¿Sabías que WordPress viene con un editor de temas y plugins integrado? Este editor de código plano te permite editar tus archivos de temas y plugins directamente desde el panel de WordPress.
Si bien esto puede sonar muy útil, hemos visto cómo abrir la posibilidad de editar archivos directamente de esta manera puede generar problemas, como que tu sitio se rompa. Incluso puede introducir posibles problemas de seguridad cuando se combina con otras vulnerabilidades.
En este artículo, te mostraremos cómo deshabilitar los editores de temas y plugins del área de administración de WordPress, y explicaremos por qué es una idea inteligente.
¿Por qué deshabilitar los editores de temas y plugins en WordPress?
WordPress viene con un editor de código integrado que te permite editar los archivos de temas y plugins de WordPress directamente desde el área de administración.
El editor de temas se encuentra en la página Apariencia » Editor de archivos de temas. Por defecto, mostrará los archivos de tu tema activo actualmente.
De manera similar, el editor de plugins se puede ver en la página Plugins » Editor de archivos de plugins. Por defecto, te mostrará uno de los plugins instalados en tu sitio que aparece primero en orden alfabético.
Si visitas la página del editor de temas o plugins por primera vez, WordPress te advertirá que usar el editor puede romper tu sitio web.
En WordPress 4.9, los editores de temas y plugins se actualizaron para proteger a los usuarios de romper accidentalmente su sitio web. En la mayoría de los casos, el editor detectará un error fatal y revertirá los cambios.
Sin embargo, esto no está garantizado y es posible que aún se filtre algo de código y termines perdiendo el acceso al área de administración de WordPress.
El mayor problema con el editor de archivos integrado es que otorga acceso completo para agregar cualquier tipo de código a tu sitio web.
Si un hacker irrumpió en tu área de administración de WordPress, entonces puede usar el editor integrado para obtener acceso a todos tus datos de WordPress.
Los hackers también pueden usarlo para distribuir malware o lanzar ataques DDOS desde tu sitio web de WordPress.
Para mejorar la seguridad de WordPress, recomendamos eliminar por completo los editores de archivos integrados.
Dicho esto, veamos cómo deshabilitar fácilmente los editores de temas y plugins en WordPress.
Cómo deshabilitar los editores de temas y plugins en WordPress
Deshabilitar los editores de temas y plugins en WordPress es bastante fácil. Pero, requiere agregar código en WordPress. Si no lo has hecho antes, consulta nuestra guía sobre pegar fragmentos de la web en WordPress.
Deberás agregar esta línea de código al archivo functions.php de tu tema, a un plugin específico del sitio, o usando un plugin de fragmentos de código.
define( 'DISALLOW_FILE_EDIT', true );
Recomendamos usar el plugin WPCode porque es gratuito, fácil de usar y no romperá tu sitio web si algo sale mal.
Nota: También existe una versión premium de WPCode que viene con funciones avanzadas como revisiones de código, píxeles de conversión automáticos, fragmentos programados y más.
Primero, necesitarás instalar y activar el plugin gratuito WPCode. Para obtener instrucciones detalladas, consulta nuestra guía sobre cómo instalar un plugin de WordPress.
Una vez que el plugin esté activado, ve a Fragmentos de código » Agregar fragmento desde tu panel de WordPress.
Luego, pasa el cursor sobre la opción ‘Agregar tu código personalizado (Nuevo fragmento)’ y haz clic en el botón ‘+ Agregar fragmento personalizado’.
A continuación, se te pedirá que elijas el tipo de código para tu fragmento. Selecciona la opción ‘Fragmento de PHP’.
Después de eso, puedes agregar un título para tu fragmento y pegar el código de arriba en el cuadro ‘Vista previa del código’.
Por último, simplemente cambia el interruptor de ‘Inactivo’ a ‘Activo’ y haz clic en el botón ‘Guardar fragmento’.
Eso es todo, los editores de plugins y temas ahora desaparecerán de los menús de temas y plugins en el área de administración de WordPress.
Como alternativa, también puedes editar tu archivo wp-config.php y pegar el código de arriba justo antes de la línea que dice ‘Eso es todo, deja de editar. ¡Feliz publicación!’ :
Luego, guarda tus cambios y sube el archivo de nuevo a tu sitio web.
Si no quieres editar los archivos directamente, puedes instalar el plugin Sucuri WordPress que ofrece la función de endurecimiento con 1 clic.
Forma correcta de editar archivos de temas y plugins de WordPress
Muchos usuarios en realidad usan los editores de temas y plugins de WordPress para buscar el código, agregar CSS personalizado o editar código en sus temas hijos.
Si solo deseas agregar CSS personalizado a tu tema, puedes hacerlo usando el personalizador de temas ubicado en Apariencia » Personalizar.
Para más detalles, consulta nuestra guía sobre cómo agregar CSS personalizado en WordPress sin romper tu sitio.
Si deseas buscar el código en un plugin, puedes hacerlo usando un cliente FTP.
Para una mejor administración de archivos y resaltado de sintaxis, puedes usar uno de estos editores de código para editar archivos de WordPress en tu computadora.
