Saviez-vous que WordPress est livré avec un éditeur de thèmes et de plugins intégré ? Cet éditeur de code simple vous permet de modifier vos fichiers de thème et de plugin directement depuis le tableau de bord WordPress.
Bien que cela puisse sembler très utile, nous avons vu comment l'ouverture de la possibilité de modifier directement des fichiers comme ceux-ci peut entraîner des problèmes tels que la rupture de votre site. Cela peut même introduire des problèmes de sécurité potentiels lorsqu'il est combiné avec d'autres vulnérabilités.
Dans cet article, nous vous montrerons comment désactiver les éditeurs de thèmes et de plugins de la zone d'administration de WordPress, et expliquerons pourquoi c'est une idée intelligente.
Pourquoi désactiver les éditeurs de thèmes et de plugins dans WordPress ?
WordPress est livré avec un éditeur de code intégré qui vous permet de modifier les fichiers de thèmes et de plugins WordPress directement depuis la zone d'administration.
L'éditeur de thème se trouve à la page Apparence » Éditeur de fichiers de thème. Par défaut, il affichera les fichiers de votre thème actif.
De même, l'éditeur de plugin se trouve à la page Plugins » Éditeur de fichiers de plugin. Par défaut, il vous montrera l'un des plugins installés sur votre site qui apparaît en premier par ordre alphabétique.
Si vous visitez la page de l'éditeur de thème ou de plugin pour la première fois, WordPress vous avertira que l'utilisation de l'éditeur peut casser votre site web.
Dans WordPress 4.9, les éditeurs de thèmes et de plugins ont été mis à niveau pour protéger les utilisateurs contre la rupture accidentelle de leur site web. Dans la plupart des cas, l'éditeur détectera une erreur fatale et annulera les modifications.
Cependant, cela n'est pas garanti et du code peut encore passer et vous pourriez finir par perdre l'accès à la zone d'administration de WordPress.
Le plus gros problème avec l'éditeur de fichiers intégré est qu'il donne un accès complet pour ajouter n'importe quel type de code à votre site Web.
Si un pirate informatique a pénétré dans votre zone d'administration WordPress, il peut utiliser l'éditeur intégré pour accéder à toutes vos données WordPress.
Les pirates peuvent également l'utiliser pour distribuer des logiciels malveillants ou lancer des attaques DDOS depuis votre site Web WordPress.
Pour améliorer la sécurité WordPress, nous recommandons de supprimer complètement les éditeurs de fichiers intégrés.
Cela dit, voyons comment désactiver facilement les éditeurs de thèmes et de plugins dans WordPress.
Comment désactiver les éditeurs de thèmes et de plugins dans WordPress
La désactivation des éditeurs de thèmes et de plugins dans WordPress est assez facile. Mais, cela nécessite d'ajouter du code dans WordPress. Si vous ne l'avez jamais fait auparavant, consultez notre guide sur le collage d'extraits du Web dans WordPress.
Vous devrez ajouter cette ligne de code au fichier functions.php de votre thème, à un plugin spécifique au site, ou en utilisant un plugin de morceau de code.
define( 'DISALLOW_FILE_EDIT', true );
Nous recommandons d'utiliser le plugin WPCode car il est gratuit, facile à utiliser et ne cassera pas votre site web en cas de problème.
Remarque : Il existe également une version premium de WPCode qui offre des fonctionnalités avancées telles que les révisions de code, les pixels de conversion automatiques, les snippets planifiés, et plus encore.
Tout d'abord, vous devrez installer et activer le plugin gratuit WPCode. Pour des instructions détaillées, consultez notre guide sur comment installer un plugin WordPress.
Une fois le plugin activé, allez dans Extraits de code » Ajouter un extrait depuis votre tableau de bord WordPress.
Ensuite, survolez l'option « Ajouter votre code personnalisé (Nouvel extrait) » et cliquez sur le bouton « + Ajouter un extrait personnalisé ».
Ensuite, il vous sera demandé de choisir le type de code pour votre extrait. Sélectionnez l'option « Extrait PHP ».
