familiarizado con el archivo .htaccess de WordPress? El fichero .htaccess (fichero de acceso a hipertexto) es un archivo de configuración del nivel de directorio que permite la gestión descentralizada de la configuración del servidor web. Un archivo .htaccess es siempre agregado en el directorio raíz y con él se pueden modificar muchos parámetros de configuración de WordPress.

tutorial wordpress como configurar archivo htaccess seguridad wordpress evitar hackeos

Con el archivo .htaccess puedes editar la configuración del servidor (server’s global configuration), el tipo de contenido (content type) y el conjunto de caracteres (character set). Con todas estas propiedades el archivo .htaccess se convierte en clave que garantizar y mejorar la funcionalidad de cualquier página webblog o tienda online que tenga una instalación WordPress.

El archivo .htaccess es vital para hacer un buen trabajo de posicionamiento en motores de búsqueda. Como consultor SEO, a la hora de posicionar una página o blog en los motores de búsqueda como Google, lo uso para:

  • Crear redirecciones: Por ejemplo para un trabajo de cambio de dominio, donde habría que mantener las visitas del anterior dominio.

  • Mejora de la velocidad de carga habilitando la compresión con .htaccess: Es un apartado que muy pocas páginas web usan y que da muy buenos resultados.

  • Reescritura de enlaces: Gracias al archivo .htaccess puedes reescribir cualquier URL.

  • Soluciones al contenido duplicado: Por ejemplo capando los accesos a ciertos contenidos para que ya no estén duplicados.

Cuando instalas WordPress se crea un fichero .htaccess que WordPress usa por defecto, pero ese fichero puede ser mejorado, utilizando consejos como los que te ofrezco a continuación. Ten cuidado al implementarlos, y siempre guarda una copia de seguridad antes de cambiar nada, por si tienes que volver hacia atrás.

Trucos para configurar el archivo .htaccess de WordPress

A continuación vamos con unos cuantos trucos para saber cómo configurar y optimizar .htaccess para evitar hackeos, que dificultarán y evitarán en gran medida la piratería en tu sitio web de WordPress. Algunos de estos consejos son para:

  • Bloquear direcciones IP específicas.

  • Redirigir las visitas a la página de mantenimiento cuando se está rediseñando una página web o blog en particular.

  • Restringir direcciones IP para que nadie pueda acceder al panel de administración de tu WordPress.

  • Muchos otros trucos o consejos para configurar y optimizar el archivo .htaccess en WordPress.

Antes de seguir, tengo que dejar claro que en este artículo muestro los consejos más importantes para configurar .htaccess para evitar hackeos, pero si lo que quieres es profundizar en el tema y configurar correctamente tu fichero .htaccess echa un ojo a la guía de referencia de .htaccess (eso sí, está en inglés).

#1 Bloquear IPs de usuarios o bots indeseados

Apache puede ser utilizado para bloquear usuarios o bots indeseados a nuestra página web o blog. Este código permite visitar la página web o blog a cualquier persona, excepto a quien tenga las siguientes direcciones IP (cambiar las IPs con las IPs que quieras bloquear):

Copy to Clipboard

#2 Redireccionar el día y el nombre de los enlaces permanentes a /% postname%/

Lo primero que debes de hacer es acceder a tu panel de administración de WordPress, ir a «Ajustes > Enlaces permanentes (permalinks)» y seleccionar «Personalizar». Rellena el campo con «/% postname%/». Ahora tenemos que redirigir todos los backlinks (enlaces entrantes) usando la antigua estructura de enlaces permanentes (permalinks) a la nueva estructura de enlaces permanentes. Para ello, tendrás que editar el archivo .htaccess. e insertar las siguiente líneas de código:

Copy to Clipboard

#3 Redireccionar las visitas a una página de mantenimiento

Copy to Clipboard

#4 Redireccionar hacia www o sin www con .htaccess

Copy to Clipboard

#5 Configurar URLs canonical con .htaccess

Copy to Clipboard

#6 Redireccionar tu feed hacia FeedBurner

Este código redirecciona el feed de tu instalación WordPress (http://www.dominioweb.com/feed) a cualquier otro sitio (por ejemplo a Feedburner).

Copy to Clipboard

#7 Redireccionar tu feed de comentarios hacia FeedBurner

Copy to Clipboard

#8 Redirecciones 301 para SEO con .htaccess

Utiliza el siguiente código para redirigir a una página específica sin mostrar la antigua página de error.

Copy to Clipboard

#9 Forzar la cache desde .htaccess

Este código para el .htaccess no ayudará en la carga inicial de la página web o blog, pero si lo hará significativamente en posteriores cargas enviando estados 304 cuando los elementos solicitados no se hayan modificado.

Copy to Clipboard

#10 Permitir únicamente tu IP para acceder al panel de administración de WordPress

Reemplaza la IP de la línea de código «with allow from xx.xx.xx.xx» con la tuya para que sólo tu IP pueda acceder al panel de administración wp-admin de wordpress.

