Existen muchas prácticas para mejorar la seguridad de nuestra web en WordPress. Algunas de ellas son tan simples como cambiar el nombre de usuario admin que tenemos por defecto por otro nombre, cambiar las contraseñas por otras más seguras, etc… Además de estas que acabamos de nombrar, existen otras algo más avanzadas como cambiar el nombre de los prefijos de las tablas de la base de datos cuando hacemos la instalación de WordPress o proteger el directorio wp-admin con contraseña. En esta ocasión vamos a ver una de las más sencillas formas de proteger nuestro WordPress ante usuarios de este CMS, veremos la forma de desactivar la opción de instalar plugins y temas desde el Panel de administrador de WordPress.
Con esta configuración activa, la única posibilidad de volver a instalar un plugin o tema en nuestra web, será hacerlo vía FTP copiando los archivos en las ubicaciones wp-content/plugins y wp-content/themes. En el caso de intentar hacerlo desde el panel de Wordpres nos aparecería el mensaje Lo siento, no tienes permisos para acceder a esta página.
Para conseguir esto sólo tenemos que añadir el siguiente código al archivo wp-config que encontramos en la instalación de nuestro WordPress. Podemos acceder por FTP para modificarlo o utilizar un plugin como este administrador de archivos.
define('DISALLOW_FILE_MODS', true);
Con esto ya habremos prohibido la instalación tanto de plugins como de temas desde el propio WordPress y habremos cerrado una puerta a posibles instalaciones no deseadas por parte de un usuario logueado.