WordPress viene con editores integrados para temas y plugins, que permiten a los usuarios editar carpetas que comprenden el tema y los plugins directamente desde el panel de administración. Aunque esto parece increíblemente conveniente, estas funciones integradas también pueden generar una gran cantidad de problemas de seguridad que pueden convertir su sitio web en un terreno fértil para el malware.
En este artículo, le mostraremos cómo deshabilitar el tema de WordPress y los editores de plugins desde el panel de administración. Para facilitarle la navegación, lo hemos dividido en diferentes métodos que puede probar:
Por qué debería deshabilitar los editores de plugins y temas de WordPress
Encontrará el editor de temas navegando a Apariencia> Tema editor en el panel de administración:
Por defecto, su editor mostrará archivos del tema actualmente activo. El primer archivo que verá en el editor es style.css. Los otros archivos disponibles se encuentran en la lista Archivos temáticos en la barra lateral derecha.
Puede acceder al editor de plugins navegando a Complementos> Editor de plugins en el panel de administración. Mostrará uno de los plugins instalados, el primero en orden alfabético.
Si es la primera vez que accede al editor de temas y plugins, recibirá esta notificación de WordPress, advirtiéndole que estos editores pueden dañar su sitio web.
En las últimas versiones de WordPress, Los editores de temas y plugins se han actualizado un poco para evitar ediciones que pueden provocar errores y bloqueos.. Por ejemplo, si inserta una línea de código incorrecta, el editor informará el error antes de permitirle guardar los cambios.
Como puede ver, también tiene la opción para guardar cambios en el archivo independientemente de la advertencia.
El problema con estos editores integrados es que permitir el acceso a todo tipo de código en su sitio web. Esto los convierte en posibles vehículos de ciberataques.
Si un pirata informático obtiene acceso a su panel de administración de WordPress, estos editores le permitirán modificar archivos vulnerables e inyectarles código malicioso.
Lo hacen por participar en ataques de fuerza bruta en un sitio de WordPress. Tan pronto como descifran la contraseña de la cuenta de administrador, acceden al editor de temas y plugins para modificar los archivos. Pero la brecha no siempre proviene del exterior. Si tiene un cliente o un empleado que tiene acceso completo al panel de administración, pueden inserta accidentalmente un código malicioso o causa un bloqueo del sitio web.
Por eso se recomienda encarecidamente deshabilitar los editores de WordPress para temas y plugins.
Cómo deshabilitar los editores de temas y plugins
La forma más fácil de desactivar ambos editores es agregar una línea de código al archivo wp-config.php. Ahora le mostraremos cómo hacer esto usando un cliente FTP, cPanel y otros métodos.
Usando el cliente FTP
Para este método, necesitará un cliente FTP como Filezilla. Filezilla es increíblemente práctico y fácil de usar incluso para usuarios menos experimentados.
En este artículo, encontrará una guía detallada sobre cómo acceder al archivo wp-config.php usando FTP. Antes de comenzar a editar el archivo wp-config, tenga en cuenta que incluso un pequeño error puede provocar errores en su sitio web. Para evitar estos problemas, cree una copia de seguridad de su sitio web, así como una copia del archivo wp-config.php.
Ahora, abra el archivo de su servidor en el editor de texto e inserte la siguiente línea de código antes de la línea: 'Eso es todo, ¡deja de editar! Feliz publicación':
define( 'DISALLOW_FILE_EDIT', true );
Cuando haces esto, guarde esta edición en el archivo y reemplace el archivo wp-config.php con el archivo editado.
Cuando regrese al panel de administración de WordPress, verá que el acceso a estos editores ya no es posible.
Usando cPanel
Para algunos usuarios, es más fácil editar el archivo wp-config.php usando cPanel. El proceso es similar al método FTP. Primero, necesitas iniciar sesión en tu cPanel, a la que generalmente se accede a través de la dirección http://mydomain.com/cpanel. Después de iniciar sesión, haga clic en la opción Administrador de archivos.
