Wussten Sie, dass WordPress über einen integrierten Theme- und Plugin-Editor verfügt? Dieser einfache Code-Editor ermöglicht es Ihnen, Ihre Theme- und Plugin-Dateien direkt über das WordPress-Dashboard zu bearbeiten.
Auch wenn das sehr hilfreich klingt, haben wir gesehen, wie die Möglichkeit, Dateien wie diese direkt zu bearbeiten, zu Problemen wie dem Absturz Ihrer Website führen kann. In Kombination mit anderen Schwachstellen kann dies sogar potenzielle Sicherheitsprobleme verursachen.
In diesem Artikel zeigen wir Ihnen, wie Sie Theme- und Plugin-Editoren aus dem WordPress-Adminbereich deaktivieren und erklären, warum dies eine kluge Idee ist.
Warum Theme- und Plugin-Editoren in WordPress deaktivieren?
WordPress verfügt über einen integrierten Code-Editor, mit dem Sie WordPress-Theme- und Plugin-Dateien direkt aus dem Admin-Bereich bearbeiten können.
Der Theme-Editor befindet sich auf der Seite Design » Theme-Datei-Editor. Standardmäßig werden die Dateien Ihres aktuell aktiven Themes angezeigt.
Ebenso kann der Plugin-Editor auf der Seite Plugins » Plugin-Datei-Editor aufgerufen werden. Standardmäßig wird Ihnen eines der installierten Plugins von Ihrer Website angezeigt, das alphabetisch zuerst erscheint.
Wenn Sie die Theme- oder Plugin-Editor-Seite zum ersten Mal besuchen, warnt WordPress Sie, dass die Verwendung des Editors Ihre Website beschädigen kann.
In WordPress 4.9 wurden die Theme- und Plugin-Editoren aktualisiert, um Benutzer vor versehentlichen Website-Fehlern zu schützen. In den meisten Fällen erkennt der Editor einen fatalen Fehler und macht die Änderungen rückgängig.
Dies ist jedoch nicht garantiert und einige Codes können immer noch durchrutschen, und Sie würden den Zugriff auf den WordPress-Adminbereich verlieren.
Das größte Problem mit dem integrierten Dateieditor ist, dass er vollen Zugriff auf das Hinzufügen von beliebigem Code zu Ihrer Website ermöglicht.
Wenn ein Hacker in Ihren WordPress-Adminbereich eingedrungen ist, kann er den integrierten Editor verwenden, um auf alle Ihre WordPress-Daten zuzugreifen.
Hacker können ihn auch nutzen, um Malware zu verbreiten oder DDOS-Angriffe von Ihrer WordPress-Website aus zu starten.
Um die WordPress-Sicherheit zu verbessern, empfehlen wir, die integrierten Dateieditoren vollständig zu entfernen.
Nichtsdestotrotz wollen wir sehen, wie man Theme- und Plugin-Editoren in WordPress einfach deaktiviert.
So deaktivieren Sie die Theme- und Plugin-Editoren in WordPress
Das Deaktivieren von Theme- und Plugin-Editoren in WordPress ist ziemlich einfach. Es erfordert jedoch das Hinzufügen von Code in WordPress. Wenn Sie das noch nicht getan haben, lesen Sie unsere Anleitung zum Einfügen von Snippets aus dem Web in WordPress.
Sie müssen diese Codezeile zur `functions.php`-Datei Ihres Themes, einem standortspezifischen Plugin oder mithilfe eines Code-Snippet-Plugins hinzufügen.
define( 'DISALLOW_FILE_EDIT', true );
Wir empfehlen die Verwendung des WPCode-Plugins, da es kostenlos, einfach zu bedienen ist und Ihre Website nicht beschädigt, wenn etwas schief geht.
Hinweis: Es gibt auch eine Premium-Version von WPCode, die erweiterte Funktionen wie Code-Revisionen, automatische Konvertierungspixel, geplante Snippets und mehr bietet.
Zuerst müssen Sie das kostenlose WPCode Plugin installieren und aktivieren. Detaillierte Anweisungen finden Sie in unserem Leitfaden zur Installation eines WordPress-Plugins.
Sobald das Plugin aktiviert ist, gehen Sie in Ihrem WordPress-Dashboard zu Code-Snippets » Snippet hinzufügen.
Bewegen Sie dann die Maus über die Option „Benutzerdefinierten Code hinzufügen (Neuer Ausschnitt)“ und klicken Sie auf die Schaltfläche „+ Benutzerdefinierten Ausschnitt hinzufügen“.
Als Nächstes werden Sie aufgefordert, den Code-Typ für Ihr Snippet auszuwählen. Wählen Sie die Option „PHP-Snippet“.
Danach können Sie Ihrer Snippet einen Titel geben und den obigen Code in das Feld 'Code-Vorschau' einfügen.
