Inicio

Android

Cursos Hack Urbano

General

Hack Day Tlaxcala

Internet

iOS

Linux

Mac

Podcast!

WebCast Hack Urbano

Windows

Tutorial Basico de .htaccess amigable para wordpress

Buscar:
Buscar

Publicado por elmakuaz el jul 21, 2014 | 0 Comments

Esperamos que esta informacin les sea til y la apliques en cada instalacin de WP para personalizar mas tu
sitio web o blog.
htaccess (Acceso de Hiper-Texto) es el nombre por defecto del archivo de configuracin de directorios de
Apache. Provee de la habilidad para personalizar la configuracin de las directivas definidas en el archivo de
configuracin principal. Las directivas de configuracin necesitan estar en el contexto de .htaccess y el usuario
necesita los permisos apropiados.
Ahora veamos los problemas ms comunes.
ndice

1. Control de acceso a carpetas

2. Listado de carpetas
3. Activacin de compresin
4. Escondiendo archivos
5. Pginas de error HTTP 404 personalizadas
6. Bloqueo de referers maliciosos Nada de hotlinking
7. Bloqueo de robots maliciosos
8. No mostrar wwww
9. Escondiendo la extensin del lenguaje de scripting

Hacking Urban
Me gusta
A 66 573 personas les gusta
Urbano.

10. Consejos y trucos varios

Tweets

11. Proteccin con contrasea mediante htpasswd

HackUrbano
@HackUrbano

12. Activando SSI

13. Cambiando la pgina por defecto
14. Evitando el error 500
15. Directiva CheckSpelling [Control de Ortografa]
16. Agregar sumario MD5
17. Fuentes
18. Herramientas

Aunque sea una y otra vez

disfrutamos ver Matrix (199
imdb.com/title/tt013309
Abrir
El Makuander!
@m4ku4z

Algo se esta cocinando en

@HackUrbano
pic.twitter.com/3EiK6RsJV

Retwitteado por HackUr

Mostrar foto
HackUrbano
@HackUrbano

Control de acceso a carpetas

Podras querer deshabilitar totalmente el acceso a una carpeta (por ejemplo, una carpeta con libreras de
programacin que se incluyen en los archivos principales. En este caso slo los archivos principales accederna
ellos mediante el sistema de archivos, pero no se podrn acceder via web). Bueno, simplemente crea un archivo
.htaccess en esa carpeta que contenga:

Bienvenidos vine.co/v/OTijB
Mostrar multimedia
El Makuander!
@m4ku4z

Nueva temporada cocinand

@HackUrbano , Pronto seg
grabando! y editando en el
pic.twitter.com/5CslDpZmu

Retwitteado por HackUr

Mostrar foto

Cdigo:
#deny all access
deny from all

El Makuander!
@m4ku4z

Twittear a @HackUrbano

Si se quiere permitir el acceso desde una IP especfica

Cdigo:
#deny all access
deny from all
allow from 10.0.0.1

Leonardo en Hack

cuentas de #Faceb
#SET & #Ettercap

o para un rango especfico de IPs (forzado mediante la mscara de red)

Lair Rico en Person

Cdigo:
allow from 192.168.0.0/24
tambin se puede bloquear el acceso a un archivo especfico
Cdigo:
<Files privado.html>
Order allow,deny
Deny from all

Terminal de OSX

dcgeek en Genera

de Netflix por un m
mtodo nuevo
grij en Hackeando

#Facebook con #S
#Ettercap

Listado de carpetas

Lenin Chavarria S

Tutorial hacer jailbr

Si se quiere hacer las carpetas navegables, entonces necesitamos agregar esta lnea al archivo .htaccess
Cdigo:
Options +Indexes +MultiViews +FollowSymlinks
Y esta si se tiene el mdulo apropiado en el servidor web

Cdigo:
IndexOptions FancyIndexing
Tambin se podra querer prevenir el listado de carpetas
Cdigo:
IndexIgnore *

8-8.1

Activar compresin
Se puede habilitar la compresin de datos inherente de PHP para ahorrar ancho de banda

Cdigo:
php_value zlib.output_compression 16386

Escondiendo archivos
Para deshabilitar el acceso a un archivo en particula se puede utilizar una expresin regular y la directiva Files
para denegar acceso a cualquier archivo que comience con .ht
Se puede modificar esto para restringir un archivo en particular (como archivos de configuracin, robots.txt,
archivos de logs o lo que se desee).