Copy to Clipboard

#11 Bloquear comentarios a peticiones no referenciadas (Spam)

Simple truco para evitar que los spammers publiquen o ataquen tu página web o blog.

Copy to Clipboard

#12 Bloquear una IP spam

Para bloquear ciertas direcciones IP para evitar que accedan a tu página web o blog, añade las siguientes líneas de código en tu archivo .htaccess y sustituye la dirección IP del ejemplo con la que quieras bloquear.

Copy to Clipboard

#13 Denegar acceso al fichero de configuración wp-config de WordPress

El archivo wp-config.php de WordPress incluye toda la información importante, como el nombre de base de datos. Es vital tenerlo bien protegido.

Copy to Clipboard

#14 Limitar el peso de los archivos subidos a 20mb

Para limitar el tamaño de los archivo que subes en wordpress hasta 20MB, utiliza el siguiente código:

Copy to Clipboard

#15 Personalizar la página de error 404 con .htaccess

Copy to Clipboard

#16 Añadir barra (/) al final de las URLs

Para añadir una barra al final de tus enlaces (URLs), inserta el siguiente código en tu archivo .htaccess:

Copy to Clipboard

#17 Proteger directorios con contraseñas

Una forma sencilla de proteger mediante contraseña los directorios de tus blogs.

Copy to Clipboard

#18 Resolver errores en los enlaces (URLs) con .htaccess

Este truco puede ser útil para auto-corregir errores ortográficos de tus enlaces (URLs).

Copy to Clipboard

#19 Asegurar los plugins de WordPress

Los plugins de wordpress suelen tener «puertas traseras» y suelen ser sitios por los que los hackers pueden entrar en tu página web o blog. Para evitar que otras personas tengan acceso directo a los archivos de tus plugins utiliza el siguiente código:

Copy to Clipboard

Conclusión: Utiliza el .htaccess para administrar mejor tu WordPress

¿Qué te ha parecido esta guía para configurar el archivo .htaccess de WordPress? ¿Conocías todos los trucos? ¿Ya utilizas alguno y quieres contar tu experiencia? ¿Crees que me he dejado alguno? ¿Te has quedado con alguna duda o pregunta? Entonces te pido que dejes un comentario. Da igual que sea o una duda o un simple gracias, pero me alegraré mucho de leerlo y responderlo.

¿Te ha gustado el contenido?

Puntuación media 5 / 5. Votos: 827

¡Todavía no hay votos! Sé el primero en valorar el contenido.

También te puede interesar esta guía
tutorial wordpress

WordPress es, sin duda, una de las mejores plataformas para crear una página web, un blog o una tienda online para tu negocio, ya que es fácil de usar, flexible y ofrece muchas opciones para personalizarla de acuerdo a tus necesidades. Empieza con buen pie con WordPress, revisa esta completa guía y aprende a potenciar tu pagina webblog o tienda online WordPress desde el principio.

¿Te ha gustado? Comparte el contenido
Publicado por Ignacio Santiago

Soy muchas cosas, pero todo empezó como blogger hace más de 20 años. Desde ahí he ido ido creciendo como persona y profesional hasta que decidí dejar un buen trabajo, emprender por mi cuenta y poner en marcha mi propia agencia de marketing digital. Ahora, junto con un equipo joven, motivado y muy cualificado, ayudo a profesionales y empresas a crear y hacer crecer su negocio en Internet ofreciendo un servicio de marketing digital atento, cercano, integral y profesional.

Contenidos relacionados
Deja tu comentario
  1. Edward Izaguirre 31/05/2018 a las 05:04 - Responder

    Buenas noches Santiago,

    Interesantisimo articulo. Lo pruebo desde ya. Específicamente el consejo #19:


    order allow,deny
    allow from all

    ¿Porque «allow» en la tercera linea y no «deny»? ¿En qué casos poner un segundo .htaccess en directorio secundario?

    • Ignacio Santiago 07/11/2018 a las 17:24 - Responder

      Hola Edward,

      Ya pone «deny» y es suficiente, ya que bloqueas una parte, pero no todo. Respecto a poner un segundo .htaccess, sólo se hace para directorios.

      Saludos

  2. Leandro 01/03/2018 a las 17:02 - Responder

    Hola

    Tengo una consulta. Tengo un hosting compartido y todos los dominios están dentro de la carpeta «public_html» y dentro de esa carpeta hay varias subcarpetas. Se que debo modificar algo en el htaccess, pero no encuentro el que.
    Mi pagina esta dentro de «public_html» dentro de otra carpeta llamada «wp». Lo que quiero es que cuando la gente entre al sitio, en la barra de navegación muestra mi dominio sin el directorio «wp». Lo unico que logre es desde el hosting hacer que cuando la gente escribe mi dominio redirija al directorio ¿Ahora como hago para que la gente no vea el «wp» ni en la pagina principal ni en ningún momento que este navegando por la pagina???