Schließlich schalten Sie einfach den Schalter von 'Inaktiv' auf 'Aktiv' um und klicken auf die Schaltfläche 'Snippet speichern'.
Das war's, Plugin- und Theme-Editoren verschwinden nun aus den Menüs Themes und Plugins im WordPress-Adminbereich.
Alternativ können Sie auch Ihre wp-config.php-Datei bearbeiten und den obigen Code einfügen, kurz bevor die Zeile lautet: „Das ist alles, hören Sie auf zu bearbeiten! Viel Spaß beim Veröffentlichen“ :
Speichern Sie dann Ihre Änderungen und laden Sie die Datei wieder auf Ihre Website hoch.
Wenn Sie die Dateien nicht direkt bearbeiten möchten, können Sie das Sucuri WordPress Plugin installieren, das die 1-Klick-Härtungsfunktion bietet.
Richtiger Weg zur Bearbeitung von WordPress-Theme- und Plugin-Dateien
Viele Benutzer verwenden tatsächlich die Theme- und Plugin-Editoren von WordPress, um den Code nachzuschlagen, benutzerdefiniertes CSS hinzuzufügen oder Code in ihren Child Themes zu bearbeiten.
Wenn Sie nur benutzerdefiniertes CSS zu Ihrem Theme hinzufügen möchten, können Sie dies über den Theme-Customizer unter Darstellung » Anpassen tun.
Weitere Details finden Sie in unserem Leitfaden zum Thema Hinzufügen von benutzerdefiniertem CSS in WordPress, ohne Ihre Website zu beschädigen.
Wenn Sie den Code in einem Plugin nachschlagen möchten, können Sie dies tun, indem Sie einen FTP-Client verwenden.
Für eine bessere Dateiverwaltung und Syntaxhervorhebung können Sie einen dieser Code-Editoren für die Bearbeitung von WordPress-Dateien auf Ihrem Computer verwenden.
Last but not least können Sie auch ein benutzerdefiniertes WordPress-Theme erstellen, ohne Code schreiben zu müssen.
Wir hoffen, dieser Artikel hat Ihnen geholfen zu lernen, wie Sie Theme- und Plugin-Editoren einfach aus dem WordPress-Adminbereich deaktivieren können. Möglicherweise möchten Sie auch unseren ultimativen Leitfaden zur Verbesserung der WordPress-Leistung und -Geschwindigkeit oder unsere Expertenauswahl der besten Webdesign-Software sehen.
Wenn Ihnen dieser Artikel gefallen hat, abonnieren Sie bitte unseren YouTube-Kanal für WordPress-Video-Tutorials. Sie finden uns auch auf Twitter und Facebook.
Moinuddin Waheed
Aus Sicherheitsgründen und damit die Plugins und Themes wie vorgesehen funktionieren, ist dies eine notwendige Anpassung.
Die meisten meiner Kunden haben keinen technischen Hintergrund und machen solche Dinge nicht, aber es ist eine kluge Idee, solche Änderungen von vornherein nicht zuzulassen.
Vielen Dank für diese einfache Schritt-für-Schritt-Anleitung.
Jiří Vaněk
Danke für das Tutorial. Ich habe die wp-config.php-Datei verwendet und es funktioniert großartig. Besonders für Kunden-Websites scheint mir diese Option sehr gut zu sein, damit sie die Codes der Website nicht verändern und auch in Bezug auf die Sicherheit.
Am Ende habe ich die wp-config-Datei gewählt, hauptsächlich damit diese Funktion nicht einfach aus der Administration ausgeschaltet werden konnte, was mir keinen Sinn ergab.
WPBeginner Support
Makes sense
Admin
Bob Putnak
Das wird heutzutage nichts mehr bewirken.
1) Bei der CODE SNIPPETS-Lösung wird der Hacker, wenn er Zugriff auf das Admin-Panel hat, einfach zum CODE SNIPPETS-Panel gehen und das Snippet DEAKTIVIEREN.
2) Ebenso, wenn Sie ihn zur wp-config-Datei hinzugefügt haben, sehe ich keinen Grund, warum jemand mit Zugriff auf das Admin-Panel nicht einfach das CODE SNIPPETS-Plugin INSTALLIEREN, aktivieren und dann eine Regel für Folgendes festlegen könnte:
define( ‘DISALLOW_FILE_EDIT’, true );
Soweit ich das beurteilen kann, gibt es absolut keine Lösung für dieses Problem, wenn der Hacker Zugriff auf das Admin-Panel hat.
Wenn Sie nicht zustimmen, erklären Sie bitte, warum. Mein Login scheint 100% einwandfrei zu sein.
