Desactivar el Editor de Temas y Plugins

Recientemente estaba revisando el plugin Sucuri y me llamó la atención que entre las opciones para mejorar la seguridad de un sitio esta el poder desactivar la edición y temas desde el escritorio de WordPress.

Editor de Temas o Theme Editor

El editor de temas lo puedes encontrar en la pestaña apariencia.

Editor de Plugins o Plugin Editor

El editor de plugins se encuentra en la sección de plugin, debajo de la opción de añadir nuevos plugins.

Muchos plugins de seguridad como Sucuri brindan la opción de remover el Editor de Plugins y el Editor de Temas agregando un simple tema agregando un código en el wp-config.php

define('DISALLOW_FILE_EDIT',true);

Esa implementación se puede realizar de forma manual si lo deseas.

Ese simple código remueve esas opciones lo que me llevó a preguntarme sobre cómo eso refuerza la seguridad de mi sitio.

¿Sirve esta Medida como Seguridad?

Si lees este artículo de wpmudev.org, ellos afirma que esta es una buena medida para implementarla con clientes y así evitar que manipulen algo que nadie debe manipular.

Creo que la opinión de wpmudev.org es bastante acertada porque el usuario promedio raramente tiene que manipular el código de los temas y plugins porque tener la opción disponible no es necesaria.

Por otro lado WPBeginner indica que si un hacker llega al área de administración este podría inyectar malware y tratar de conseguir otra información de tu sitio.

WP White Security tambien afirma que esto es una buena medida de seguridad si un hacker da con el usuario y la contraseña por medio de un ataque de fuerza bruta

Esta medida de seguridad en apariencia no sirve de mucho por estas razones:

  • Si activaste esto por medio de un plugin, un hacker estando en el escritorio puede fácilmente remover la funcionalidad con un clic.
  • Si el código fue agregado manualmente, el hacker estando en el escritorio de WordPress puede modificar ese archivo instalando un plugin como File Manager.

Así luce File Manager desde el escritorio, todo lo que un hacker necesita esta acá.

Conclusiones

Creo que debemos ser muy cuidadosos a la hora de seguir ciertos consejos de seguridad.

Algunos consejos dan una falsa sensación de seguridad, deshabilitar el editor de temas y plugins detendría un hacker durante algunos segundos si ya este tiene tus credenciales de acceso.

Lo que se puede rescatar de este pequeño análisis es que un usuario y una contraseña difícil de descifrar es y seguirá siendo una de las mejores líneas de defensa ante hackers.

¿Preocupado por la Seguridad de tu Sitio?