    Gracias

    • Ignacio Santiago 09/03/2018 a las 17:51 - Responder

      Hola Leandro,

      Muchas gracias por tu comentario. A ver, tu problema tiene una solución muy fácil y que te recomiendo. Podrías estar con redirecciones, pero es preferible mover todos los archivos a la carpeta raíz del dominio (public_html). Así el dominio mostrará la web como quieres. Eso sí, ten cuidado al hacer esto, porque las imágenes, al tener «wp» en su enlace, puede que no se vean.

      Lo mejor es que recurras a alguien que sepa hacerlo. Un saludo

  3. carlos ortega 15/12/2017 a las 11:14 - Responder

    Buenos días,

    Muy interesante el artículo ¿Alguien podría ayudarme? QUiero hacer una redirección a un rango de IPs (a un país en concreto) de todo mi dominio a una carpeta del mismo dominio. Estoy probando con:

    RewriteCond %{REMOTE_ADDR} 80.*.*.* --> Quiero poner varios rangos de ips pero no sé como...
    RewriteRule (.*) http://midominio.com/carpeta [R=302,L]

    • Ignacio Santiago 09/03/2018 a las 17:02 - Responder

      Hola Carlos,

      Gracias por tu comentario. Antes de contestarte necesito que me des mas detalles de lo que realmente necesitas ¿Tan sólo quieres redireccionar tu dominio a un directorio del mismo dominio?

      Un saludo

  4. Alvaro 23/11/2017 a las 13:09 - Responder

    Excelente material como siempre Ignacio de verdad felicidades, este tipo de consejos sobre el .htaccess normalmente son genial, recientemente me pasaba con un hosting de muy mala calidad sobre algo que tenían sur servidores que me borraba el archivo .htaccess de mi wordpress en el public_html. Gracias a tus consejos contrate con los nuevos amigos de zz que de verdad a pesar de ser gratuito su hosting ofrecen alta calidad y bueno os recomiendo, pero he logrado aplicar algunos trucos aquí sobre el .htaccess para que por ejemplo utilizar un código dicho archivo para redireccionar a otra pagina y así muchas cosas, de verdad agradecido Ignacio que sigan los exitosa.!

    • Ignacio Santiago 27/11/2017 a las 14:42 - Responder

      Hola Alvaro,

      Gracias por tu comentario, me alegra que mi contenido haya sido de tu utilidad y hayas conseguido solucionar algunos problemas de tu hosting. A veces no es sencillo dar con el proveedor adecuado. Saludos!

  5. Julieta Pass 05/09/2017 a las 00:03 - Responder

    Hola,

    Muy interesante el articulo. Estoy actualizando mi web de http a https y me dicen que podría realizar una redirección de http:// a https:// forzando todas las páginas de mi dominio a cargar usando dicho protocolo seguro desde .htaccess colocando el siguiente código:

    RewriteEngine On
    RewriteCond %{ENV:HTTPS} !on [NC]
    RewriteCond %{HTTP_HOST} ^tu_dominio\\.com$ [OR]
    RewriteCond %{HTTP_HOST} ^www\\.tu_dominio\\.com$
    RewriteRule ^(.*)$ https://tu_dominio.com/$1 [R=301,L,NE]

    Ya localicé la carpeta htaccess, y contiene el siguiente código:

    # BEGIN WordPress

    RewriteEngine On
    RewriteBase /website/
    RewriteRule ^index\.php$ - [L]
    RewriteCond %{REQUEST_FILENAME} !-f
    RewriteCond %{REQUEST_FILENAME} !-d
    RewriteRule . /website/index.php [L]

    # END WordPress

    ¿Dónde debo colocar el nuevo código que me pasaron? ¿Antes del código actual o después? La otra duda es cómo debo colocar mi dominio en ese código:

    RewriteCond %{HTTP_HOST} ^tu_dominio\\.com$ [OR] ---> aquí lo reemplazo donde dice "tu_dominio" sin ponerle el .com.ar, ni www?
    RewriteCond %{HTTP_HOST} ^www\\.tu_dominio\\.com$ ---> aquí lo reemplazo donde dice "tu_dominio" sin ponerle el .com.ar, ni www?
    RewriteRule ^(.*)$ https://tu_dominio.com/$1 [R=301,L,NE] ---> aquí lo reemplazo donde dice "tu_dominio.com" y le agrego el .ar?

    Ojalá puedas ayudarme!!!!

    Muchas gracias!!!

    • Ignacio Santiago 14/11/2017 a las 10:31 - Responder

      Hola Julieta,

      Gracias por tu comentario. Para tus dudas tengo una guía muy completa sobre cómo pasar tu WordPress de http a https. Lo mejor es que lo hagas con un plugin, ya que, si no lo haces bien y no aplicas el código correcta, puedes tener problemas. Además, aparte de esa redirección, hay que hacer otras cosas que te comento en la guía.

      Respecto a tu dominio, la respuesta es sí. Saludos.

  6. Santiago 03/08/2017 a las 07:02 - Responder

    Amigo, buen dia. Excelente post!!!

