El .htaccess es un archivo de configuración que te permite gestionar y manejar configuraciones y accesos al servidor de forma descentralizada. Utilizando instrucciones específicas puedes proteger carpetas, archivos y hasta el propio .htaccess.
Índice de contenidos
¿Dónde busco el archivo .htaccess?
El archivo se encuentra en la carpeta de archivos (www) de tu alojamiento web. Inicia sesión por FTP y lo tendrás accesible.

Este es el aspecto que lucirá por defecto en una instalación limpia de WordPress:
# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ – [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress
Añadiéndole simplemente unas pocas líneas de código podrás mejorar mucho la seguridad de tu web. Antes de comenzar, ten en cuenta estos dos puntos:
- Toda configuración que agregues al archivo .htaccess colócala debajo de la última línea de código “#END WordPress”, así lo tendrás todo organizado.
- Realiza un backup de tu archivo .htaccess por si te encuentras con algún contratiempo.
Restringe el acceso a tu carpeta wp-content
La carpeta wp-content contiene los archivos de temas y plugins de tu instalación. El acceso a esa carpeta no debe ser directo, con excepción de las imágenes, JavaScript y CSS que puedan ser utilizados por el tema que has escogido.
Para corregir eso crea un archivo .htaccess dentro de la carpeta wp-content a través del «Administrador de archivos» de tu Panel de Control, y agrega la siguiente línea:
Order deny,allow
deny from all
<files ~ ".(xml|css|jpe?g|png|gif|js)$">
allow from all
</files>
Protege el archivo wp-config.php
El archivo wp-config.php de WordPress, localizado en la raíz de la instalación del sistema, es otro elemento importantísimo del CMS. En él se guarda, por ejemplo, la información de la base de datos que estás utilizando (nombre, usuario, contraseña), además de otros datos críticos.
Desactivar el acceso a él también es esencial para mantener tu blog seguro. Añade el siguiente código al .htaccess principal, utilizando la herramienta de edición del «Administrador de archivos»:
<Files wp-config.php>
order allow,deny
deny from all
</Files>
el xmlrpc.php
Este archivo permite que una aplicación externa se pueda comunicar con tu WordPress. Es posible anularlo con sólo añadir el siguiente código al .htaccess:
<files xmlrpc.php>
order allow,deny
deny from all
</files>
y por supuesto, ¡el .htaccess!
Protegerlo es muy sencillo. Tan solo tienes que implementar el siguiente código en el archivo .htaccess de la carpeta principal de tu WordPress:
<files .htaccess>
order allow,deny
deny from all
</files>
Con estos sencillos trucos, y sin tener que usar ningún plugin, habrás mejorado muchísimo la seguridad de tu WordPress. ¿Quieres disfrutar de una web 100% segura, con Soporte 24/7? ¡Echa un ojo a nuestros planes!