Aunque no lo veas, hay un pequeño archivo que puede marcar la diferencia entre un sitio web seguro y uno vulnerable. Se llama .htaccess, y con unas cuantas líneas de texto puede ayudarte a proteger tu sitio sin necesidad de ser programador.

Índice

• 1. ¿Qué es el archivo .htaccess?
• 2. ¿Dónde se encuentra y cómo se usa?
• 3. Usos comunes del .htaccess
• 4. Cómo mejora la seguridad del sitio
• 5. Consejos básicos para evitar errores
• 6. Conclusión

1. ¿Qué es el archivo .htaccess?

El archivo .htaccess (abreviatura de "hypertext access") es un archivo de configuración que utilizan los servidores web basados en Apache. Permite a los administradores de sitios web controlar cómo se comporta el servidor en determinadas situaciones, sin necesidad de cambiar su configuración principal.

Se usa para cosas tan simples como redirigir una página, y tan importantes como bloquear accesos maliciosos. A pesar de su apariencia técnica, muchas de sus funciones se pueden aplicar con copiar y pegar unas líneas bien escritas.

2. ¿Dónde se encuentra y cómo se usa?

Este archivo suele estar ubicado en la carpeta raíz de tu sitio web (por ejemplo, public_html en cPanel). Si no lo ves, puede que esté oculto: su nombre empieza con un punto, lo cual lo hace invisible por defecto en algunos gestores de archivos.

Puedes editarlo con cualquier editor de texto plano (como Notepad++ o VS Code), pero debes tener mucho cuidado, ya que un error en este archivo puede hacer que tu sitio deje de funcionar.

Para aplicarlo:

1. Accede a tu servidor vía FTP o desde el administrador de archivos de tu hosting.
2. Busca el archivo .htaccess o crea uno nuevo.
3. Escribe o pega las reglas necesarias.
4. Guarda los cambios y prueba el sitio.

3. Usos comunes del .htaccess

Aparte de la seguridad, este archivo tiene varios usos útiles:

• Redirecciones 301:
  

  Redirect 301 /vieja-pagina https://tuweb.com/nueva-pagina

• Forzar HTTPS:
  

  RewriteEngine On
  RewriteCond %{HTTPS} off
  RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

• Página personalizada de error 404:
  

  ErrorDocument 404 /404.html

• Bloquear hotlinking:
  

  RewriteEngine on
  RewriteCond %{HTTP_REFERER} !^$
  RewriteCond %{HTTP_REFERER} !^https://(www\.)?tusitio\.com [NC]
  RewriteRule \.(jpg|jpeg|png|gif)$ - [F]

4. Cómo mejora la seguridad del sitio

El .htaccess es una herramienta poderosa para proteger tu web sin instalar software adicional. Algunas formas de reforzar la seguridad incluyen:

• Restringir el acceso a archivos sensibles:

  <Files .env>
  Order allow,deny
  Deny from all
  </Files>

• Bloquear IPs específicas:

  <Limit GET POST>
  order allow,deny
  deny from 123.456.789.000
  allow from all
  </Limit>

• Prevenir exploración de directorios:

  Options -Indexes

• Proteger el propio archivo .htaccess:

  <Files .htaccess>
  Order allow,deny
  Deny from all
  </Files>

5. Consejos básicos para evitar errores

• Haz una copia de seguridad del archivo original antes de editar.
• Edita en local primero y luego súbelo si todo funciona bien.
• Usa herramientas como htaccess.madewithlove.com para validar tus reglas.
• Si cometes un error y tu sitio muestra “500 Internal Server Error”, vuelve al archivo anterior o borra la última regla añadida.

6. Conclusión

El .htaccess es una herramienta sencilla, pero muy poderosa. Con poco esfuerzo, puedes mejorar significativamente la seguridad de tu sitio y tener más control sobre su funcionamiento, sin ser experto en servidores.