    Quiero aprovechar para una consulta, espero me puedas apoyar: Se trata de que quiero inhabilitar/quitar acceso de ftp desde cualquier navegador web. Que solamente este disponible para filezilla o algun otro gestor, pero no en navegador directamente. Pienso que una manera mas de proteger contra ataques, que pudieran escanear usuarios ftp y puedan hackear la web, es esta, bloqueando acceso ftp mediante navegador web. ¿Hay manera? ¿se puede? Me parece que había escuchado algo asi, pero no estoy seguro. Mediante .htaccess o host.

    Gracias de antemano, espero tus comentarios!

    • Ignacio Santiago 20/09/2017 a las 12:33 - Responder

      Hola Santiago,

      Muchas gracias por tu comentario. Pues la verdad es que, si existe, no había oído hablar de algo así. Deja que lo investigue y te digo algo.

      Un saludo

  7. Sebastian 08/12/2016 a las 17:04 - Responder

    Ignacio,

    Buen día. He visto en otros blog que tiene algo de relevancia la barra (/) al final de la url, unos dicen que la quiten y otros que la pongan. Cuál es tu opinión al respecto? Lo digo porque en esta entrada tienes: Añadir barra (/) al final de las URLs.

    • Ignacio Santiago 02/05/2017 a las 12:11 - Responder

      Hola Sebastian,

      Personalmente prefiero quitarla de las urls, pero no tiene importancia. No es algo crítica en SEO, por lo que se deja al gusto del propietario.

      Nota: Existe una regla de .htaccess para añadirla y otra para quitarla.

  8. Christian nahuel 17/10/2016 a las 21:04 - Responder

    Ignacio,

    Necesito de tu ayuda. No se si sigue activo esto.

  9. Steven 05/08/2016 a las 21:18 - Responder

    Que tal Ignacio,

    ¿Podrías ayudarme a cómo evitar bajar directorios desde la URL con .htaccess?

    Gracias

    • Ignacio Santiago 03/11/2016 a las 11:09 - Responder

      Hola Steven,

      Gracias por tu comentario. Antes necesito saber a qué te refieres con «bajar directorios desde un URL».

  10. Gaston 05/06/2016 a las 11:56 - Responder

    Hola Ignacio, es la guia mas completa que he leido… Gracias! Tengo un problema y creo que puedo arreglarlo con el .htaccess (es decir cambiándolo) ¿Qué opinas? Te cuento. Tengo un problema desde que inslale el plugin Wordfence. Yo tengo 2 WordPress instalados, uno aquí http://www.guernik.com y otro aqui http://www.guernik.com/blog. Lo que ha pasado es que:

    1. Instale el plugin Wordfence solo en http://www.guernik.com (Entonces me apareció un mensaje en el blog que no podía acceder ni al blog (www.guernik.com/blog ) ni al admin del blog (www.guernik.com/wp-admin) por un tema de memoria)

    2. Asigne más memoria a los 2 WordPress

    3. Entonces aparece la página de error 404 cuando quiero acceder a mi blog (www.guernik.com/blog) PERO!!! Aquí viene lo raro, la pagina 404 no es del mismo tema de mi blog (www.guernik.com/blog ) si no que la pagina 404 es la de mi tema alojado en (www.guernik.com)

    4. Desactive el plugin Wordfence e instale el Wordfence assistant para borrar lo que Wordfence había creado pero sigue igual

    Por si la solución es cambiar el .htaccess te adjunto lo que tengo.

    # BEGIN WordPress

    RewriteEngine On
    RewriteBase /
    RewriteRule ^index.php$ - [L]
    RewriteCond %{REQUEST_FILENAME} !-f
    RewriteCond %{REQUEST_FILENAME} !-d
    RewriteRule . /index.php [L]

    # END WordPress

    # Redireccionamos 4.0 a Root
    RedirectMatch 301 ^/4.0/$ http://www.guernik.com/

    • Ignacio Santiago 15/07/2016 a las 09:56 - Responder

      Hola Gaston,

      El .htaccess no te va a ayudar. El problema es que has creado 2 Wordpress, para algo que puede hacer 1. Elimina 1 los dos y crea una instalación totalmente nueva.

  11. José 23/05/2016 a las 20:17 - Responder

    Muy chulo,

    Lo pongo casi todo en practica.

  12. Facundo 06/05/2016 a las 00:05 - Responder

    Hola,

    Excelente informe Ignacio! ¿Me podrías ayudar a proteger una web hecha con html con el htaccess? Estoy teniendo ataques de phishing en varias de mis webs y no se que hacer, me inyectan carpetas con archivos php y de ellos mandan spam. Las borro, pero eventualmente vuelven a aparecer ¿Cómo protegerlo?

    • Ignacio Santiago 24/05/2016 a las 13:39 - Responder

      Hola Facundo,

      Cuando llega a este punto, tienes que pensar el cambiar el hosting, las contraseñas, los accesos e incluso los programas que usas para acceder (vease filezilla). Con el .htaccess bloquea las ips y las carpetas más importantes.