Cdigo:
Order allow,deny
Deny from all
Satisfy All

Cdigo:
Pginas de error HTTP 404 personalizadas
Si se quisiera redireccionar los visitantes cada vez que se encuentran con una pgina de error HTTP 404, utiliza
ste cdigo:
Cdigo:
ErrorDocument 404 /errores/noencontrado.html
Esto redirije el usuario hacia /errores/noencontrado.html cada vez que sucede un error 404. Obviamente, se
puede redefinir para que capture otros errores http (403, 5000, etc). Sigue leyendo para ver lo que encontr
Consejo: Internet Explorer tiene una funcionalidad poco documentada que previene la utilizacin de cualquier
pgina de error 404 personalizada que sea menor a 512 bytes de largo. Los visitantes sern enviados, en cambio,
a la pgina propia de IE, que es genrica y sugiere que utilizen una bsqueda en MSN para buscar la informacin
en internet. Esa es una forma de perder visitantes! Asegrate que tu pgina personalizada est por sobre este
lmite algo as como 10 lneas completas de texto y HTML deberan ser suficientes.

Bloqueo de referers maliciosos Nada de hotlinking

Si se desea bloquera algunas partes del sitio de cualquier referer malicioso:

Cdigo:
RewriteEngine on
RewriteCond %{HTTP_REFERER} ejemplo\.com [NC,OR]
RewriteCond %{HTTP_REFERER} otroejemplo\.com
RewriteRule .* - [F]
Utilizando el motor rewrite [de reescritura] se denegar el acceso al sitio a cualquier visitante que venga de
chicomalo.com u otrositiodesagradable.com. Para evitar el robo de ancho de banda, se puede bloquear el acceso
a un archivo en particular (o extensin de archivos).

Cdigo:
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http://([-a-z0-9]+\.)?example\.com[NC]
RewriteRule .*\.(zip|mp3|avi|wmv|mpg|mpeg)$ http://www.example.com/images/nohotlink.gif [R,NC,L]
Esto dice: si el visitante no proviene de misitio.net, entonce redirije todos los pedidos de archivos
(zip,mp3,avi,wmv,mpg,mpeg) a una imagen que dice No permitimos hotlinking De esa forma, puedes redirigir a
una pgina, o lo que desees, o p uedes modificar la lista de extensones de archivo para incluir/quitar otros
archivos. Cuidado: cuando se decide bloquera el hotlinking de imgenes recuerda que puedes estar bloqueando
todo trfico fuera del alcance de tu dominio. Por ejemplo, si se posee un archivo de sindicacin tomado por
bloglines necesitars modificar la regla para permitirles a los lectores obtener las imgenes o el RSS se ver
mal.

Bloqueo de robots maliciosos

En algunos casos se querr bloquear algunos robots maliciosos, como spiders o descargadores. Para ello
utilizaremos mod_rewrite nuevamente. Normalmente los robots maliciosos ignoran el archivo de directivas
robots.txt por lo que se podra querer forzar un error 403 cada vez que quieran recorrer o descargar tu sitio:

Cdigo:
RewriteEngine On
RewriteCond %{HTTP_USER_AGENT}
RewriteCond %{HTTP_USER_AGENT}
RewriteCond %{HTTP_USER_AGENT}
RewriteCond %{HTTP_USER_AGENT}
RewriteCond %{HTTP_USER_AGENT}
RewriteCond %{HTTP_USER_AGENT}
RewriteCond %{HTTP_USER_AGENT}
RewriteCond %{HTTP_USER_AGENT}
RewriteCond %{HTTP_USER_AGENT}
RewriteCond %{HTTP_USER_AGENT}
RewriteCond %{HTTP_USER_AGENT}
RewriteCond %{HTTP_USER_AGENT}
RewriteCond %{HTTP_USER_AGENT}
RewriteCond %{HTTP_USER_AGENT}
RewriteCond %{HTTP_USER_AGENT}
RewriteCond %{HTTP_USER_AGENT}
RewriteCond %{HTTP_USER_AGENT}
RewriteCond %{HTTP_USER_AGENT}
RewriteCond %{HTTP_USER_AGENT}
RewriteCond %{HTTP_USER_AGENT}
RewriteCond %{HTTP_USER_AGENT}
RewriteCond %{HTTP_USER_AGENT}
RewriteCond %{HTTP_USER_AGENT}
RewriteCond %{HTTP_USER_AGENT}
RewriteCond %{HTTP_USER_AGENT}
RewriteCond %{HTTP_USER_AGENT}
RewriteCond %{HTTP_USER_AGENT}
RewriteCond %{HTTP_USER_AGENT}
RewriteCond %{HTTP_USER_AGENT}
RewriteCond %{HTTP_USER_AGENT}
RewriteCond %{HTTP_USER_AGENT}
RewriteCond %{HTTP_USER_AGENT}
RewriteCond %{HTTP_USER_AGENT}
RewriteCond %{HTTP_USER_AGENT}
RewriteCond %{HTTP_USER_AGENT}
RewriteCond %{HTTP_USER_AGENT}
RewriteCond %{HTTP_USER_AGENT}
RewriteCond %{HTTP_USER_AGENT}
RewriteCond %{HTTP_USER_AGENT}
RewriteCond %{HTTP_USER_AGENT}
RewriteCond %{HTTP_USER_AGENT}
RewriteCond %{HTTP_USER_AGENT}
RewriteCond %{HTTP_USER_AGENT}
RewriteCond %{HTTP_USER_AGENT}
RewriteCond %{HTTP_USER_AGENT}
RewriteCond %{HTTP_USER_AGENT}
RewriteCond %{HTTP_USER_AGENT}
RewriteCond %{HTTP_USER_AGENT}
RewriteCond %{HTTP_USER_AGENT}
RewriteCond %{HTTP_USER_AGENT}
RewriteCond %{HTTP_USER_AGENT}
RewriteCond %{HTTP_USER_AGENT}
RewriteCond %{HTTP_USER_AGENT}

