Uno de los mayores problemas con una instalación de WordPress es el desconocimiento de las medidas básicas de protección, seguridad y actualizaciones que deberiamos tener en cuenta. Mucha gente instala y mantiene un WordPress porque es realmente fácil, pero se olvida de cuestiones clave que pueden provocar un desastre en el sitio web, un hackeo, envio de spam, etc.
Muchos usuarios (o cliente para las empresas de Hosting) de WordPress se sienten seguros solo por hecho de que están instalando algo muy popular porque han contratado un desarrollador que les entregará la web lista para funcionar. Pero cuando algo se rompe o deja de funcionar quien tendrá que arreglarlo. Como desarrollador de un sitio con WP es ideal añadir estas medidas de seguridad para evitar esos usuarios o clientes peligrosos que se empeñan en tocar sin saber.
¿Qué es la seguridad?
Fundamentalmente, la seguridad no consiste en sistemas perfectamente seguros. Algo así podría ser poco práctico, o imposible de encontrar y/o mantener. Lo que es la seguridad es la reducción del riesgo, no la eliminación del riesgo. Se trata de emplear todos los controles apropiados disponibles, dentro de lo razonable, que le permitan mejorar su postura general reduciendo las probabilidades de convertirse en un objetivo, y posteriormente ser hackeado.
Deshabilitar el editor de temas y plugins
Desde el escritorio de WordPress podemos acceder al editor de temas y plugin de forma demasiado sencilla, lo que permite realizar cambios en ambos sin control de esos cambios y permitiendo que el WordPress pueda dejar de funcionar. Lo mejor es añadir en el wp-config.php esta constante:
define(‘DISALLOW_FILE_EDIT’,true);
De esta forma será imposible editar plugins o plantillas desde el escritorio de popular gestor de contenidos.
Pero podemos ir un poco más allá y el codex de WordPress nos muestra otra constante para el wp-config.php realmente útil.
Desactivar la actualización e instalación de plugins y temas
Si impedimos la actualización o instalación de temas o plugins desde el escritorio de WordPress nos cuidaremos de que se produzcan cambios no controlados, que los cambiose hagan por alguien con experencia desde un FTP, SFTP o sistema de despliegues como Git. Solo tienes que añadir esta variables al wp-config.php:
define(‘DISALLOW_FILE_MODS’,true);
Con estas dos variables o constantes evitaremos la edición, actualización e instalación de plantillas y plugins. De esta forma el usuario o cliente sin experiencia no podrá jugar con ellos y romper el sitio.
Ahora cuando alguien sin experiencia quiera instalar o modificar algo en el diseño o en un plugin tendrá que acudir al desarrollar experto en WordPress para realizar estas tareas con seguridad, con una copia de seguridad previa y siempre con la opción de volver atrás si todo deja de funcionar.
Siempre que hagas uso de estas variables asegurate de informar al usuario o cliente para que sepa que las opciones de edición, instalación y actualización de temas y plugins están bloqueados por seguridad. Siempre puede pedir sean desbloqueados, pero en ese momento podremos trasladar toda la responsabilidad.
Editar el wp-config.php
Uno de los archivos más importantes de su instalación de WordPress es el archivo wp-config.php. Este archivo se encuentra en la raíz de su directorio de archivos de WordPress y contiene los detalles de configuración básicos de su sitio web, como la información de conexión a la base de datos.
Cuando se descarga WordPress por primera vez, el archivo wp-config.php no está incluido. El proceso de instalación de WordPress creará un archivo wp-config.php por usted basándose en la información que proporcione en el proceso de instalación.
Es poco probable que una persona que no sea desarrollador tenga que editar el archivo wp-config.php, en el caso de que esté actuando en los pasos de resolución de problemas proporcionados por una persona técnica o por su alojamiento web, esta página debería ayudar.