  13. Elian 12/11/2015 a las 15:49 - Responder

    Hola Ignacio,

    Buenos consejos que he aplicando en mi blog. No obstante, el #10 no funciona como dices, Lo puse en mi .htaccess y me bloqueo el acceso total a mi blog, solamente tenia acceso al blog yo desde mi ip (OJO digo al blog en general no a la administracion), Si quería ver el contenido del blog desde otra ip me daba una redireccion 403, es decir ese día recibí 0 visitas en mi blog.

    Saludos

    • Ignacio Santiago 14/01/2016 a las 18:46 - Responder

      Hola Elian,

      Vaya, no me gusta leer que has tenido problemas. Lo más probable es que pusieras algún dato mal o que el servidor no funcionase correctamente. Esa regla la he usado mil veces y funciona perfectamente.

    • LM 08/04/2016 a las 11:16 - Responder

      Quizá el problema es que lo pusiste en el htaccess de la carpeta raíz. Debes ponerlo en el htaccess de la carpeta de administración.

      Un saludo.

  14. Jose 26/10/2015 a las 18:46 - Responder

    Hola,

    Tengo un inconveniente. Tengo configurado el .htaccess para el acceso a un servidor por IP, pero lamentablemente el htaccess hace lento el acceso al servidor. ¿Has tenido ese problema?

    Gracias

    • Ignacio Santiago 14/01/2016 a las 18:28 - Responder

      Hola Jose,

      La verdad es que no. Puede ser porque tenga un bucle de redireccionamiento. Compruébalo.

  15. Alma 16/10/2015 a las 05:18 - Responder

    Hola,

    Mi archivo .htaccess termina asi «# END WordPress». ¿Inserto los códigos antes o después de eso?

    Saludos

    • Ignacio Santiago 16/10/2015 a las 09:39 - Responder

      Hola Alma,

      No importa donde lo pongas, porque tendrá el mismo efecto, pero ponlo antes.

  16. Markos 15/10/2015 a las 00:36 - Responder

    Hola Ignacio,

    Excelente post! Muy claro! Tengo una duda tal vez puedas ayudarme. He visto páginas web a las que puedes acceder con la url con «/» al final y sin ella «/». Es decir, se puede acceder de las dos maneras. Por ejemplo, si en tu blog haces click en el enlace «blog» desde el menu cambia automáticamente a /. Me interesa saber cómo se hace pero al revés. Estaba viendo la regla 16, tal vez la clave esta por ahí por que lo que estaba haciendo es una por una pero se hace muy extenso el htaccess.

    RewriteRule ^usuario/([^/]*)$ usuarios/perfil.php?u=$1 [NC,L]
    RewriteRule ^usuario/([^/]*)/$ usuarios/perfil.php?u=$1 [NC,L]

    De esa forma puedo acceder de las dos maneras pero creo que para seo no me sirve. Tal vez con alguna regla general o una expresión regular.

    Gracias y saludos

    • Ignacio Santiago 14/12/2015 a las 18:02 - Responder

      Hola Markos,

      Gracias por tu comentario. Antes de poder ayudarte tengo que hacerte una pregunta… ¿Para qué quieres acceder de las dos maneras? ¿Sabes que Google considera contenido duplicado una misma página con / al final o no? Lo mejor es elegir una e implantarla en toda la página web.

    • Chrismart Anji 07/01/2016 a las 13:45 - Responder

      Markos, creo que te confundes. Pueden pasar dos cosas. Los archivos con el mismo nombre pero con diferente extensión. Ejemplo: index.html y index.php en una se puede acceder con / y la otra no, asi solo el propietario sabe que extensión es mientras que usuario no, y esto se puede obtener usando esto:

      RewriteEngine On
      RewriteCond %{REQUEST_FILENAME} !-f
      RewriteRule ^([^/]+)/$ $1.php
      RewriteRule ^([^/]+)/([^/]+)/$ /$1/$2.php
      RewriteRule ^([^\.]+)$ $1.html [NC,L]
      RewriteCond %{REQUEST_FILENAME} !-f
      RewriteCond %{REQUEST_FILENAME} !-d
      RewriteCond %{REQUEST_URI} !(\.[a-zA-Z0-9]{1,5}|/)$
      RewriteRule (.*)$ /$1/ [R=301,L]

      Te darás cuenta que si pones index/ con la barra es php pero si queda index sin barra al final es por que es html =) es por eso.

  17. Rubén 27/09/2015 a las 14:12 - Responder

    Hola Ignacio,

    Hace un tiempo detecté en las herramientas de webmasters de google un montón (miles) de enlaces rotos 404 a mi web, en direcciones que no existen. Al parecer redirigen a páginas de ebay (imagino que falsas o con algún ánimo malicioso). Son cosas como «miweb.es/gds/Top-5-Ways-to-Style-a-Michael-Kors-Watch» o «miweb.es/sch/Pottery-China-/18875/i.html». También he visto en la herramienta de webmasters tools un montón de páginas con enlaces a la mía, que he desautorizado a través de la propia herramienta de google. Supongo que las habrán hackeado. Las IP de las que proceden los errores 404 son de google, o sea que supongo que está intentando indexar esos enlaces, y al no existir en mi web, generan el error 404. He instalado wordfence y algún plugin más de seguridad para restringir acceso de usuario y demás, pero sigue la inyección de páginas desde google y la generación de errores 404. Han actualizado el servidor y todas las versiones de wordpress y plugins están actualizadas.