Après cela, vous pouvez ajouter un titre pour votre extrait et coller le code ci-dessus dans la boîte « Aperçu du code ».
Enfin, basculez simplement le commutateur de « Inactif » à « Actif » et cliquez sur le bouton « Enregistrer l'extrait ».
C'est tout, les éditeurs de plugins et de thèmes disparaîtront maintenant des menus des thèmes et des plugins dans la zone d'administration de WordPress.
Alternativement, vous pouvez également modifier votre fichier wp-config.php et coller le code ci-dessus juste avant la ligne qui dit « C'est tout, arrêtez d'éditer ! Bonne publication » :
Ensuite, enregistrez vos modifications et téléchargez à nouveau le fichier sur votre site web.
Si vous ne souhaitez pas modifier les fichiers directement, vous pouvez installer le plugin WordPress Sucuri qui offre la fonctionnalité de renforcement en 1 clic.
Manière appropriée de modifier les fichiers de thèmes et de plugins WordPress
De nombreux utilisateurs utilisent en fait les éditeurs de thèmes et de plugins WordPress pour consulter le code, ajouter du CSS personnalisé ou modifier le code dans leurs thèmes enfants.
Si vous souhaitez uniquement ajouter du CSS personnalisé à votre thème, vous pouvez le faire en utilisant le personnaliseur de thème situé sous Apparence » Personnaliser.
Pour plus de détails, consultez notre guide sur comment ajouter du CSS personnalisé dans WordPress sans casser votre site.
Si vous souhaitez consulter le code d'un plugin, vous pouvez le faire en utilisant un client FTP.
Pour une meilleure gestion des fichiers et une coloration syntaxique, vous pouvez utiliser l'un de ces éditeurs de code pour éditer des fichiers WordPress sur votre ordinateur.
Enfin, vous pouvez également créer un thème WordPress personnalisé sans écrire une seule ligne de code.
Nous espérons que cet article vous a aidé à apprendre comment désactiver facilement les éditeurs de thèmes et de plugins depuis le panneau d'administration de WordPress. Vous pourriez également vouloir consulter notre guide ultime pour améliorer les performances et la vitesse de WordPress ou notre sélection d'experts des meilleurs logiciels de conception web.
Si cet article vous a plu, abonnez-vous à notre chaîne YouTube pour des tutoriels vidéo WordPress. Vous pouvez également nous retrouver sur Twitter et Facebook.
Moinuddin Waheed
Pour des raisons de sécurité et pour que les plugins et les thèmes fonctionnent comme ils sont censés le faire, c'est une modification indispensable à faire.
La plupart de mes clients n'ont pas de connaissances techniques et ne font pas ce genre de choses, mais ne pas autoriser de tels changements dès le départ est une idée judicieuse.
Merci beaucoup pour ce guide étape par étape facile.
Jiří Vaněk
Merci pour le tutoriel. J'ai utilisé le fichier wp-config.php et cela fonctionne très bien. Surtout pour les sites clients, cette option me semble très bonne, afin qu'ils ne modifient pas les codes du site et aussi en termes de sécurité.
Au final, j'ai choisi le fichier wp-config principalement pour que cette fonction ne puisse pas être simplement désactivée depuis l'administration, ce qui n'avait aucun sens pour moi.
Support WPBeginner
Makes sense
Admin
Bob Putnak
Cela n'accomplira rien de nos jours.
1) En utilisant la solution des EXTRAITS DE CODE, si le pirate a accès au panneau d'administration, il ira simplement dans le panneau des EXTRAITS DE CODE et désactivera l'extrait.
2) De même, si vous l'avez ajouté au fichier wp-config, je ne vois aucune raison pour laquelle quelqu'un ayant accès au panneau d'administration ne pourrait pas simplement INSTALLER le plugin CODE SNIPPETS, l'activer, puis définir une règle pour :
define( ‘DISALLOW_FILE_EDIT’, true );
Il me semble que si le pirate a accès au panneau d'administration, il n'y a absolument aucune solution à ce problème.
Si vous n'êtes pas d'accord, veuillez expliquer pourquoi. Mon identifiant semble 100% sûr.
