¿Porque eliminar los archivos index.php de las carpetas de WordPress?

12 de /octubre10 de /2018
1m 30s
wordpress
0 comentarios
5770

WordPress tiene en algunas de sus carpetas un archivo vacío index.php para prevenir el acceso y consulta de su contenido, ¿pero es esto realmente seguro? A nivel de código se me ocurre un motivo por el que no deberíamos usar este archivo, para los que nos tomamos la seguridad de nuestros proyectos en serio no es una buena idea que se muestren rutas de nuestro sistema, por lo que si dejamos este archivo por ejemplo en /dominio/wp-content y accedemos a esta ruta vemos una página en blanco, no devuelve error, por lo que el atacante ya sabe que es un WordPress, además intentará acceder a …/themes/* o a …/plugins/* para intentar identificar plugins o temas en nuestro sistema.

La solución además de borrar estos archivos es añadir en nuesttro .htaccess lo siguiente:

#deshabilitar navegación por directorios
Options All -Indexes

Con esto cualquier acceso a carpetas de nuestro sistema como themes o plugins devolverá un error 403, error que tampoco le debemos mostrar al atacante, por lo que una opción de seguridad muy buena (siempre y cuando no necesitemos depurar código) es devolver siempre un error 404 escribiendo esto en nuestro .htaccess:

# BEGIN WordPress Error Pages
ErrorDocument 401 http://dominio.com/404
ErrorDocument 403 http://dominio.com/404
ErrorDocument 404 http://dominio.com/404
ErrorDocument 500 http://dominio.com/404
# END WordPress Error Pages

Valoraciones

Sé el primero en valorar

* Tu valoración puede tardar hasta 72 horas en publicarse.

He leido y acepto el Aviso legal y condiciones de uso

Quizás te interese ...

Utilizamos cookies para mejorar tu experiencia

Utilizamos cookies propias y de terceros para personalizar el contenido, analizar nuestros servicios, ofrecer funciones de redes sociales, analizar el tráfico y mostrarte publicidad relacionada con sus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación.

Permitir todas las cookies Configurar Política de cookies