Seguridad y .htaccess en WordPress

ACTUALIZACIÓN: Cuando publiqué mi respuesta por primera vez, no capté el meollo de la pregunta; mi respuesta era sobre seguridad general de .htaccess y ahora se encuentra debajo de la doble línea (mira abajo si te interesa). Lamentablemente no tengo experiencia específica con la protección de /wp-admin/ usando .htaccess, así que simplemente enumeraré los dos recursos que consultaré cuando lo necesite:

• Hardening WordPress with .htaccess
• AskApache Password Protection, For WordPress

El primero recomienda lo siguiente (y aquí hay alguna discusión al respecto).

<Files ~ "\.(php)$">
AuthUserFile /etc/httpd/htpasswd
AuthType Basic
AuthName "restricted"
Order Deny,Allow
Deny from all
Require valid-user
Satisfy any
</Files>

El segundo tiene mucha información, especialmente en los comentarios, pero admito que proporcionarte una lista para leer no es la respuesta que buscabas.

Lamento no haber podido ser más útil en este caso.

========================================

Normalmente WordPress solo tiene lo siguiente, que maneja el procesamiento de enlaces permanentes y no está relacionado con la seguridad:

# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress

Recientemente encontré el plugin WP htacess Control que gestiona mucho del .htaccess por ti y me gusta bastante. Después de ajustar sus configuraciones, añadió las siguientes opciones:

# WPhtC: Desactivar ServerSignature en páginas de error generadas
ServerSignature Off

# WPhtC: Desactivar navegación de directorios
Options All -Indexes

# WPhtC: Proteger WP-config.php
<files wp-config.php>
order allow,deny
deny from all
</files>

# WPhtC: Proteger archivo .htaccess
<files ~ "^.*\.([Hh][Tt][Aa])">
order allow,deny
deny from all
</files>

También añadió estas opciones que son sobre rendimiento en lugar de seguridad:

# WPhtC: Configurar mod_gzip
<ifModule mod_gzip.c>
mod_gzip_on Yes
mod_gzip_dechunk Yes
mod_gzip_item_include file \.(html?|txt|css|js|php|pl)$
mod_gzip_item_include handler ^cgi-script$
mod_gzip_item_include mime ^text/.*
mod_gzip_item_include mime ^application/x-javascript.*
mod_gzip_item_exclude mime ^image/.*
mod_gzip_item_exclude rspheader ^Content-Encoding:.*gzip.*
</ifModule>

# WPhtC: Configurar mod_deflate
<IfModule mod_deflate.c>
AddOutputFilterByType DEFLATE text/html text/plain text/xml application/xml application/xhtml+xml text/javascript text/css application/x-javascript
BrowserMatch ^Mozilla/4 gzip-only-text/html
BrowserMatch ^Mozilla/4.0[678] no-gzip
BrowserMatch bMSIE !no-gzip !gzip-only-text/html
Header append Vary User-Agent env=!dont-vary
</IfModule>

Además de este, hay algunos plugins que no he probado pero que están enfocados en seguridad y que interactúan con .htaccess - podrías probarlos cada uno solo para ver qué hacen con el archivo .htaccess:

• WP Super Secure and Fast htaccess (también)
• BulletProof Security
• Silence is Golden Guard
• WP-BlockYou
• Stealth Login
• HTTP Authentication
• AskApache Password Protect

Además, si quieres conocer el que (en mi opinión) es el recurso experto número 1 sobre seguridad de Apache relacionada con WordPress, puedes encontrarlo en AskApache.com; ¡el tipo es hardcore! Su blog no resolverá tu problema de "demasiada información" pero al menos puedes verlo como un recurso autoritativo.

Aquí hay algunos ejemplos (aunque no todos están directamente relacionados con WordPress, todos son aplicables):

• Advanced WordPress wp-config.php Tweaks
• Example .htaccess for WordPress
• Advanced WordPress 404
• Mod_Security .htaccess tricks
• .htaccess Plugin Blocks Spam, Hackers, and Password Protects Blog

De cualquier manera, espero que esto ayude.