Support WPBeginner
Si quelqu'un a un accès de niveau administrateur à votre site, il pourrait chercher à ajouter un plugin pour contourner le problème. Il existe d'autres rôles d'utilisateur qui ont accès à ces sections de votre site mais pas la capacité d'ajouter des plugins, et cela peut vous aider à vous protéger contre un utilisateur non administrateur ayant ce niveau d'accès qui accède à vos fichiers.
Admin
Robin Hood
Merci de partager cet article. Utile et informatif.
Support WPBeginner
You’re welcome, glad our content could be helpful
Admin
isabella
Bonjour ! J'ai le problème inverse, je dois ajouter un code CSS dans l'éditeur MAIS l'éditeur a disparu.
Avez-vous des suggestions ?
Merci beaucoup
Cordialement
Mike Sawyer
Merci pour tous ces conseils et astuces utiles. C'est ma référence en cas de blocage. Merci.
Raj
Malheureusement, cela ne fonctionne pas pour moi, j'ai mis à jour le fichier wp-config.php mais l'option d'édition est toujours présente dans mon tableau de bord wp, pouvez-vous me suggérer quelque chose ?
Dave
Bonjour Raj,
J'ai eu le même problème, mais j'ai réussi à le résoudre. Je ne suis pas sûr que ce soit votre même problème, mais j'ai réalisé que lors de la copie/collage d'un article sur Internet, les guillemets simples/doubles (‘ ‘) ou (” “) peuvent parfois être des guillemets courbés plutôt que droits. Essayez de supprimer les guillemets simples et de les retaper.
J'espère que cela vous aidera !
-Dave
William Marques
Est-il possible de désactiver l'option d'enregistrement pour tous ? Je veux montrer le panneau de contrôle à mes clients, mais je ne veux pas qu'ils enregistrent les modifications.
Bella
Un trillion de mercis !!
Ce minuscule morceau de code a bouleversé ma vie !
Comment ne vous ai-je pas rencontré avant ??
Continuez à sourire – Bella
Jimit Shah
salut
Je veux désactiver la commande de collage (par souris et ctr+v) dans mon fichier php dans l'éditeur de thème. Afin que je puisse écrire du code et ne pas copier de code de l'extérieur. Je veux donner accès à l'écriture de code manuelle. S'il vous plaît, aidez-moi.
Raja Dileep Kumar
define(‘DISALLOW_FILE_EDIT’, true); cette fonction fonctionnera sur themes/functions.php si je colle le code dans WordPress
Pramod Kumar
Ça marche, merci.
John McNamara
Salut, je me demandais juste si quelqu'un avait trouvé un moyen de contourner cela sans accès, car nous avons payé 1800 $ pour que quelqu'un configure un site Web qui n'est qu'un thème sans aucune modification apportée et qui veut être payé plus pour déverrouiller l'éditeur pour nous.
S'il vous plaît, aidez-nous !!
Support WPBeginner
Si vous avez un accès FTP, ou un accès au panneau de contrôle d'hébergement, vous pouvez facilement modifier le fichier wp-config.php et supprimer le code :
1-click Use in WordPress
Admin
Graham Peckham
Salut, eh bien, j'ai été piraté hier par quelqu'un qui a installé le plugin MonsterInsights sur mon site Web, MAIS, la ligne de code que vous suggérez était déjà installée sur wp-config.
Alors, des suggestions pour arrêter cela
Cordialement
Support WPBeginner
Bonjour Graham,
Si vous suspectez que votre site Web a pu être piraté, veuillez consulter notre guide sur la récupération d'un site WordPress piraté. Vous voudrez peut-être également suivre notre guide complet de sécurité WordPress pour protéger votre site Web à l'avenir.
Prasath
define( ‘DISALLOW_FILE_EDIT’, true );
This one disable the editor for complete pages. I need to disable only for home page and for particular user(for Ex: Editor) . Coz I used page builder. My clients are not intrested to look over that..
Can any one help me ….
Mark Corder
I can also confirm that this works when the line is added to a Site-Specific Plugin – which you’ll also find the recipe for here on WPBeginner…
… so Thanks to you folks for all of it!
