En los planes de hosting compartido se bloquean por defecto algunas funciones de PHP para proteger tu sitio y el servidor, pero puedes habilitarlas manualmente desde el panel si realmente las necesitas y entiendes los riesgos. Esta configuración se aplica dominio por dominio mediante el editor de php.ini del panel de control.
¿Por qué se bloquean estas funciones?
De forma predeterminada se deshabilitan las funciones: exec, shell_exec, system, proc_open, popen, curl_exec, curl_multi_exec, parse_ini_file, show_source mediante la directiva disable_functions de PHP. Estas funciones permiten ejecutar comandos del sistema, abrir procesos externos o leer archivos de configuración de PHP, lo que aumenta mucho el impacto de una posible vulnerabilidad en tu sitio.
En aplicaciones como WordPress, cuando existe un plugin o tema vulnerable, el malware suele intentar usar precisamente funciones como exec, shell_exec o system para descargar código malicioso, ejecutar comandos en el servidor o modificar archivos. Al bloquear estas funciones en entornos de hosting compartido se reduce drásticamente la capacidad de un atacante para escalar el ataque y comprometer otros sitios alojados en el mismo servidor.
¿Cuándo conviene habilitarlas?
En la mayoría de sitios web estándar (corporativos, blogs, tiendas online comunes) no es necesario habilitar estas funciones y es recomendable mantenerlas bloqueadas para maximizar la seguridad. Solo tiene sentido habilitarlas si usas software o desarrollos propios que, de forma legítima, requieren ejecutar procesos externos, usar ciertas funciones avanzadas de cURL o leer configuraciones con parse_ini_file.
Antes de activar cualquiera de estas funciones es importante verificar que el código que las usa es confiable, está actualizado y sigue buenas prácticas de seguridad (validación de entradas, control de permisos, etc.). En caso de duda, es preferible consultar con un desarrollador o con el soporte técnico para evaluar alternativas más seguras.
¿Cómo habilitar o ajustar las funciones?
La activación o bloqueo de estas funciones se controla mediante el archivo de configuración de PHP (php.ini) usando el parámetro disable_functions, que contiene una lista de funciones separadas por comas. Para modificar este valor en tu plan de hosting compartido no es necesario editar archivos por FTP, se hace directamente desde el panel de control de tu cuenta.
Para ajustar estas funciones en tu dominio, accede al panel de control del hosting y navega a: Avanzado → Herramientas para Desarrolladores → Editor de php.ini. Dentro de ese editor verás el valor actual de disable_functions; puedes eliminar de la lista la función que necesites habilitar o añadir nuevas funciones a bloquear según tus preferencias y requerimientos, guardando los cambios para que se apliquen al sitio.