    ¿Qué puedo hacer para eliminar ese tráfico? Gracias

    • Ignacio Santiago 09/10/2015 a las 10:52 - Responder

      Hola Rubén,

      Lo primero te voy a ser franco: no puedes hacer nada. Los ataques de este tipo son aleatorios y cesarán con el tiempo. Mientras tanto, lo único que puedes hacer es protegerte, actualizar la página, plantilla y plugins a las últimas versiones y confiar en que no se pongan tontos.

      Añade el plugin «SI CAPTCHA Anti-Spam» para proteger tus formularios y admin. Suerte.

  18. Oscar 19/09/2015 a las 15:10 - Responder

    Buen día y excelente blog,

    Tengo una duda y espero por favor me puedas ayudar. ¿Cómo puedo evitar que ejecuten los archivos .js? Si colocas en tu último punto esta opción no me la toma, entro a una url con .js y funciona. Realice el siguiente proceso tratando de evitar la ejecución desde afuera de mi web pero se bloquea todo el sitio:

    Order allow,deny
    Deny from all

    El motivo de bloquear esto es que en mi sitio aparecen alertas de Vulnerable Javascript library.

    Saludos y gracias

    • Ignacio Santiago 07/10/2015 a las 10:53 - Responder

      Hola Oscar,

      Añadir el siguiente código:


      order allow,deny
      allow from all

      Te debería funcionar.

  19. Roberto 23/07/2015 a las 20:52 - Responder

    Hola,

    Muy buen Blog de Wordpress. Aprendí bastante de tu experiencia y aplique ciertas cosas pero lo que ando buscando referente al 404 y al .htaccess no lo encontré. Lo pongo así:

    RewriteEngine On
    RewriteBase /
    RewriteRule ^index.php$ - [L]
    RewriteCond %{pong el archivo aca adentro} !-f
    RewriteCond %{REQUEST_FILENAME} !-d
    RewriteRule . /index.php [L]

    ¿Hay una mejor manera? Gracias de antemano por tu respuesta

  20. JCL Consultor 22/07/2015 a las 05:20 - Responder

    Hace 1 semana recibí un ataque parecido en mi sitio y la solución mas rápida fue bloquear las IP entrantes en mi archivo .htaccess. Como eran varias de un segmento 54.x.x.x, realmente fue efectivo aplicar el deny from 54.x.x.x, pero no se si hay alguna solución con un plugin que lo efectué directamente, saludos.

    Te felicito, excelente articulo.

  21. Jorge 01/07/2015 a las 18:14 - Responder

    Excelente post, ha sido de mucha ayuda.

    Saludos

  22. Algoeraello 10/06/2015 a las 17:29 - Responder

    Felicidades por el post, buenísimo.

    Permíteme una pregunta, ¿Cómo puedo hacer para que al restringir el acceso al wp-admin mediante IP? El que intente entrar a wp-admin desde otra IP le redirija a la página de error 404?

    Gracias y saludos.

  23. Carlos 16/05/2015 a las 11:52 - Responder

    Magnifico tutorial. He aprendido muchísimas cosas nuevas. Lo aplicaré y lo comentaré con mis amigos.

  24. Jonathan 11/05/2015 a las 18:51 - Responder

    Buenas tardes,

    ¿Cómo puedo hacer para bloquear la misma IP desde el htaccess, pero con terminaciones diferentes? Por ejemplo: 43.152.51.40, 43.152.51.39, 43.152.51.38, etc. ¿Hay alguna forma abreviar o tengo que poner todas las IPs?

    Gracias

  25. Julieta 05/05/2015 a las 18:01 - Responder

    Hola! Muy útil la información.

    Trabajo con Mac y no consigo ver el archivo .htaccess. Intenté hacerlo escribiendo desde el terminal y tampoco. La pregunta es si hay otra manera de llegar a este archivo.

    Mil gracias mil! Saludos

    • Ignacio Santiago 11/05/2015 a las 12:32 - Responder

      Hola Julieta,

      El archivo .htaccess se encuentra en la raíz de tu servidor. Accede al mismo y edítalo.

      Saludos

  26. Ignacio Santiago Pérez 09/02/2015 a las 19:00 - Responder

    Hola,

    A ver si lo podemos solucionar. Mándame un email contándome todo.

    Saludos

  27. Moi 03/02/2015 a las 06:19 - Responder

    Muy bueno, muchas posibilidades, gracias, me encantó tu blog, aun sigo leyendo cosas interesantes aunque llegué hasta aqui por un problema que tengo en acceder a mi blog en wordpress.

    El /wp-login.php me lleva directo a la pagina del bfi.gov, no se si conoces ese caso y como resolverlo, pero no encuentro mucha info relacionada.

    Por otro lado el archivo «.htaccess» no puedo subirlo al ftp, por la falta de una extension. Cuando lo subo como .txt para despues quitarle la extensión, al rato desaparece.

