Esta es otra de esas publicaciones que analiza la efectividad de implementar ciertas medidas de seguridad en WordPress.
Recientemente estaba revisando Sucuri y me llamó la atención que entre las opciones para mejorar la seguridad de un sitio esta el poder desactivar la edición y temas desde el escritorio de WordPress.
No entiendo el impacto que puede tener desactivar el editor de temas y de plugins y en esta publicación te voy a explicar mis dudas sobre la efectividad de este medida de seguridad.
Table of Contents
¿Dónde está el Editor de Temas y Plugins?
El editor de temas lo puedes encontrar en la pestaña apariencia.
El editor de plugins se encuentra en la sección de plugin, debajo de la opción de añadir nuevos plugins.
¿Cómo Remover el Editor de Plugins y Temas?
Muchos plugins de seguridad como Sucuri brindan la opción de remover el Editor de Plugins y el Editor de Temas
Esa implementación se puede realizar de forma manual al agregar este simple código en tu archivo functions.php
define('DISALLOW_FILE_EDIT',true);Yo implemento esa medida de seguridad por medio el folder mu-plugin, proceso que consiste en crear un archivo PHP y agregar esto dentro del mismo
<?php
/*
Plugin Name: File Editor Deactivator
Plugin URI: https://wpsurfer.com
Description: Deactivate the plugin and theme editor within the WordPress Dashboard
Version: 1.0
Author: TicoLibre
Author URI: https://wpsurfer.com
*/
define( 'DISALLOW_FILE_EDIT', true );Ese simple código remueve esas opciones lo que me llevó a preguntarme sobre cómo eso refuerza la seguridad de mi sitio.
¿Sirve esta Medida como Seguridad?
Si lees este artículo de wpmudev.org, ellos afirman que esta es una buena medida para implementarla con clientes y así evitar que manipulen algo que nadie debe manipular.
Creo que la opinión de wpmudev.org es bastante acertada, porque el usuario promedio raramente tiene que manipular el código de los temas y plugins, por lo que tener la opción disponible no es necesaria y puede convertirse en un riesgo.
Por otro lado, WPBeginner indica que si un hacker llega al área de administración este podría inyectar malware y tratar de conseguir otra información de tu sitio.
WP White Security tambien afirma que esto es una buena medida de seguridad si un hacker da con el usuario y la contraseña por medio de un ataque de fuerza bruta
Esta medida de seguridad en apariencia no sirve de mucho por estas razones:
- Si activaste esto por medio de un plugin que, un hacker estando en el escritorio puede fácilmente remover la funcionalidad con un clic.
- Si el código fue agregado manualmente, el hacker estando en el escritorio de WordPress puede modificar ese archivo instalando un plugin como File Manager.
Y en un par de minutos, un hacker puede montar una fiesta en tu escritorio de WordPress.
Escenario donde Funciona
El único escenario donde bloquear el editor de temas y plugins puede funcionar en términos de seguridad.
Si estas bloqueando el editor de temas y plugins usando el folder mu-plugins que impide la desactivación desde el escritorio.
Una vez que has realizado todos los cambios y actualizaciones que requieres, puedes optar por impedir la instalación y actualización de plugins y temas desde ese folder.
En ese escenario, el hacker esta en el escritorio del sitio, despues de haber realizado un ataque de fuerza bruta o un robo de la cookie de sesión.
Estando en tu escritorio, el hacker no podrá inyectar código malicioso a plugins y temas y este estaría limitado a realizar cambios en publicaciones y medios.
Por supuesto que para esto funcionar, la instalación y la base de datos no debería ser vulnerables
Conclusiones
Creo que debemos ser muy cuidadosos a la hora de seguir ciertos consejos de seguridad.
Algunos consejos dan una falsa sensación de seguridad, deshabilitar el editor de temas y plugins detendría un hacker durante algunos segundos si ya este tiene tus credenciales de acceso.
Lo que se puede rescatar de este pequeño análisis es que un usuario y una contraseña difícil de descifrar es y seguirá siendo una de las mejores líneas de defensa ante los hackers.
