El fichero .htaccess
es la primera barrera que puedes usar en un sistema basado en servidores Linux con Apache, pues dispone de una buena cantidad de reglas que podemos aplicar y, gracias a ello, y como es el caso de hoy, proteger WordPress de hackers.
El siguiente código, añadido al archivo .htaccess
de tu instalación (fichero oculto situado en la carpeta raíz) evitará un buen montón de sistemas habituales de inyectar código y hackear WordPress.
Simplemente añade estas líneas:
RewriteEngine On # sin acceso a proc/self/environ RewriteCond %{QUERY_STRING} proc/self/environ [OR] # bloquear cualquier script que trate de establecer un valor mosConfig a través de una URL RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|%3D) [OR] # bloquear cualquier script que trate de colocarte código codificado base64_encode a través de una URL RewriteCond %{QUERY_STRING} base64_encode.*(.*) [OR] # bloquea cualquier script que incluya la tag <script> en la URL RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR] # bloquea cualquier script que trate de establecer la variable PHP GLOBALS a través de una URL RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR] # bloquea cualquier script que trate de modificar una variable _REQUEST a través de una URL RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2}) # manda a todas las peticiones bloqueadas a la página principal con un error de 403 Prohibido RewriteRule ^(.*)$ index.php [F,L]
Guarda los cambios y vivirás más tranquilo pues te habrás quitado un buen montón de amenazas.