WordPress es una de las plataformas de gestión de contenido más populares en el mundo, gracias a su flexibilidad, facilidad de uso y una gran comunidad de desarrolladores. Sin embargo, con su popularidad también vienen riesgos de seguridad. Uno de los aspectos que muchos administradores de sitios buscan fortalecer es la seguridad, y una de las formas de hacerlo es ocultando la firma del servidor en los encabezados HTTP. Esto puede prevenir que posibles atacantes obtengan información sobre el servidor que podría ser utilizada en intentos de explotación.
En este artículo, explico cómo cambiar la firma del servidor en WordPress modificando el archivo wp-config.php.
¿Qué es la Firma del Servidor?
La firma del servidor es información que el servidor web envía al navegador con cada respuesta HTTP. Esta información puede incluir detalles sobre el software del servidor web, la versión de PHP, y a veces incluso el sistema operativo subyacente. Esta información puede ser utilizada por los atacantes para identificar vulnerabilidades específicas en el servidor.
Modificando el archivo wp-config.php
El archivo wp-config.php es uno de los archivos más importantes en una instalación de WordPress. Contiene la configuración básica del sitio, incluyendo la conexión a la base de datos y las claves de seguridad. También puede ser utilizado para agregar configuraciones personalizadas.
Para cambiar la firma del servidor, vamos a agregar una línea de código en el archivo wp-config.php. A continuación, te muestro cómo hacerlo paso a paso:
Paso 1: Accede al Archivo wp-config.php
Para acceder al archivo wp-config.php, necesitarás tener acceso al servidor donde está alojado tu sitio web. Esto se puede hacer mediante FTP, SSH, o utilizando el administrador de archivos proporcionado por tu servicio de hosting.
- Conéctate a tu servidor mediante tu método preferido (FTP, SSH, etc.).
- Navega al directorio donde está instalada tu versión de WordPress.
- Busca el archivo
wp-config.phpen el directorio raíz de tu instalación de WordPress.
Paso 2: Abre el Archivo para Editar
Una vez que hayas localizado el archivo wp-config.php, ábrelo con tu editor de texto preferido. Si estás utilizando un administrador de archivos basado en web, puede que este tenga un editor incorporado.
Paso 3: Agrega la Configuración para Cambiar la Firma del Servidor
Añade la siguiente línea de código a continuación de la sección “/* Add any custom values between this line and the “stop editing” line. */” dentro del archivo wp-config.php.
$_SERVER["SERVER_SOFTWARE"] = "Apache";Esto lo hacemos para modificar en las cabeceras, la firma del servidor, que se envía al usuario. Puede ser útil para evitar algunos ataques. Hemos de tener en cuenta que WordPress utiliza el tipo de servidor para generar las direcciones en la parte de administración, si por ejemplo ponemos que es un servidor de Windows y no lo es nos podemos encontrar con comportamientos anómalos a la hora de grabar contenido o actualizar opciones dentro de los plugins.
Si lo que queremos es ocultar por completo la firma del servidor basta con añadir lo siguiente en la misma parte del archivo de configuración de WP:
@ini_set('expose_php', 'off');Paso 4: Guarda y Cierra el Archivo
Después de agregar la línea de código, guarda los cambios y cierra el archivo. Si estás utilizando un editor de texto, asegúrate de subir el archivo editado de nuevo a tu servidor.
Paso 5: Verifica los Cambios
Para asegurarte de que los cambios se han aplicado correctamente, puedes utilizar herramientas como curl en la línea de comandos o extensiones de navegador como Live HTTP Headers para inspeccionar las cabeceras HTTP de tu sitio web. Deberías notar que la cabecera X-Powered-By ya no muestra la versión de PHP.
Conclusión
Cambiar la firma del servidor en WordPress mediante la modificación del archivo wp-config.php es un pequeño pero importante paso para mejorar la seguridad de tu sitio web. Al ocultar la versión de PHP y otra información sensible del servidor, reduces la superficie de ataque que los hackers pueden explotar. Aunque este cambio no es una solución de seguridad completa, es parte de una estrategia más amplia para proteger tu sitio web.
Recuerda siempre hacer una copia de seguridad de tus archivos antes de hacer cambios y considerar otras medidas de seguridad como la actualización regular de tu software, el uso de plugins de seguridad y la configuración de permisos adecuados en tu servidor.