WordPress se instala tal como está dentro del directorio de acceso público del hosting. No se permite almacenar ninguna parte del núcleo de WordPress en un directorio de acceso no público. Puedes probar esto fácilmente instalando WordPress en tu directorio.
Según tu solicitud, tendrías que asegurar el acceso a wp-config.php (el único archivo de configuración de WordPress) a través de tu .htaccess. WordPress no tiene intención de almacenar el archivo en ningún otro lugar. El núcleo de WordPress solo genera archivos de registro si se activan explícitamente en el modo de depuración. Hay algunos complementos que escriben sus propios archivos de registro, que tendrías que comprobar por separado.
Lo que básicamente significa que, de manera predeterminada, WordPress no almacena los archivos de sensetive fuera de la raíz web. En cambio, almacena todo en un directorio de acceso público, pero restringe el acceso a los archivos principales de sensetive a través de htaccess
¿Podría confirmar si estas son las prácticas predeterminadas? *Para poder confirmar si así es como funciona el ecosistema de WordPress o si se debe a mi entorno de host de origen.
Mi configuración actual funciona como tal, pero de alguna manera estoy investigando fortalecimiento el directorio aspecto que consiste en accesibilidad, permisos y también AccesibilidadComo la accesibilidad y los permisos están restringidos como debería ser, aquí viene el Accesibilidad [As quiestioned] aspecto:
Estaba mirando la práctica predeterminada que restringe a través de htaccess
Y descubrí que existe el riesgo de confiar en htaccess
únicamente como en cualquier caso [rare occurrence] Si el htaccess
Si se sobrescribe o se corrompe, puede suponer un riesgo o un daño. Por lo tanto, en lugar de confiar en el htaccess
Únicamente, pensé en realizar cualquiera de los dos a continuación:
Opción 1 : Aislamiento de archivos y carpetas sensibles – mover archivos y carpetas importantes y sensibles del Directorio de acceso público.
Opción 2 : Predeterminado con doble capa – Mantener el conjunto de reglas de restricción existentes en htaccess
+ Bloquear el acceso a esas rutas sensibles en la primera línea de defensa de la infraestructura WAF. En caso de que algo salga mal con la infraestructura WAF, htaccess
Todavía no sería accesible al público debido a que ya hay un bloqueo. [403] Antes de que la solicitud pueda llegar al origen [Nature of First Line Defense].
Bueno, no soy un experto en esto, pero estoy tratando de mejorar la postura de seguridad específicamente para este aspecto del directorio, ya que pude ver una laguna. [I Guess?] como se describe arriba.
Las opiniones y sugerencias son bienvenidas y altamente apreciadas.
En cambio, almacena todo en un directorio de acceso público pero restringe el acceso a los archivos principales sensibles a través de
htaccess
¿Podría confirmar si estas son las prácticas predeterminadas? *Para poder confirmar si así es como funciona el ecosistema de WordPress o si se debe a mi entorno de host de origen.
Sí, puedes decirlo así. WordPress solo viene con un mínimo .htaccess
archivo. Puede probar esto instalando WordPress localmente fuera de su entorno de alojamiento, por ejemplo.
Si desea asegurar aún más el acceso, puede proceder como ya lo ha considerado con sus propias líneas en el .htaccess
Este artículo también debería brindarte algunas sugerencias: https://wordpress.org/documentation/article/hardening-wordpress/
También hay que tener en cuenta que hay servidores web que no están basados en Apache. El archivo .htaccess solo se interpreta para estos y solo con la configuración correspondiente en Apache. Son tareas que WordPress no puede realizar, sino que debe realizarlas el soporte del hosting.