Che cos’è l’editor dei temi e dei plug-in?

In WordPress è integrata la possibilità di modificare online tutti i file dei temi e dei plugin, tramite un editor testuale integrato direttamente dal back-end di amministrazione. Tale funzionalità può risultare comoda per effettuare rapide correzioni al volo, magari in emergenza, senza bisogno di lavorare tramite FTP o equivalenti.

Come funziona l’attacco?

Nel caso in cui qualcuno ottenga o indovini la password di un account amministratore, risulta estremamente facile compromettere il sito, anche tramite script automatizzati, col risultato che ripristinando i file originali del tema, questi verrebbero presto infettati nuovamente in maniera del tutto automatica. Rispetto ad altre forme di attacco, non è necessario venire a conoscenza della password FTP (in quanto quasi tutte le installazioni di WordPress hanno i permessi di scrittura nella cartella wp-content) e non viene sfruttato nessun bug (funziona anche con le ultime versioni aggiornate).

Come disabilitare l’editor

Per disabilitare completamente l’editor integrato nel backend di amministrazione, è necessario modificare il file wp-config.php ed aggiungere la seguente riga:

define( 'DISALLOW_FILE_EDIT', true );

In questa maniera nemmeno gli amministratori potranno modificare i file dei temi e dei plugin, per cui nella malaugurata ipotesi che la password di un admin venga compromessa, non si è esposti a questo tipo di attacco. Nella pagina di gestione dei plugin (wp-admin/plugins.php) scomparirà la voce Modifica tra le azioni disponibili sotto ogni plugin correntemente installato. La voce Editor sotto il menu Aspetto verrà anch’essa rimossa. Tentando di accedere alle pagine wp-admin/theme-editor.php e wp-admin/plugin-editor.php si otterrà l’errore “Devi farti autorizzare per accedere a questa pagina”. La possibilità di aggiornare i temi e i plug-in direttamente dall’admin di WordPress resta attivata.