^BlackWidow [OR]
^Bot\ mailto:craftbot@yahoo.com [OR]
^ChinaClaw [OR]
^Custo [OR]
^DISCo [OR]
^Download\ Demon [OR]
^eCatch [OR]
^EirGrabber [OR]
^EmailSiphon [OR]
^EmailWolf [OR]
^Express\ WebPictures [OR]
^ExtractorPro [OR]
^EyeNetIE [OR]
^FlashGet [OR]
^GetRight [OR]
^GetWeb! [OR]
^Go!Zilla [OR]
^Go-Ahead-Got-It [OR]
^GrabNet [OR]
^Grafula [OR]
^HMView [OR]
HTTrack [NC,OR]
^Image\ Stripper [OR]
^Image\ Sucker [OR]
Indy\ Library [NC,OR]
^InterGET [OR]
^Internet\ Ninja [OR]
^JetCar [OR]
^JOC\ Web\ Spider [OR]
^larbin [OR]
^LeechFTP [OR]
^Mass\ Downloader [OR]
^MIDown\ tool [OR]
^Mister\ PiX [OR]
^Navroad [OR]
^NearSite [OR]
^NetAnts [OR]
^NetSpider [OR]
^Net\ Vampire [OR]
^NetZIP [OR]
^Octopus [OR]
^Offline\ Explorer [OR]
^Offline\ Navigator [OR]
^PageGrabber [OR]
^Papa\ Foto [OR]
^pavuk [OR]
^pcBrowser [OR]
^RealDownload [OR]
^ReGet [OR]
^SiteSnagger [OR]
^SmartDownload [OR]
^SuperBot [OR]
^SuperHTTP [OR]

RewriteCond
RewriteCond
RewriteCond
RewriteCond
RewriteCond
RewriteCond
RewriteCond
RewriteCond
RewriteCond
RewriteCond
RewriteCond
RewriteCond
RewriteCond
RewriteCond
RewriteCond
RewriteCond
RewriteCond
RewriteCond
RewriteCond
RewriteCond
RewriteCond
RewriteCond
RewriteCond
RewriteRule

%{HTTP_USER_AGENT}
%{HTTP_USER_AGENT}
%{HTTP_USER_AGENT}
%{HTTP_USER_AGENT}
%{HTTP_USER_AGENT}
%{HTTP_USER_AGENT}
%{HTTP_USER_AGENT}
%{HTTP_USER_AGENT}
%{HTTP_USER_AGENT}
%{HTTP_USER_AGENT}
%{HTTP_USER_AGENT}
%{HTTP_USER_AGENT}
%{HTTP_USER_AGENT}
%{HTTP_USER_AGENT}
%{HTTP_USER_AGENT}
%{HTTP_USER_AGENT}
%{HTTP_USER_AGENT}
%{HTTP_USER_AGENT}
%{HTTP_USER_AGENT}
%{HTTP_USER_AGENT}
%{HTTP_USER_AGENT}
%{HTTP_USER_AGENT}
%{HTTP_USER_AGENT}
.* - [F]

^Surfbot [OR]
^tAkeOut [OR]
^Teleport\ Pro [OR]
^VoidEYE [OR]
^Web\ Image\ Collector [OR]
^Web\ Sucker [OR]
^WebAuto [OR]
^WebCopier [OR]
^WebFetch [OR]
^WebGo\ IS [OR]
^WebLeacher [OR]
^WebReaper [OR]
^WebSauger [OR]
^Website\ eXtractor [OR]
^Website\ Quester [OR]
^WebStripper [OR]
^WebWhacker [OR]
^WebZIP [OR]
^Wget [OR]
^Widow [OR]
^WWWOFFLE [OR]
^Xaldon\ WebSpider [OR]
^Zeus

No mostrar wwww
Para hacer esto, basta con una simple regla de re-escritura:

Cdigo:
Options +FollowSymlinks
RewriteEngine on
RewriteCond %{http_host} ^www\.example\.com[nc]
RewriteRule ^(.*)$ http://example.com/$1 [r=301,nc]
Por qu querra quitar www? En ese link los fundamentos

Escondiendo la extensin del lenguaje de scripting

Se puede aumentar la seguridad cambiando la extensin de los scripts para que los visitantes desconozcan qu
lenguaje ests utilizando:
Cdigo:
# Make PHP code look like unknown types
AddType application/x-httpd-php .cool
De esta forma, los archivos .cool sern tratados como si fuesen archivos PHP. Se deben renombrar los archivos
que se quiera con esta nueva extensin.

