Cómo Bloquear Escáneres Maliciosos y Desactivar el Listado de Directorios (.htaccess)

Los registros de errores (Error Logs) de su sitio web a menudo se llenan de "ruido": intentos de conexión de bots, gusanos informáticos y escáneres automáticos que buscan vulnerabilidades antiguas (como carpetas /scripts, /admin o archivos de configuración). Aunque su servidor Linux es inmune a virus de Windows, estas peticiones consumen recursos y dificultan la lectura de los logs importantes.

A continuación, explicamos cómo usar el archivo .htaccess para bloquear este tráfico basura y mejorar la privacidad de sus carpetas.

¿Tu sitio recibe demasiados ataques o tráfico basura?
En hosting compartido los recursos son limitados. Para bloquear ataques masivos y configurar un firewall a medida (CSF), necesitas la potencia de un Servidor VPS Linux.

Ver Planes VPS de Alto Rendimiento

Paso 1: Evitar que los visitantes "espíen" sus carpetas

Por defecto, si una carpeta en su sitio no tiene un archivo index.php o index.html, el servidor mostrará una lista de todos los archivos que contiene. Esto es un riesgo de seguridad y privacidad.

Para desactivarlo, agregue esta línea al principio de su archivo .htaccess ubicado en public_html:

Options -Indexes

El resultado: Si alguien intenta entrar a una carpeta sin índice (ej: /imagenes/), verá un error "403 Forbidden" en lugar de ver sus archivos.

Paso 2: Limpiar el registro de errores (Bloquear escáneres)

En lugar de redirigir a los atacantes a un dominio inexistente (como se hacía antiguamente), la práctica moderna es devolver un código de estado 403 (Prohibido) o 410 (Gone/Ya no existe). Esto ahorra ancho de banda y detiene al bot inmediatamente.

Copie y pegue el siguiente bloque en su archivo .htaccess para bloquear patrones comunes de escaneo:

<IfModule mod_alias.c>
    # Bloquear intentos de acceso a carpetas de sistema o vulnerabilidades viejas
    RedirectMatch 403 ^/scripts/
    RedirectMatch 403 ^/MSADC/
    RedirectMatch 403 ^/_mem_bin/
    RedirectMatch 403 ^/msadc/
    
    # Bloquear acceso a archivos sensibles de desarrollo moderno
    RedirectMatch 403 (?i)\.(git|env|composer\.json|lock|xmlrpc\.php)$
</IfModule>

Nota: Este código le dice al servidor: "Si alguien pide estas rutas, ni siquiera intentes buscarlas; diles que está prohibido entrar".

Ubicación del archivo

Recuerde que el archivo se encuentra en la ruta raíz de su sitio:

/home/su_usuario/public_html/.htaccess

(Si no lo ve, asegúrese de activar la opción "Mostrar archivos ocultos" en la configuración de su Administrador de Archivos en cPanel).

Preguntas Frecuentes

¿Qué hace la línea "Options -Indexes"?

Desactiva el listado automático de directorios. Es una medida básica de seguridad para evitar que personas curiosas o bots descarguen masivamente sus imágenes, temas o plugins explorando sus carpetas.

¿Es seguro editar el archivo .htaccess?

Es seguro si se hace con cuidado. Un error de sintaxis (una letra mal puesta) puede causar un "Error 500" y dejar su sitio inoperativo. Siempre haga una copia de seguridad del archivo antes de editarlo para poder restaurarlo si algo sale mal.

¿Necesitas ayuda con esto?
Nuestro servicio de Seguridad Web incluye configuración y soporte local en Bolivia.
Ver Seguridad Web →
¿Le ha resultado útil esta respuesta? 0 Los usuarios encontraron esto útil (0 Votos)