Ryan D. Sullivan, da WP Care, não tem dúvidas. O editor de ficheiros de temas e plugins do WordPress deve desaparecer ou, na pior das hipóteses, ficar desactivo por defeito. Sobretudo por questões de segurança.
Defende que editar ficheiros a partir do painel do WordPress pode abrir o website a potenciais comportamentos maliciosos ou criar uma porta de entrada para alguém externo poder aceder à área de administração. Conta que ataques de spam em larga escala ou alterações do aspecto do website tiveram origem a partir do uso de péssimos nomes de utilizador ou palavras passe fracas, muitas vezes ultrapassadas por ataques de força bruta.
Nestes ataques uma rede de muitos computadores (a maioria dos quais infectada e sem saber que está a colaborar nesse tipo de actividade maliciosa) tenta ‘adivinhar’ o nome de utilizador e a palavra passe de acesso ao website. São efectuadas muitas tentativas automáticas (por vezes milhares) e se os dados de acesso forem fracos as possibilidades de êxito deste processo podem ser elevadas.
Se alguma destas sinistras personagens tem acesso ao painel do teu website bastam dois cliques para chegar à área onde podem fazer estragos: Apresentação > Editor. Aqui podem editar os ficheiros pretendidos e, pronto, está feita a asneira. O teu website começa a ser controlado por outras pessoas e os prejuízos são óbvios.
A melhor forma de evitar esta situação é prevenir.
- Em primeiro lugar, deves reforçar a dificuldade de obtenção do teu nome de utilizador e da palavra passe. Usa uma palavra passe ou senha muito difícil. Evita palavras que estejam num qualquer dicionário, mesmo que seja o de esperanto.
- Depois, podes desactivar o editor de temas e plugins no WordPress.
Para isso tens apenas de acrescentar uma linha de código no teu ficheiro wp-config.php:
define( ‘DISALLOW_FILE_EDIT’, true );
Desta forma, ninguém, nem mesmo um administrador, poderá editar os temas e os plugins a partir do painel do WordPress.