WPBeginner Support
Wenn jemand Administratorzugriff auf Ihre Website hat, könnte er versuchen, ein Plugin hinzuzufügen, um das Problem zu umgehen. Es gibt andere Benutzerrollen, die Zugriff auf diese Bereiche Ihrer Website haben, aber nicht die Möglichkeit, Plugins hinzuzufügen, und dies kann Sie vor einem Nicht-Administrator schützen, der dieses Zugriffsniveau hat, um in Ihre Dateien zu gelangen.
Admin
Robin Hood
Danke für das Teilen dieses Beitrags. Hilfreich und informativ.
WPBeginner Support
You’re welcome, glad our content could be helpful
Admin
Isabella
Hallo! Ich habe das gegenteilige Problem, ich muss einen CSS-Code in den Editor einfügen, ABER der Editor ist verschwunden.
Haben Sie Vorschläge?
Vielen Dank
Viele Grüße
Mike Sawyer
Vielen Dank für all die Tipps und hilfreichen Ratschläge. Das ist meine Anlaufstelle, falls ich mal nicht weiterkomme. Danke.
Raj
Leider funktioniert das für mich nicht. Ich habe die Datei wp-config.php aktualisiert, aber die Editor-Option ist in meinem WP-Dashboard immer noch vorhanden. Können Sie mir etwas vorschlagen?
Dave
Hallo Raj,
Ich hatte das gleiche Problem, konnte es aber beheben. Ich bin mir nicht sicher, ob es sich um dasselbe Problem handelt, aber ich habe festgestellt, dass beim Kopieren und Einfügen aus einem Internetbeitrag manchmal die einfachen/doppelten Anführungszeichen (' ') oder (" ") ein geschweiftes statt ein gerades Anführungszeichen sein können. Versuchen Sie, die einfachen Anführungszeichen zu löschen und sie neu einzugeben.
Ich hoffe, das hilft!
-Dave
William Marques
Ist es möglich, die Speicheroption für alle zu deaktivieren? Ich möchte meinen Kunden das Bedienfeld anzeigen, aber ich möchte nicht, dass sie die Änderungen speichern.
Bella
Eine Billion Dankeschöns!!
Dieses winzige Stück Code hat meine Welt auf den Kopf gestellt!
Wie bin ich dir nicht schon früher begegnet??
Bleib lächelnd – Bella
Jimit Shah
Hallo
Ich möchte den Einfügebefehl (per Maus und Strg+V) in meiner PHP-Datei im Theme-Editor deaktivieren. Damit ich Code schreiben und keinen Code von außen kopieren kann. Ich möchte den manuellen Code-Schreibzugriff ermöglichen. Bitte helfen Sie mir.
Raja Dileep Kumar
define(‘DISALLOW_FILE_EDIT’, true); diese Funktion funktioniert auf themes/functions.php, wenn ich den Code in WordPress einfüge
Pramod Kumar
Es funktioniert, danke.
John McNamara
Hallo, ich frage mich nur, ob jemand einen Weg gefunden hat, dies zu umgehen, ohne Zugang zu haben, da wir 1800 US-Dollar bezahlt haben, damit jemand eine Website einrichtet, die nur ein Theme ohne Änderungen ist, und mehr verlangt, um den Editor für uns freizuschalten.
Bitte helft!!
WPBeginner Support
Wenn Sie FTP-Zugriff oder Zugriff auf das Hosting-Kontrollpanel haben, können Sie die Datei wp-config.php einfach bearbeiten und den Code entfernen:
1-click Use in WordPress
Admin
Graham Peckham
Hallo, nun, ich wurde gestern von jemandem gehackt, der das MonsterInsights-Plugin auf meiner Website installiert hat, ABER die von Ihnen vorgeschlagene Codezeile war bereits in wp-config.
Also, irgendwelche Vorschläge, um diese zu stoppen
Viele Grüße
WPBeginner Support
Hallo Graham,
Wenn Sie vermuten, dass Ihre Website gehackt wurde, lesen Sie bitte unseren Leitfaden zur Wiederherstellung einer gehackten WordPress-Site. Möglicherweise möchten Sie auch unseren vollständigen WordPress-Sicherheitsleitfaden befolgen, um Ihre Website zukünftig zu schützen.
Prasath
define( ‘DISALLOW_FILE_EDIT’, true );
Dieses hier deaktiviert den Editor für vollständige Seiten. Ich muss ihn nur für die Startseite und für bestimmte Benutzer (z. B. Redakteur) deaktivieren. Da ich einen Page Builder verwende. Meine Kunden sind nicht daran interessiert, das zu sehen..
Kann mir jemand helfen….
Mark Corder
Ich kann auch bestätigen, dass dies funktioniert, wenn die Zeile zu einem Site-spezifischen Plugin hinzugefügt wird – für das Sie das Rezept auch hier auf WPBeginner finden...