Melissa
Hey there! My cheeky developer has done this to me and I need access… is there a way to “undo” this clever trick without having FTP access?
I am also a developer and able to edit the files without any issues, but my contracted developer wants to charge me to access the code… so I am hoping I can jump in somehow!
Mel
Al Klein
Avez-vous contracté pour « tous les livrables » ? Si oui, faites-lui livrer le mot de passe FTP – c’est un livrable. (C’est un contrat, donc il peut être appliqué par un tribunal. Vous ne pourrez peut-être pas poursuivre pour une action spécifique, mais vous pouvez poursuivre pour le coût qu’il faudra pour qu’un autre développeur crée un nouveau site identique à l’ancien [ce qui fera probablement faillite à votre développeur actuel – il sera donc enclin à tout vous remettre].)
Si vous n’aviez pas inclus « tous les livrables » dans le contrat, ou si vous n’avez pas de contrat signé, considérez cela comme une leçon juridique bon marché. (Les études de droit coûtent beaucoup plus cher.)
Bill
Super astuce.
Existe-t-il un moyen de désactiver un éditeur spécifique (par exemple Elementor) pour un type de publication (page) spécifique tout en autorisant l'accès à l'éditeur classique ?
J'espère que cela peut être fait dans le fichier functions du thème enfant.
Suresh Khanal
en lisant cet article, je me demandais pourquoi quelqu’un aurait besoin de cacher le lien de l’éditeur dans l’administration de WordPress car seuls les administrateurs ont accès à ces liens et s’ils n’ont pas la permission de faire les choses nécessaires, à quoi bon ? j’ai finalement réalisé que c’est bien utile lorsque vous configurez des blogs pour vos clients. Merci pour ces bonnes astuces.
Mark Corder
C’est une excellente astuce – et cela a bien fonctionné pour moi en ajoutant la ligne au fichier functions.php dans le dossier de mon thème enfant twentytwelve. Je vois toujours des options pour personnaliser le thème (en-tête, arrière-plan, etc.) – mais les liens « éditeur » ont maintenant disparu. (J’ai dû appuyer sur CTRL-R pour forcer le rechargement de la page afin de les faire disparaître.)
J’essaie toujours de supprimer tout ce qui se trouve dans le backend avec lequel un client ne devrait vraiment pas jouer, et ces éditeurs de plugins et de thèmes invitent au désastre ! C’est merveilleux de pouvoir les supprimer avec une seule ligne de code…
J'apprécie vraiment ces astuces qui modifient les fonctions et les fichiers du thème enfant pour accomplir quelque chose plutôt que de simplement recommander un autre plugin – bien que je réalise que cela s'écarte un peu des choses « pour débutants ».
Et si vous n'avez pas déjà reçu cette demande mille fois, j'adorerais vous voir lancer un site « WPAdvanced » pour nous, les passionnés !
Personnel éditorial
Merci pour vos commentaires Mark. Oui, nous avons déjà reçu la demande pour WPAdvanced. Pour l'instant, notre objectif est de continuer à améliorer WPBeginner (nous n'y sommes pas encore arrivés).
-Syed
Admin
Gray Ayer
Un problème rencontré avec cette technique est qu'elle empêche également toute personne de mettre à jour les plugins obsolètes. Des idées à ce sujet, outre la désactivation de l'ajout au fichier wp-config, la mise à jour, puis la restauration de la sécurité renforcée ?
Personnel éditorial
C'est intéressant. Nous avons ce code qui fonctionne sur notre site, et nous pouvons effectuer des mises à jour en 1 clic.
Admin
joanpique
Bonjour, merci pour l'astuce, oui, cela fonctionne sur le fichier functions.php.
Mais ce code me fait perdre les options de mon thème :(… y a-t-il un autre code qui cache simplement les éditeurs ou quelque chose à mettre dans la page d'options pour éviter de cacher ?
Renan Santos
Tout ce que vous avez à faire est d'ouvrir votre fichier wp-config.php et de coller le code !
Devin Walker
99% de mes clients ne sont pas techniques