Por último, pero no menos importante, también puedes crear un tema personalizado de WordPress sin escribir ningún código.
Esperamos que este artículo te haya ayudado a aprender cómo deshabilitar fácilmente los editores de temas y plugins desde el panel de administración de WordPress. También te puede interesar nuestra guía definitiva para mejorar el rendimiento y la velocidad de WordPress o nuestras selecciones expertas del mejor software de diseño web.
Si te gustó este artículo, suscríbete a nuestro canal de YouTube para obtener tutoriales en video de WordPress. También puedes encontrarnos en Twitter y Facebook.
Moinuddin Waheed
Por motivos de seguridad y para asegurar que los plugins y temas funcionen como deben, este es un ajuste imprescindible que hay que hacer.
La mayoría de mis clientes no tienen conocimientos técnicos y no hacen este tipo de cosas, pero no permitir hacer tales cambios desde el principio es una idea sabia.
¡Muchísimas gracias por esta guía de pasos sencillos.
Jiří Vaněk
Gracias por el tutorial. Usé el archivo wp-config.php y funciona muy bien. Especialmente para sitios de clientes, esta opción me parece muy buena, para que no modifiquen los códigos del sitio y también en términos de seguridad.
Al final, elegí el archivo wp-config principalmente para que esta función no pudiera desactivarse simplemente desde la administración, lo cual no tenía ningún sentido para mí.
Soporte de WPBeginner
Makes sense
Administrador
Bob Putnak
Esto no logrará nada en estos días.
1) Usando la solución de FRAGMENTOS DE CÓDIGO, si el hacker tiene acceso al panel de administración, simplemente irá al panel de FRAGMENTOS DE CÓDIGO y DESHABILITARÁ el fragmento.
2) De igual manera, si lo agregaste al archivo wp-config, no veo ninguna razón por la que alguien con acceso al panel de Administración no pueda simplemente INSTALAR el plugin FRAGMENTOS DE CÓDIGO, activarlo y luego establecer una regla para:
define( ‘DISALLOW_FILE_EDIT’, true );
Me parece que si el hacker tiene acceso al panel de administración, no hay absolutamente ninguna solución a este problema.
Si no está de acuerdo, por favor explique por qué. Mi inicio de sesión parece 100% seguro.
Soporte de WPBeginner
Si alguien tiene acceso de nivel de administrador a su sitio, podría buscar agregar un plugin para evitar el problema. Hay otros roles de usuario que tienen acceso a estas secciones de su sitio pero no la capacidad de agregar plugins y esto puede ayudar a protegerlo de un no administrador que tenga este nivel de acceso para acceder a sus archivos.
Administrador
Robin Hood
Gracias por compartir esta publicación. Útil e informativa.
Soporte de WPBeginner
You’re welcome, glad our content could be helpful
Administrador
isabella
¡Hola! Tengo el problema opuesto, necesito agregar un código CSS en el editor PERO el editor desapareció.
¿Tienes alguna sugerencia?
Muchas gracias
Saludos
Mike Sawyer
Gracias por todos los consejos y la útil asesoría. Este es mi recurso en caso de que me atasque. Gracias.
Raj
Desafortunadamente, esto no me está funcionando, he actualizado el archivo wp-config.php pero la opción del editor todavía está en mi panel de control de wp, ¿puedes sugerirme algo?
Dave
Hola Raj,
Tuve el mismo problema, pero pude solucionarlo. No estoy seguro si este es su mismo problema, pero me di cuenta de que al copiar y pegar de una publicación de internet, a veces las comillas simples/dobles (‘ ‘) o (” “) pueden ser comillas rizadas en lugar de comillas rectas. Intente eliminar las comillas simples y reescribirlas.
¡Espero que esto ayude!
-Dave
William Marques
¿Es posible deshabilitar la opción de guardar para todos? Quiero mostrar el panel de control a mis clientes, pero no quiero que guarden los cambios.
Bella
¡Un trillón de gracias!
¡Este pequeño fragmento de código ha revolucionado mi mundo!
¿Cómo es que no te había encontrado antes??
Sigue sonriendo – Bella
Jimit Shah
Hola
Quiero deshabilitar el comando de pegar (a través del ratón y Ctrl+V) en mi archivo PHP en el editor de temas. Así puedo escribir código y no copiar nada de fuera. Quiero dar acceso a la escritura manual de código. Por favor, ayúdenme.
Raja Dileep Kumar
define(‘DISALLOW_FILE_EDIT’, true); esta función funcionará en themes/functions.php si pego el código en wordpress
Pramod Kumar
Funciona, gracias.
John McNamara
Hola, solo me preguntaba si alguien encontró una manera de evitar esto sin acceso, ya que pagamos $1800 para que alguien configurara un sitio web que es solo un tema sin ningún cambio realizado y quiere que le paguemos más para desbloquear el editor para nosotros.
¡¡Por favor ayuden!!
