Cómo evitar que accedan directamente a tu plugin

Como desarrollador, una de las cosas más importantes que debes hacer es impedir el acceso directo a tu plugin.

Me refiero a que si alguien trata de acceder directamente a alguno de los archivos localizados en cualquier directorio del plugin no pueda ejecutar ningún código del script.

Si no haces lo posible para evitar el acceso directo a tu plugin estás creando una vulnerabilidad de seguridad, máxime cuando es algo realmente fácil de evitar.

Debes ser concienzudo con la seguridad, por tu reputación como programador, por supuesto, pero sobre todo por la seguridad de tus usuarios.

Y sí, es muy fácil, pero también es igual de cierto que muchos de los plugins más utilizados no suelen hacer, y es imperdonable.

Cómo evitar el acceso directo a tu plugin

Lo primero es tener claro porqué no debemos dejar que otros accedan directamente al código de tu plugin.

Dicho en pocas palabras, si consiguen acceder a los scripts entonces podrán ejecutar determinadas partes del código que estén, o fuera de la API de WordPress, o que no comprueben si el usuario tiene permisos para ejecutar una parte del código.

Una vez consigue hacer esto todo el sitio queda comprometido.

Y sí, da miedito, pero no hay que sofocarse, asegurarse de que un usuario con malas intenciones no pueda conseguir acceso al archivo principal de tu plugin es tan sencillo como cerciorarte de que en las primeras líneas de tu plugin (justo debajo de la cabecera de tu plugin) tengas algo como esto:

También debes tomar otras precauciones:

  • Puedes definir permisos para especificar qué perfiles de usuario pueden ver el contenido de un directorio del servidor.
  • También puedes poner un archivo vacío index.php en todos los directorios de tu plugin, para provocar una pantalla en blanco si alguien trata de explorarlos.
  • También es útil asegurarte de que el resto de tus funciones comprueben correctamente los valores nonce, si un tipo de usuario puede ejecutar código, o si el usuario ha accedido a WordPress antes de poder ejecutar código.

Estos son algunos consejos simples y efectivos para evitar que alguien ejecute un plugin ejecutando rutinas habituales en la mayoría de los plugins WordPress.

Pero no son todos los posibles frenos, si sabes alguno más anímate a compartirlo, es responsabilidad de todos hacer que WordPress sea más seguro.

Valora este artículo para mejorar la calidad del blog ...

FlojitoNo está malEstá bienMe ha servidoFantástico (12 votos, promedio: 5,00 de 5)
Cargando…

Autor: Fernando

Fernando Tellado, apasionado de WordPress, profesor, consultor y ponente. Maquero cansino, padre de tres hijos y de una perrita Beagle, Bilbaíno de nacimiento, Español de corazón y ciudadano de donde me quieran.

Autor del libro WordPress – La tela de la araña. Mi blog personal es Navegando con red, donde he crecido como escritor en la red y ofrezco mis visiones acerca de la Web 2.0 y la blogosfera.

Comparte esta entrada en
468 ad

LOS BURÓCRATAS DE LA UE ME EXIGEN QUE TE DIGA QUE SI VISITAS AYUDA WORDPRESS PUEDES RECIBIR ALGUNA COOKIE. AQUÍ NO HAY COOKIES DE PUBLICIDAD, COMO LAS QUE SI TE DEJAN GOOGLE, AMAZÓN Y MONTÓN DE SITIOS, SIN AVISAR, PERO EL QUE TE TENGO QUE AVISAR SOY YO. LAS COOKIES QUE TE DEJA AYUDA WORDPRESS SON PARA FACILITARTE LA NAVEGACIÓN, COMPARTIR Y COMENTAR. SI NO QUIERES RECIBIR COOKIES PUEDES NAVEGAR EN MODO PRIVADO, ABANDONAR ESTE SITIO Y PERDERTE EL CONTENIDO GRATIS QUE COMPARTO CADA DÍA SOBRE WORDPRESS O IRTE A UNA ISLA DESIERTA PARA VIVIR AISLADO DEL MUNDO, ESO SÍ, SIN COOKIES. O SINO, SIMPLEMENTE CIERRA ESTA VENTANA COÑAZO Y SIGUE DISFRUTANDO DEL BLOG. SI TIENES CURIOSIDAD SOBRE ESTO DE LAS COOKIES TE DEJO UN ENLACE >> MÁS INFORMACIÓN

Los ajustes de cookies de esta web están configurados para "permitir cookies" y así ofrecerte la mejor experiencia de navegación posible. Si sigues utilizando esta web sin cambiar tus ajustes de cookies o haces clic en "Aceptar" estarás dando tu consentimiento a esto.

Cerrar