    En fin, espero me puedas hechar una mano con esto. Gracias y un abrazo

  28. Leo 17/12/2014 a las 05:17 - Responder

    Muchas gracias Ignacio por compartir esta información tan valiosa para todos los que no somos expertos en seguridad y necesitamos proteger nuestros sitios web. Recientemente he tenido actividad maliciosa en mis sitios alojados en 2 servidores distintos. La ip del spammer es de Rusia y he leido en otros sitios y foros de otras personas que tienen el mismo problema.

    Lo he notado ya que en google analytics empecé a ver visitas de Rusia en todos mis sitios, provenientes del mismo sitio (forum.topic41358397.darodar.com / referral), como si fuera proveniente de un link externo, lo menciono por si a alguien le sirve la referencia.

    Hoy lo he bloqueado desde el fichero htaccess en todas mis instalaciones de wordpress.

    Te dejo mis saludos y felicitaciones por el sitio.

    • Ignacio Santiago Pérez 17/12/2014 a las 14:18 - Responder

      Hola Leo,

      Muchas gracias, la intención es que tengáis las herramientas para poder evitar desastres… y eso has hecho tu. Aparte del bloqueo de htaccess, te recomiendo que hagas un disavow a ese dominio para que no venga Penguin y te penalice.

  29. Jpe Franco 14/12/2014 a las 10:02 - Responder

    Hola, si eres víctima de tener enlaces a tu sitio y no tienes medios para eliminarlos, ¿existe alguna directiva en .htaccess que permita indicar a Google que ese enlace que apunta a tu sitio no lo tenga en cuenta?

    Por ejemplo, tengo enlaces del tipo …/filezilla/filezilla.html, que veo existen en multitud de sitios web que apuntan a mi sitio con ese enlace. Filezilla fue una aplicación que tuve instalada por error y que ahora ya no la tengo. En Google Webmaster Tools aún me sigue apareciendo ese enlace como una de las paginas más enlazada a mi sitio y eso tiene pinta de no ser nada bueno.

    Gracias de antemano.

    • ignaciosantiago 15/12/2014 a las 10:16 - Responder

      Hola,

      La mejor manera que tienes de decirle a Google eso es redireccionar ese enlace a la home. De todas maneras analizaría qué tipo de enlaces están llegando desde otras páginas web, no tiene buena pinta.

  30. DANIELA 10/11/2014 a las 02:03 - Responder

    Gracias por tu blog, muy util todo facil, creo que son muchas horas de trabajo y .. mucha experiencia, un saludo.

    • ignaciosantiago 12/11/2014 a las 14:22 - Responder

      Muchas gracias Daniela,

      Desde luego que es mucho trabajo, pero con mensajes como el tuyo se lleva mejor :)

  31. jose luis 28/10/2014 a las 13:01 - Responder

    Hola muy interesante tu post.

    Mi web fue pirateada y tengo un monton de paginas insertadas. Cambie de hosting, aunque no fue por esta razón, aunque hice una limpieza a fondo y reinstale todo, las paginas siguen saliendo ahora con error 404 ya que no existen. Se que esto no afecta a google pero quisiera de alguna manera eliminarlas o redirigirlas aqui vi un codigo pero no lo entiendo en google hablan de un plugin 404 que instalé en mi pagina y me dan el codigo pero no se donde colocarlo.

    Gracias.

    • ignaciosantiago 04/11/2014 a las 10:14 - Responder

      Hola José,

      Tienen que aprender a usar el plugin Simple 301 Redirects, del repositorio de Wordpress. Es muy fácil, tan solo sigue sus indicaciones. Se trata de redirigir las páginas antiguas a las nuevas.

  32. Marisol 17/10/2014 a las 14:08 - Responder

    En primer lugar felicitarte por tu blog, es de mucha ayuda.
    He llegado a el buscando una solución para mi problema con wordpress que tengo alojado en abansys. el problema es que no puedo subir imagenes a traves del worpress porque me da un error diciendo que revise los permisos de las carpetas superiores y que no puede crear la carpeta upload. Los permisos estan bien y en Abansys me han dicho que tengo que activar la capa ftp en wordpress a traves del archivo htaccess, que tengo que poner el usuario de ftp. Estoy mirando en internet como se añade esto al htaccess pero no encuentro nada. ¿me podrias ayudar?
    Muchisimas gracias de antemano. Saludos.Marisol

    • ignaciosantiago 19/10/2014 a las 18:15 - Responder

      Hola Marisol,

      La única manera de ver esto es que me diese un acceso. De todas maneras lo mejor que puedes hacer es acceder a tus carpetas a través del ftp y cambiar los permisos tu misma (prueba con filezilla). Olvídate del htaccess.

  33. Nando 08/10/2014 a las 10:48 - Responder

    Muchas Gracias!

