WordPress tiene en algunas de sus carpetas un archivo vacío index.php para prevenir el acceso y consulta de su contenido, ¿pero es esto realmente seguro? A nivel de código se me ocurre un motivo por el que no deberíamos usar este archivo, para los que nos tomamos la seguridad de nuestros proyectos en serio no es una buena idea que se muestren rutas de nuestro sistema, por lo que si dejamos este archivo por ejemplo en /dominio/wp-content y accedemos a esta ruta vemos una página en blanco, no devuelve error, por lo que el atacante ya sabe que es un WordPress, además intentará acceder a …/themes/* o a …/plugins/* para intentar identificar plugins o temas en nuestro sistema.

La solución además de borrar estos archivos es añadir en nuesttro .htaccess lo siguiente:

#deshabilitar navegación por directorios
Options All -Indexes

Con esto cualquier acceso a carpetas de nuestro sistema como themes o plugins devolverá un error 403, error que tampoco le debemos mostrar al atacante, por lo que una opción de seguridad muy buena (siempre y cuando no necesitemos depurar código) es devolver siempre un error 404 escribiendo esto en nuestro .htaccess:

# BEGIN WordPress Error Pages
ErrorDocument 401 http://dominio.com/404
ErrorDocument 403 http://dominio.com/404
ErrorDocument 404 http://dominio.com/404
ErrorDocument 500 http://dominio.com/404
# END WordPress Error Pages

Valoraciones


Sé el primero en valorar

* Tu valoración puede tardar hasta 72 horas en publicarse.

He leido y acepto el Aviso legal y condiciones de uso

Utilizamos cookies propias y de terceros para personalizar el contenido y los anuncios, ofrecer funciones de medios sociales y analizar el tráfico. Además compartimos información sobre el uso que haces de nuestra web con nuestros partners de medios sociales, de publicidad y de análisis web. Si continúas navegando estás dando tu consentimiento para la aceptación de nuestra Política de cookies.

ACEPTAR
Aviso de cookies