WordPress, por defecto, permite la edición de archivos del tema y los plugins directamente desde el panel de administración. Esto puede ser útil en algunos casos, pero también representa un riesgo de seguridad. Si un atacante obtiene acceso al panel de administración con privilegios suficientes, podría modificar archivos críticos y comprometer completamente el sitio.
Afortunadamente, es posible desactivar esta funcionalidad de forma sencilla editando el archivo wp-config.php. En este artículo, te mostramos cómo hacerlo y por qué es recomendable aplicar esta medida de seguridad.
⚠️ ¿Por qué desactivar la edición de archivos en WordPress?
Desde el menú Apariencia > Editor de archivos de temas y Plugins > Editor de archivos de plugins, los administradores pueden modificar directamente los archivos del sitio. Sin embargo, esto presenta varios riesgos:
Mayor vulnerabilidad ante ataques: Si un atacante accede al panel de administración, podrá modificar archivos PHP y ejecutar código malicioso.
Errores accidentales: Un cambio incorrecto en un archivo PHP puede romper el sitio y hacerlo inaccesible.
No es necesario en la mayoría de los casos: Los desarrolladores suelen editar archivos desde un editor externo y subirlos mediante FTP o SSH.
🛠️ Cómo desactivar la edición de archivos desde wp-config.php
Una forma muy sencilla de desactivarlo, es añadiendo este código en el fichero de configuración de tu wordpress, normalmente en el "wp-config.php" si este no ha sido modificado:
define('DISALLOW_FILE_EDIT', true);
Una vez guardados los cambios, desde nuestro WordPress ya no podemos acceder al editor de archivos de temas:
🏁 Conclusión
Desactivar la edición de archivos desde el panel de administración es una forma sencilla pero efectiva de mejorar la seguridad de WordPress. Con solo una línea de código en wp-config.php, puedes evitar que usuarios no autorizados modifiquen archivos críticos y reduzcas el riesgo de ataques.