¿Sabes cómo desactivar la ejecución de PHP en algunos directorios? Muchos de los directorios de WordPress tienen permisos de escritura mediante los cuales, podemos subir contenidos como por ejemplo, imágenes, PDFs, videos, etc. Sin embargo, es bien sabido que los hackers se aprovechan de esta funcionalidad para introducir malware. Esto puede traer como consecuencia que nuestra página web quede incapacitada para navegar e incluso estos piratas informáticos pueden eliminar nuestra base de datos.
Para solucionar este problema basta con desactivar la ejecución de PHP en los directorios previstos para contener archivos en los que no hay ni habrá nunca, scripts de ese lenguaje en nuestro servidor.
En esta publicación de Ayuda Hosting, les mostraremos cómo evitar la ejecución de PHP en algunos directorios de una forma rápida y en pocos pasos.
También puede que le quieras echar un vistazo a nuestra guía sobre cómo saber si mis plugins son compatibles con PHP.
Índice
Desactivar la ejecución de PHP en algunos directorios
En anteriores publicaciones les hemos hablado sobre el archivo .htaccess. Este es un archivo de características especiales en el que se definen las directivas de configuración para los directorios. Esto incluye a los subdirectorios también. Se hace sin que se tenga que editar el archivo de configuración de Apache. Esto quiere decir, que podremos cambiar las directivas a nivel del servidor sin tener que Ingresar a él para hacer la configuración.
Justamente, a través del archivo .htaccess lograremos reorganizar las URLs de nuestro sitio web, proteger con contraseña los directorios, y además, controlar la ejecución de PHP de una carpeta, activándola o desactivándola. Para llevar a cabo esto, tendremos que crear un archivo .htaccess. La idea es colocarlo dentro de los directorios o subdirectorios vulnerables a los ataques con malware.
Inserción de un código corto o shortcode de desactivación
Comenzaremos abriendo un editor de texto básico, que podría ser el bloc de notas, para crear el nuevo archivo .htaccess. Dentro de este nuevo archivo, agregamos las siguientes líneas de código:
<Files *.php> deny from all </Files>
A continuación, guardamos el contenido de este archivo como .htaccess. Es muy importante que el nombre de este archivo sea ese, debemos chequear que el nombre sea el correcto y que además, no tenga ninguna extensión.
Después de creado este archivo, lo subiremos a los directorios en los que no deseamos que se ejecute PHP. Para hacer esto, vamos a necesitar de un cliente FTP para conectarnos con los archivos de instalación de WordPress.
Nota: Si no se tiene conocimiento de qué es, ni sabemos para qué sirve un cliente FTP, recomendamos leer este artículo.
Una vez que estemos conectados al hosting de nuestra web, localizamos los directorios que son propensos a los ataques con malware.
Directorios vulnerables
El más importante de todos ellos es el directorio /wp-includes, el cual se encuentra en el directorio raíz. Seguidamente, entramos a /wp-includes y subimos a ese directorio, el nuevo archivo .htaccess que hemos creado.
A continuación, nos devolvemos al directorio raíz e ingresamos a la carpeta /wp-content. Dentro de esa carpeta, podremos localizar el subdirectorio /uploads. Allí subiremos una copia del nuevo archivo .htaccess, de manera similar a como lo hemos hecho anteriormente.
Ya con esto, podremos estar seguros de que nuestro WordPress es capaz de resistir cualquier ataque informático o intento de infección de malware mediante PHP en nuestros directorios más vulnerables.
Esperamos que este artículo sobre cómo desactivar la ejecución de PHP en algunos directorios, les haya resultado útil. Más información sobre este y otros temas en Ayuda Hosting.