Acute & Creative
Calle Eugenio Salazar, 5 Madrid
hello@acuteandcreative.com

Cómo mejorar la seguridad de nuestro plugin

Escrito por
10 julio, 2017
seguridad plugin WordPress

Si te dedicas al mundo del desarrollo WordPress y además haces tus propios plugins, es norma obligatoria impedir que terceros puedan acceder de forma directa al mismo. Es decir, que si alguien intenta acceder directamente a alguno de los archivos de los que esta compuesto nuestro plugin no deje ejecutar el código del script al que se acceda.

Si no tenemos cuidado con este punto y no evitamos el acceso directo a los archivos del plugin, estamos creando una vulnerabilidad de seguridad que pueden los hackers explotarla para acceder a nuestra web e infectarla. Además, de que si eres programador, el tener una buena seguridad en tus desarrollos te hará destacar sobre otros desarrolladores y así tener buena reputación. Pero aparte de esto, lo más importante de todo es tener los datos del usuario y al usuario seguros en todo momento.

El proceso es muy sencillo, aunque muchos plugins destacados no lo implementen… Antes de nada voy a explicar un poco más el porque no debe un usuario acceder directamente a los archivos de código. Si alguien de forma malintencionada consigue acceder a los scripts de nuestro plugin, podría modificar determinadas partes del mismo para poder saltarse el control de permisos de usuario o modificar alguna página de nuestra web con código malicioso que infecte a los usuarios.

Aunque hay muchos scripts y usuarios intentando buscar vulnerabilidades para poder fastidiar un poco, no hay que preocuparse. Tan solo tienes que poner el siguiente código justo debajo de la cabecera de tu plugin.

Con esto simplemente le estamos diciendo que si alguien intenta acceder directamente al plugin, corte el proceso, por lo que devolverá un error al usuario.

Otras recomendaciones de seguridad para nuestro plugin

Además de este tip, tenemos que tener en cuenta algunas cosillas más, como por ejemplo los permisos de los usuarios que pueden ver el contenido del servidor. Este es otro punto muy importante, ya que no queremos tener fisgones explorando el contenido de nuestro directorio. Además se recomienda poner un archivo vacío llamado index.php en cada directorio del plugin, así si alguien accede le saldrá simplemente una pantalla en blanco.

Otro punto importante es asegurarnos de que todas nuestras funciones comprueben de forma correcta los valores de nonce para, por ejemplo saber si el usuario que está accediendo puede ejecutar código o no.
Cómo puedes ver, añadir un plus de seguridad a tu plugin no es nada complicado, pero aún con estas recomendaciones siempre hay que estar atento de posibles ataques y tener copias de seguridad periódicas, ya que en menos de lo que esperas puedes quedarte con una web completamente inservible.

Etiquetas

Comparte tu opinión