Personalmente trovo pericoloso consegnare ad un cliente un sito dove si possa mettere mano al codice sorgente per due motivi principali:

1) è perché magari potrebbe modificare il codice del sito e non essere più in grado di ripristinare le modifiche (99,999% dei casi un cliente non sa minimamente a cosa serva tutto quel codice…)

2) il cliente potrebbe chiedere al “nipote” smanettone di mettere mano al codice per fare delle modifiche che sa già che non gli farai “aggratisss”.

La modifica inoltre previene in parte il fatto che un hacker che riesce ad accedere al backend del sito, possa poi metterlo fuori uso.

Parlando proprio del secondo caso più nello specifico, il sito potrebbe essere oggetto di attacchi informatici (brute force attack o tentativi di indovinare le password ed il nome degli amministratori, quindi se l’amministratore è pure uno che ha pubblicato articoli e pagine, è meglio che crei una utenza unicamente per la pubblicazione per rendere più difficile indovinare la combinazione).

Editor dei temi e dei plug-in. Che cos’è?

In WordPress è possibile modificare direttamente dal sito quasi tutti i file dei temi e dei plugin, tramite un editor testuale integrato direttamente nel back-end di amministrazione. Tale funzionalità può risultare comoda per effettuare rapide correzioni al volo, magari in emergenza o direttamente dal cliente, senza bisogno di passare tramite FTP.

Come attaccano un sito?

Nel caso in cui qualcuno indovini la password di un amministratore, risulta facile compromettere il sito, anche tramite script automatizzati. In questo modo se colui che ha realizzato il sito venga ricontattato dal cliente soggetto dell’attacco nel momento in cui si vadano a ripristinare i file originali del tema, questi verrebbero presto infettati nuovamente in maniera del tutto automatica. Rispetto ad altre forme di attacco, non è necessario venire a conoscenza della password FTP (in quanto quasi tutte le installazioni di WordPress hanno i permessi di scrittura nella cartella wp-content) e non viene sfruttato nessun bug possibile di WordPress.

Come disabilito l’editor?

Per disabilitare l’editor nel back-end, è necessario modificare il file wp-config.php aggiungendo la seguente riga:

define('DISALLOW_FILE_EDIT,true);

In questa maniera nessuno potrà modificare i file del tema o dei plugin, per cui nella malaugurata ipotesi che la password di un admin venga compromessa, non si è esposti a questo tipo di attacco. Nella pagina di gestione dei plugin (wp-admin/plugins.php) scomparirà la voce “Modifica” tra le azioni disponibili sotto ogni plugin correntemente installato. Scomparirà anche la voce “Editor” nel menu “Aspetto”. Tentando di accedere alle pagine wp-admin/theme-editor.php e wp-admin/plugin-editor.php si otterrà l’errore “Devi farti autorizzare per accedere a questa pagina”.

Resta ovviamente attiva la possibilità di aggiornare i temi ed i plugin.