  34. Francisco 09/09/2014 a las 15:51 - Responder

    Buenas tardes, y enhorabuena por su trabajo. Gente como usted ayudan muchísimo a personas como nosotros que estamos empezando y nos encontramos muy perdidos muchas veces.
    Tengo una consulta por si me puede ayudar, ya que me estoy empezando a desesperar.
    Tengo una tienda online con Prestashop 1.6, y en los últimos días estoy recibiendo muchísimas visitas indeseadas. Como ya he leido en este artículo, puedo bloquear dichas visitas a través del archivo .htaccess, incluyendo el código correspondiente.
    El problema es que lo estoy intentando y no consigo que funcione. Cada vez que copio las lineas en el .htaccess y trator de entrar en la web, me da el aviso de que no existe el archivo index.php, o directamente me da error y no se puede entrar en la web.
    Elimino las lineas del archivo y todo vuelve a funcionar.
    Lo he intentado editando el archivo desde el editor del servidor, lo he intentado descargando el archivo, editándolo con el notepad++ y volviéndolo a subir directamente al servidor, y lo he intentado subiendo el archivo modificado mediante FTP con Filezilla. De ninguna manera consigo que funcione.
    Lo único que creo que puede estar fallando es el lugar donde copio las lineas, porque no veo otra explicación.
    Por favor, ¿sabrían darme alguna orientación sobre qué estoy haciendo mal o en qué lugar del archivo .htaccess debo copiar el código, por favor? Empiezo a estar reálmente desesperado.
    Muchísimas gracias, y por favor, disculpen las molestias.
    Un saludo.

  35. fede 10/06/2014 a las 15:02 - Responder

    Hola Santiago,
    estoy intentando banear una IP siguiendo la sección 12 de tu post pero no obtengo resultado :(

    • ignaciosantiago 13/06/2014 a las 17:10 - Responder

      Hola,

      Las instrucciones son muy claras. Si añades correctamente ese código tiene que bloquear la ip. Si no puedes dime la página.

      • fede 04/07/2014 a las 13:12

        Hola ignacio,

        Gracias por tu respuesta, al final di con el código para hacer lo que quería pero tengo algunas dudas q me gustaría aclarar: si quiero permitir el paso a una sola IP, ¿debo poner el allow y luego «deny all» o viceversa?

        En la sección #15(errores), el directorio de errores ha de estar por debajo de «documentroot»? ¿se puede definir un directorio «diferente»(por ejemplo C:\error\…)?¿Puedo definir imágenes como errores o solo paginas PHP?¿Que extensiones?

      • ignaciosantiago 10/07/2014 a las 22:05

        Hola :)

        A ver, si sólo quieres dejar paso a 1 IP, tienes que decirlo allow a esa IP en particular.

        Respecto a los errores, te recomiendo que dejes el directorio tal y como esta, aunque es posible cambiarlo…

  36. Santiago Melo 29/05/2014 a las 14:17 - Responder

    Ignacio muchas gracias, por la información acerca de .htaccess, me ha resuelto un gran inconveniente, lo felicito por el blog y desde ya estaré atento a sus consejos

  37. Juaco Amado 28/01/2014 a las 15:32 - Responder

    Muy completo e interesante. ¡Gracias por el curro!
    Me surge una duda que estoy tratando de resolver… en muchas partes se habla de colocar el fichero .htaccess en el raíz de la instalación de Wordpress.
    Estoy con un website y acabo de instalar el plugin «Acunetix WP Security», al escanear la instalación me da a entender que dicho documento debe residir en wp-admin.
    –> The «.htaccess» file was not found in the «wp-admin» directory
    ¿estamos hablando de dos ficheros distintos?
    Actualmente lo tengo residente en la raíz como indicas en este post.

    Un saludo,
    Juaco Amado

    • ignaciosantiago 28/01/2014 a las 16:21 - Responder

      Hola,

      A ver, el archivo .htaccess es imprescindible que esté en la carpeta raíz de la instalación wordpress. Hay, en algunos casos, que crear un segundo .htaccess para poder tener opciones avanzadas.

  38. Rosario Saiz 21/01/2014 a las 13:49 - Responder

    A pesar de que es una entrada con medio año de vida, algunos consejos me han resultado bastante útiles. ¡Gracias!

    • ignaciosantiago 21/01/2014 a las 15:11 - Responder

      Gracias Rosario, este tipo de consejos suelen perdurar en el tiempo. Como mucho cambia alguna parte del código, pero no el código entero de wordpress

  39. Sebastian 28/06/2013 a las 15:47 - Responder

    Excelente. Gracias!

  40. Sebastian 28/06/2013 a las 13:47 - Responder

    Excelente. Gracias!

Suscríbete y estate al día en marketing digital

Únete a más de 50.000 personas que, aparte de recibir los primeros todas las actualizaciones del blog e importantes descuentos en herramientas, tienen acceso gratuito a todos nuestros contenidos.

servicios marketing digital diseño web wordpress seo fondo
servicios marketing digital diseño web wordpress seo fondo
Suscríbete y estate al día en marketing digital

Únete a más de 50.000 personas que, aparte de recibir los primeros todas las actualizaciones del blog e importantes descuentos en herramientas, tienen acceso gratuito a todos nuestros contenidos.