WordPress es, en términos generales, un sistema relativamente sencillo de instalar y que se puede poner a funcionar en poco tiempo. Sin embargo, también es fácil hacerlo inconscientemente de tal manera que dejes brechas abiertas a los hackers en tu web.

El archivo "wp-config.php" contiene información sobre configuraciones críticas para tu web WordPress, por tanto es importante que lo protejas de intrusos tanto como sea posible. En este vídeo perteneciente a mi curso WordPress Secure Setup Guide (Guía de Configuración de Seguridad para WordPress), aprenderás cómo hacer que tu archivo wp-config.php sea tan seguro como sea posible.

Cómo Securizar wp-config.php

Qué Contiene wp-config.php

Si abrimos el archivo wp-config.php y observamos su contenido, verás que contiene datos sensibles.

En primer lugar, contiene toda la información que introdujiste durante la configuración de WordPress y que proporciona acceso a tu base de datos.

Contiene el nombre de la base de datos, el nombre de usuario y la contraseña, todo lo necesario para poder acceder a esa base de datos. Así que, como te puedes imaginar, es muy importante que protejas este archivo, porque si alguien es capaz de leer el contenido de este archivo, será capaz de introducirse en tu base de datos y hacer lo que les apetezca.

Un poco más abajo en el archivo, encontrarás una serie de claves secretas.

Estas claves funcionan de distintas formas para securizar tu sitio web.

El archivo contiene además el prefijo de la tabla de la base de datos, que es otro fragmento de información muy importante para la seguridad.

Securizar wp-config.php

Por tanto, vamos a realizar algunos pasos para securizar este archivo.

1. Generar Nuevas Claves Secretas

Lo primero que vamos a hacer es generar un nuevo conjunto de claves secretas. Puedes hacerlo dirigiéndote a la web generadora de claves secretas que proporciona WordPress. Todo lo que tienes que hacer es dirigirte a esa URL y refrescar la página web, de inmediato te ofrecerá un nuevo conjunto de claves generadas ex profeso para ti. Puedes copiarlas y pegarlas directamente en tu archivo wp-config.php, reemplazando a las antiguas.

2. Cambia la Ubicación de wp-config.php

Lo que vamos ha hacer ahora es mover el archivo wp-config.php. Por defecto, está situado en la carpeta raíz de tu sitio web. Es decir, se encuentra dentro de tu carpeta pública HTML, si tu sitio está en el directorio de tu dominio principal, o dentro de cualquier subdirectorio en el que estés construyendo tu web. Pero WordPress nos permite coger el archivo wp-config.php y moverlo un nivel arriba en la jerarquía del directorio, de forma que quede fuera de tu carpeta pública.

Si estás trabajando offline, puedes simplemente arrastrar y soltar el archivo de una carpeta a otra, pero si estás trabajando en una instalación online, puedes usar la herramienta mover del administrador de archivos de tu servidor. Así que, simplemente selecciona el archivo wp-config.php, pulsa la herramienta mover y cambia la ruta del directorio para ubicarlo en la carpeta que quieras.

Si no funciona a la primera, es posible que tengas que hablar con tu proveedor de alojamiento para asegurarte de que la configuración del servidor te permita hacerlo.

3. Bloquea el Acceso a wp-config.php

Ahora podemos añadir una medida más de seguridad para proteger nuestro archivo wp-config, consiste en añadir un archivo htaccess en el mismo directorio para bloquear que cualquiera pueda acceder a wp-config.php.

Crea un archivo htaccess en el mismo directorio en el que ubicaste el archivo wp-config.php. Como no puedes crear un archivo sin extensión, aquí tienes una solución para lograrlo.

Si estás trabajando en un Mac, crea un archivo de texto sin formato llamado htaccess.txt. Después renómbralo, eliminando la extensión del tipo de archivo (".txt") y añade un punto al principio, de manera que al final obtengas .htaccess.

Ahora confirmamos el cambio, aunque todavía no ha sido aplicado, para hacerlo tenemos que pulsar con el botón derecho del ratón sobre el archivo desde el Finder, seleccionar Obtener información, y entonces eliminar la extensión ".txt" en el campo Nombre y extensión.

Ahora edita el archivo y añade el siguiente código:

<files wp-config.php>
order allow,deny
deny from all
</files>

Este código denegará el acceso al archivo wp-config.php.

Si estás utilizando Windows, el mejor método probablemente sea hacer los cambios en tu archivo cuando todavía tiene la extensión ".txt" en el nombre, añade el anterior código, y después renómbralo eliminando simplemente la extensión. Esto es todo lo que tienes que hacer en Windows, después sube tu archivo .htaccess desde el ordenador.

Una vez hecho esto, asegúrate de que está en el mismo directorio que contiene el archivo wp-config.php, ¡ya lo tienes!

Visiona el Curso Completo

En el curso completo, WordPress Secure Setup Guide, aprenderás a configurar tus sitios web creados con WordPress de forma que mejores su seguridad, les apliques una buena estructura para el SEO, y los optimices para lograr una buena velocidad de carga. También aprenderás a manejar algunos otros aspectos y elementos que necesitarás para casi todos los sitios que crees con WordPress.

Empezaremos desde cero e iremos avanzando paso a paso hasta que tu web esté perfectamente configurada y preparada para añadir contenido.