Soporte de WPBeginner
Si tienes acceso FTP, o acceso al panel de control de hosting, entonces puedes editar fácilmente el archivo wp-config.php y eliminar el código:
1-click Use in WordPress
Administrador
Graham Peckham
Hola, bueno, ayer fui hackeado por alguien que instaló el plugin MonsterInsights en mi sitio web, PERO, la línea de código que sugieres ya estaba instalada en wp-config.
¿Alguna sugerencia para detener esto?
Saludos
Soporte de WPBeginner
Hola Graham,
Si sospechas que tu sitio web puede haber sido hackeado, consulta nuestra guía sobre cómo recuperar un sitio de WordPress hackeado. También puedes seguir nuestra guía completa de seguridad de WordPress para proteger tu sitio web en el futuro.
Prasath
define( ‘DISALLOW_FILE_EDIT’, true );
Esto deshabilita el editor para páginas completas. Necesito deshabilitarlo solo para la página de inicio y para un usuario en particular (por ejemplo: Editor). Porque uso un constructor de páginas. A mis clientes no les interesa ver eso..
¿Alguien puede ayudarme….
Mark Corder
También puedo confirmar que esto funciona cuando la línea se agrega a un Plugin específico del sitio, para el cual también encontrarás la receta aquí en WPBeginner…
… ¡así que gracias a ustedes por todo!
Melissa
¡Hola! Mi desarrollador astuto me ha hecho esto y necesito acceso… ¿hay alguna forma de "deshacer" este truco ingenioso sin tener acceso FTP?
También soy desarrollador y puedo editar los archivos sin problemas, pero mi desarrollador contratado quiere cobrarme por acceder al código… ¡así que espero poder intervenir de alguna manera!
Mel
Al Klein
¿Contrataste por 'todos los entregables'? Si es así, pídele que te entregue la contraseña FTP, es un entregable. (Es un contrato, por lo que puede ser exigido por un tribunal. Es posible que no puedas demandar por una acción específica, pero puedes demandar por lo que cueste que otro desarrollador cree un sitio nuevo que sea exactamente como el antiguo [lo que probablemente arruinará financieramente a tu desarrollador actual, por lo que lo hará propenso a entregarte todo]).
Si no tenías 'todos los entregables' incluidos en el contrato, o no tienes un contrato firmado, considéralo una lección legal barata. (La facultad de derecho cuesta mucho más).
Bill
Gran consejo.
¿Hay alguna forma de deshabilitar un editor específico (por ejemplo, Elementor) para un tipo de publicación (página) específico mientras se sigue permitiendo el acceso al editor clásico?
Espero que esto se pueda hacer en el archivo de funciones hijo.
Suresh Khanal
mientras leía esta publicación, me preguntaba por qué alguien necesitaría ocultar el enlace del editor en el administrador de WordPress, ya que solo los administradores tienen acceso a esos enlaces y si no obtienen permiso para hacer las cosas requeridas, ¿cuál es el uso? De todos modos, me doy cuenta de que es bueno y útil cuando estás configurando blogs para tus clientes. Gracias por los buenos consejos.
Mark Corder
Este es un consejo excelente, y me funcionó bien al agregar la línea al archivo functions.php en la carpeta de mi tema hijo twentytwelve. Todavía veo opciones para personalizar el tema (encabezado, fondo, etc.), pero los enlaces del "editor" ahora han desaparecido. (Tuve que presionar CTRL-R para forzar la recarga de la página para que desaparecieran).
Siempre intento eliminar todo del backend con lo que un cliente realmente no debería meterse, ¡y esos editores de plugins y temas solo invitan al desastre! Es maravilloso poder eliminarlos con una sola línea de código...
Realmente aprecio estos consejos que editan las funciones y archivos del tema hijo para lograr algo, en lugar de solo recomendar otro plugin, aunque me doy cuenta de que esto se aparta un poco de las cosas "para principiantes".
Y si no han recibido esta solicitud mil veces ya, ¡me encantaría ver que abran un sitio "WPAdvanced" para nosotros, los más experimentados!
Personal editorial
Gracias por tus comentarios, Mark. Sí, hemos recibido la solicitud de WPAdvanced en el pasado. Por ahora, nuestro enfoque es continuar mejorando WPBeginner (todavía no hemos llegado).
-Syed
Administrador
Gray Ayer
Un problema que se encontró con esta técnica es que también impide que cualquiera actualice los plugins obsoletos. ¿Alguna idea al respecto, además de deshabilitar la adición al archivo wp-config, actualizar y luego restaurar la seguridad reforzada?
Personal editorial
Eso es interesante. Tenemos este código funcionando en nuestro sitio y podemos hacer actualizaciones con un solo clic.
Administrador
joanpique
Hola, gracias por el consejo, sí, funciona en el archivo functions.php.
Pero este código me desactiva la página de opciones de mi tema :(… ¿hay algún otro código que solo oculte los editores o algo para poner en la página de opciones para evitar que se oculten?
Renan Santos
¡Todo lo que tienes que hacer es abrir tu archivo wp-config.php y pegar el código!
Devin Walker
El 99% de mis clientes no son técnicos