… also vielen Dank an euch für alles!
Melissa
Hallo! Mein frecher Entwickler hat mir das angetan und ich brauche Zugriff... gibt es eine Möglichkeit, diesen cleveren Trick ohne FTP-Zugriff rückgängig zu machen?
Ich bin auch ein Entwickler und kann die Dateien ohne Probleme bearbeiten, aber mein beauftragter Entwickler möchte mir Geld für den Zugriff auf den Code berechnen... also hoffe ich, dass ich irgendwie einspringen kann!
Mel
Al Klein
Haben Sie für „alle Lieferobjekte“ einen Vertrag abgeschlossen? Wenn ja, lassen Sie sich das FTP-Passwort liefern – es ist ein Lieferobjekt. (Es ist ein Vertrag, daher kann er von einem Gericht durchgesetzt werden. Sie können möglicherweise keine spezifische Handlung einklagen, aber Sie können auf die Kosten klagen, die entstehen, wenn ein anderer Entwickler eine neue Website erstellt, die genau wie die alte ist [was Ihren bestehenden Entwickler wahrscheinlich ruinieren wird – so wird er alles an Sie herausgeben wollen].)
Wenn Sie nicht alle 'Liefergegenstände' im Vertrag hatten oder keinen unterschriebenen Vertrag haben, betrachten Sie es als eine billige juristische Lektion. (Die juristische Fakultät kostet viel mehr.)
Bill
Toller Tipp.
Gibt es eine Möglichkeit, einen bestimmten Editor (z. B. Elementor) für einen bestimmten Beitragstyp (Seite) zu deaktivieren und gleichzeitig den Zugriff auf den klassischen Editor zu ermöglichen?
Ich hoffe, das kann in der Child-Functions-Datei erfolgen.
Suresh Khanal
Während ich diesen Beitrag las, fragte ich mich, warum jemand den Editor-Link im WordPress-Admin ausblenden müsste, da nur Administratoren Zugriff auf diese Links haben und wenn sie keine Erlaubnis haben, die erforderlichen Dinge zu tun, was ist der Sinn? Überall wird erkannt, dass es gut und hilfreich ist, wenn Sie Blogs für Ihre Kunden einrichten. Danke für die guten Tipps.
Mark Corder
Das ist ein ausgezeichneter Tipp – und er hat bei mir gut funktioniert, indem ich die Zeile zur functions.php-Datei im Ordner meines twentytwelve-child-themes hinzugefügt habe. Ich sehe immer noch Optionen zum Anpassen des Themes (Header, Hintergrund usw.) – aber die „Editor“-Links sind jetzt weg. (Ich musste STRG-R drücken, um einen Seiten-Neuladen zu erzwingen, damit sie verschwinden.)
Ich versuche immer, alles aus dem Backend zu entfernen, mit dem ein Kunde wirklich nicht herumspielen sollte, und diese Plugin- und Theme-Editoren laden geradezu zur Katastrophe ein! Es ist wunderbar, sie mit einer einzigen Codezeile entfernen zu können...
Ich schätze diese Tipps, die Child-Theme-Funktionen und -Dateien bearbeiten, um etwas zu erreichen, anstatt nur ein weiteres Plugin zu empfehlen – obwohl ich erkenne, dass dies ein wenig von den „Anfänger“-Sachen abweicht.
Und falls Sie diese Anfrage nicht schon tausendmal erhalten haben, würde ich mich freuen, wenn Sie eine „WPAdvanced“-Seite für uns Hardcore-Leute eröffnen würden!
Redaktion
Danke für das Feedback, Mark. Ja, wir haben die Anfrage für WPAdvanced in der Vergangenheit erhalten. Vorerst konzentrieren wir uns darauf, WPBeginner weiter zu verbessern (wir sind noch nicht ganz da).
-Syed
Admin
Gray Ayer
Ein Problem bei dieser Technik ist, dass sie auch das Upgrade veralteter Plugins verhindert. Irgendwelche Ideen dazu, außer das Hinzufügen zur wp-config-Datei zu deaktivieren, zu aktualisieren und dann die gehärtete Sicherheit wiederherzustellen?
Redaktion
Das ist interessant. Wir haben diesen Code auf unserer Website laufen und können mit einem Klick aktualisieren.
Admin
joanpique
Hallo, danke für den Tipp, ja, es funktioniert in der functions.php-Datei.
Aber dieser Code hat meine Theme-Optionsseite deaktiviert :(… gibt es einen anderen Code, der nur Editoren ausblendet oder etwas, das in die Optionsseite eingefügt werden kann, um das Ausblenden zu vermeiden?
Renan Santos
Alles, was Sie tun müssen, ist die Datei wp-config.php zu öffnen und den Code einzufügen!
Devin Walker
99% meiner Kunden sind nicht technisch versiert