En la siguiente pestaña, verá el estructura de los directorios en su servidor. En caso de que tenga más de un dominio, debe marca la carpeta con el nombre de tu dominio. Esta carpeta contiene los archivos de su instalación de WordPress, incluido el archivo wp-config.php. Haga clic derecho en el archivo y seleccione Editar.
En el editor de archivos, agregue la siguiente línea de código y haga clic en el botón Guardar:
define( 'DISALLOW_FILE_EDIT', true );
Ahora ha desactivado los editores de temas y plugins en el panel de administración de WordPress. En caso de que haya habido un error en el proceso, siempre puede importar la copia del archivo desde su copia de seguridad.
Uso del archivo Functions.Php
Si no desea editar su archivo wp-config.php, también es posible agregar la misma línea de código al archivo functions.php. Acceder al archivo functions.php usando FTP es similar a encontrar el archivo wp-config.php. Sólo navegue a la carpeta del tema, haga clic derecho en el archivo functions.php y seleccione la opción Ver / Editar:
Cuando abra el archivo en el editor de texto, inserte la siguiente línea de código al final del archivo functions.php.
define( 'DISALLOW_FILE_EDIT', true );
Usar plugins de terceros
Si desea evitar la modificación de archivos y codificación, tiene la opción de deshabilitar los editores de temas y plugins mediante plugins de terceros. Un tipo de plugins le permite agregar automáticamente las líneas de código requeridas, mientras que el otro tipo simplemente deshabilita los editores.
Si desea utilizar un plugin para insertar código, le mostraremos cómo hacerlo utilizando un plugin de fragmento de código que agregará la siguiente línea de código.
define( 'DISALLOW_FILE_EDIT', true );
Para deshabilitar los editores automáticamente, le recomendamos que instale el plugin Deshabilitar el editor de archivos. Todo lo que necesita hacer es instalar y activar la herramienta. No tiene configuraciones personalizables, por lo que cuando lo active, deshabilitar automáticamente los editores de temas y plugins.
Dado que la mayoría de los usuarios de WordPress utilizan editores de temas y plugins para buscar el código en archivos, agregue CSS personalizado y edite el código en el child tema, aquí hay una forma alternativa de hacerlo una vez que desactive los editores. Simplemente navega a Apariencia> Personalizar> CSS adicional campo:
Para editar archivos de temas y plugins, puede utilizar el software FTP.
* Consejo adicional para mayor seguridad
Dado que nuestro objetivo principal aquí es prevenir problemas de seguridad con su sitio web, aquí hay otra forma de evitar que los piratas informáticos aprovechen las vulnerabilidades de su sitio. Usted puede deshabilite la opción para agregar un nuevo tema o instalar / eliminar plugins. Si agrega esta línea de código a su archivo wp-config.php, notará que esta opción ya no estará disponible.
define('DISALLOW_FILE_MODS',true);
Aún podrá activar o desactivar los plugins instalados actualmente.
Sin embargo, tenga cuidado cuando inserte esta línea de código ya que algunos plugins requieren modificaciones de archivo para funcionar correctamente. Por ejemplo, el plugin Loco Translate crea y cambia archivos con extensiones .mo y .po. Lo mismo ocurre con los plugins que le permiten configurar un child tema.
Sabrá que este código está creando problemas con sus plugins si ve la siguiente notificación después de activar el plugin.
En ese caso, deberá permitir la modificación del archivo y seguir uno de los pasos anteriores que describimos.
Pensamientos finales
Aunque el panel de administración de WordPress es la forma más sencilla de acceder a los editores de temas y plugins, debido al creciente enfoque en la seguridad del sitio, nuestra sugerencia es considerar algunas de estas opciones y deshabilitar los editores. De esta manera, controlará completamente el proceso de edición de temas y plugins y mejorará la protección de su sitio.