Consejos y trucos varios

Mantiene el archivo .htaccess pequeo: este archivo es procesado por el servidor web en cada pedido (pudiendo
causar problemas de performance).
Mantiene tu archivo .htaccess organizado. Utiliza comentarios (lneas que comienzan en #) y se lgicamente
consistente. Es complicado entender un archivo .htaccess desorganizado una vez que crece lo suficiente.
Cuando se utilicen reglas de reescritura de URLs, agrega la opcin [L] a aquellas pginas finales (como la de
hotlinking y dems). Esto le dir al servidor que no procese ms reglas (aumentando la performance).
Cuidado con la herencia: el archivo .htaccess a nivel raz es aplicado tambin en las carpetas, cuaquier regla
.htaccess en la carpeta puede reemplazar las reglas de la carpeta raz.

Proteccin con contrasea mediante .htpasswd

Esto es til cuando se quiere agregar una contrasea a ciertas pginas y/o archivos

Crea un archivo .htpasswd en la carpeta a protejer.

El archivo contendr la informacin de registro de la forma usuario:contrasea. El nombre de usuario es en texto
plano. La contrasea debe de estar encriptada o no funcionar. Utiliza esta herramienta para saber qu texto
agregar.
Si se crea el archivo en la PC local, acurdate de subirlo al servidor en modo ASCII.
Normalmente, se puede modificar el archivo .htaccess. La autenticacin se aplicar a la carpeta en la que se
encuentre y las subcarpetas.
Cdigo:
AuthUserFile /home/pathto/.htpasswd
AuthType Basic
AuthName "Mi Carpeta Secreta"
require valid-user
Se puede protejer un slo archivo incluyendo este cdigo dentro de una directiva
Asegrate de protejer el acceso al archivo .htaccess utilizando el primer consejo.

Activando SSI
Utiliza stas instrucciones para activar la interpretacin SSI
Cdigo:
AddType text/html .html
AddType text/html .shtml
AddHandler server-parsed .html
AddHandler server-parsed .shtml

Cambiando la pgina por defecto

Se puede utilizar esta instruccin para cambiar la pgina por defecto (el orden es importante)
Cdigo:
DirectoryIndex inicio.html index.htm index.html index.php

Evitando el error 500

Pasando el juego de caracteres se evita el mostrar un error 500
Cdigo:
AddDefaultCharset utf-8

Directiva CheckSpelling [Control de Ortografa]

Esta directiva puede ser til para auto-corregir errores de ortografa simple en la URL

Cdigo:
CheckSpelling On

Agregar sumario MD5

Si no se est preocupado por problemas de performance, se peude agregar un clculo de llave MD5 para

agregar un MIC [Control de Integridad de Mensaje en ingls] en cada pedido. Esto es til para controlar la
integridad del mensaje.
Cdigo:
ContentDigest On

Comprtelo:

Facebook

Twitter

Google

Tumblr

Pinterest

LinkedIn

Correo electrnico

Autor: elmakuaz
El albail hacker

Comparte este artculo en

Nuestros Editores
elmakuaz
60 Posts

Etiquetas

Android apple

Actualidad
Chrome Consola CSS Datos Disco
duro Extensiones Filezilla Front End
FTP

NeoLancer
54 Posts

Ultimas Notas

Google Google Chrome

Hacking Hard Reset Instalar

Internet iOS iPhone Jailbreak

Linux MAC Malware
Mavericks Motorola DEXT Motorola

OSX

Netflix
Plugin
Programacin Redes
MB200

Seguridad Servidores Social

Terminal

tutorial tutoriales

Twitter Unix VPN Web WiFi

Windows Wordpress

2014 Derechos Reservados. unocero es una marca registrada de Servicios Track Cero, S.C.

Acerca de Hack Urb

Podcast 10 Final de ao
2014
Donacin B4 & Hack Urbano!
para Aldea Infantil SOS
Borraste tus contactos en
Google? restauralos
facilmente
Aade sitios de confianza a tu
Smart Lock en Android 5.0
Has limpieza en LinkedIn y
solo publica tu

Somos una iniciativa de

investigadores , estudian
Hackers Mexicanos , sie
interesados en la Segur
las nuevas tecnologias...