你知道WordPress带有内置主题和插件编辑器吗?这个普通代码编辑器允许您直接从WordPress仪表板编辑主题和插件文件。
现在,这可能听起来非常有用,但它也可能导致诸如在与其他漏洞结合时破坏您的网站和潜在的安全问题等问题。
在本文中,我们将解释为什么以及如何从WordPress管理区域禁用主题和插件编辑器。
为什么在WordPress中禁用主题和插件编辑器?
WordPress附带一个内置的代码编辑器,允许您直接从管理区域编辑WordPress主题和插件文件。
主题编辑器位于外观»主题编辑器页面。默认情况下,它将显示您当前活动主题的文件。
同样,可以在插件»插件编辑器页面上看到插件编辑器。默认情况下,它会显示您站点中已安装的插件之一,该插件首先按字母顺序排列。
如果您是第一次访问主题或插件编辑器页面,WordPress会警告您使用编辑器可能会破坏您的网站。
在WordPress 4.9中,主题和插件编辑器进行了升级,以防止用户意外破坏他们的网站。在大多数情况下,编辑器将捕获致命错误并将还原更改。
但是,这不能得到保证,有些代码可能仍会漏掉,您最终将失去对WordPress管理区域的访问权限。
内置文件编辑器的最大问题在于它提供了向您的网站添加任何类型代码的完全访问权限。
如果黑客闯入您的WordPress管理区域,那么他们可以使用内置编辑器访问您的所有WordPress数据。
黑客还可以使用它来分发恶意软件或从您的WordPress网站发起DDOS攻击。
为了提高WordPress的安全性,特别是为客户定制主题时,我们建议您完全禁用内置文件编辑器。
方法如下:
如何在WordPress中禁用主题和插件编辑器
在WordPress中禁用主题和插件编辑器非常简单。
只需编辑你的wp-config.php文件,然后在“那就是全部,停止编辑”行之前粘贴以下代码:
define( ‘DISALLOW_FILE_EDIT’, true );
您现在可以保存更改并将文件上传回您的网站。
这就是全部,插件和主题编辑器现在将从WordPress管理区域中的主题和插件菜单中消失。
您还可以将此行代码添加到主题的functions.php文件。
如果您不想直接编辑文件,则可以安装Sucuri WordPress插件,该插件提供单击强化功能。