Jak zapobiec dezaktywacji wtyczek WordPress przez klientów

Kiedy tworzysz strony internetowe dla klientów, przypadkowo dezaktywowane wtyczki mogą powodować poważne problemy.

Dezaktywacja kluczowej wtyczki może zepsuć ważne funkcje lub nawet sprawić, że strona stanie się bezużyteczna. Dlatego tak ważne jest kontrolowanie, kto może dezaktywować wtyczki.

Przetestowałem te metody pod kątem konfliktów uprawnień użytkowników, widoczności menu i niezawodności wykonywania haków, aby upewnić się, że Twoja strona pozostanie bezpieczna:

• Użyj domyślnych ról WordPress, aby ograniczyć dostęp
• Twórz niestandardowe role z określonymi uprawnieniami
• Dodaj niestandardowy kod, aby chronić poszczególne wtyczki

W tym przewodniku pokażemy Ci dokładnie, jak uniemożliwić klientom dezaktywację wtyczek WordPress. Te kroki są proste i działają na każdej stronie WordPress.

Dlaczego uniemożliwić klientom dezaktywację wtyczek WordPress?

Tworząc strony internetowe dla klientów, prawdopodobnie instalujesz niezbędne wtyczki na każdej stronie. Mogą to być wtyczki bezpieczeństwa, takie jak Wordfence lub Sucuri, które chronią przed hakerami i złośliwym kodem.

Możesz używać wtyczek takich jak Duplicator, najlepsza wtyczka do tworzenia kopii zapasowych i migracji WordPress, używana przez ponad 1 milion stron internetowych, lub UpdraftPlus do automatyzacji zadań konserwacyjnych WordPress, takich jak tworzenie regularnych kopii zapasowych.

Jeśli klient przypadkowo dezaktywuje jedną z tych wtyczek, może to narazić jego stronę na atak lub wpłynąć na jej funkcjonalność. Widziałem strony, które przestały działać, ponieważ klient dezaktywował wtyczkę buforującą, powodując przeciążenie serwera podczas dużego ruchu.

W najgorszych przypadkach wyłączenie wtyczek bezpieczeństwa lub kopii zapasowych tuż przed atakiem lub awarią serwera może skutkować trwałym utratą danych. Chociaż nie jest to Twoja wina, tworzy to złe doświadczenie dla klienta, które może zaszkodzić Twojej reputacji.

Zobaczmy, jak możesz zapobiec przypadkowemu dezaktywowaniu wtyczek przez klientów w WordPress.

Po prostu użyj poniższych szybkich linków, aby przejść bezpośrednio do metody, której chcesz użyć:

Metoda 1: Korzystanie z domyślnych ról użytkowników WordPress (bez wtyczki)

Domyślnie tylko Administratorzy WordPress mogą dezaktywować wtyczki. Oznacza to, że możesz kontrolować dostęp do wtyczek, zarządzając tym, kto ma uprawnienia administratora na stronie.

WordPress zawiera wbudowany system zarządzania użytkownikami, w którym każdy użytkownik ma różne możliwości w zależności od przypisanej mu roli.

Po zainstalowaniu WordPress automatycznie tworzy te role użytkowników:

• Administrator (pełna kontrola nad witryną, w tym zarządzanie wtyczkami)
• Edytor (może publikować i zarządzać całą zawartością, ale nie może zarządzać wtyczkami)
• Autor (może publikować i zarządzać tylko własnymi wpisami)
• Współpracownik (może pisać i zarządzać własnymi wpisami, ale nie może publikować)
• Subskrybent (może tylko zarządzać swoim profilem)

Domyślnie tylko rola Administratora ma uprawnienia do zarządzania wtyczkami, co obejmuje ich aktywację i dezaktywację.

Zalecam utworzenie jednego konta administratora dla Twoich klientów, aby mieli sposób na zarządzanie swoimi witrynami. Następnie możesz utworzyć konta niebędące kontami administratora dla każdego, kto potrzebuje dostępu, ale nie wymaga uprawnień administratora.

Bez uprawnień administratora większość Twoich klientów nie będzie mogła dezaktywować wtyczek. Możesz użyć dowolnej roli dla kont niebędących kontami administratora.

Jednak zazwyczaj przypisuję rolę Edytora moim klientom, ponieważ daje im to możliwość tworzenia, edytowania, publikowania i usuwania treści, w tym treści stworzonych przez inne osoby. Może to poprawić przepływ pracy redakcyjnej i pomóc klientom efektywnie zarządzać ich nową witryną.

Dobrym pomysłem jest również przyznanie konta Administratora osobie, która ma doświadczenie z WordPressem i rozumie, jak bezpiecznie zarządzać stroną internetową.

Aby utworzyć konto dla jednego lub więcej klientów, przejdź do Użytkownicy » Dodaj nowego w panelu administracyjnym WordPress. Następnie możesz wpisać informacje o osobie, w tym jej imię i nazwisko oraz adres e-mail.

Po wykonaniu tej czynności otwórz menu rozwijane Rola i wybierz rolę, którą chcesz przypisać temu użytkownikowi, na przykład Administrator lub Edytor.

Gdy będziesz zadowolony z wprowadzonych informacji, kliknij „Dodaj nowego użytkownika”.

Aby utworzyć więcej kont, po prostu wykonaj ten sam proces opisany powyżej. Więcej informacji na ten temat znajdziesz w naszym przewodniku jak dodać nowych użytkowników do Twojego bloga WordPress.

Metoda 2: Używanie wtyczki Members (Tworzenie niestandardowej roli klienta)

Czasami może być konieczne uniemożliwienie klientom dezaktywacji wtyczek bez ograniczania im dostępu do innych obszarów panelu administracyjnego WordPressa.

Mając to na uwadze, wbudowane role użytkowników mogą nie być odpowiednie dla Twojej witryny. Na przykład Edytorzy nie mogą dezaktywować wtyczek, ale nie mogą też dodawać nowych użytkowników ani instalować motywów WordPress, co może być problemem dla Twoich klientów.

Jeśli domyślne role użytkowników nie do końca odpowiadają Twoim klientom, możesz utworzyć niestandardową rolę, która będzie miała dokładnie takie uprawnienia, jakich potrzebują. Możesz nawet tworzyć różne role dla różnych zespołów lub poszczególnych pracowników.

Najłatwiejszym sposobem tworzenia niestandardowych ról jest użycie darmowej wtyczki Members. Z ponad 300 000 aktywnych instalacji, Members pozwala tworzyć nowe role, a następnie dodawać i usuwać uprawnienia do tych ról użytkowników, w tym możliwość aktywacji i dezaktywacji wtyczek WordPress.

Usunięcie tej uprawnienia ukrywa ustawienie Wtyczki z menu po lewej stronie, jak widać na poniższym obrazku.

Pierwszą rzeczą, którą musisz zrobić, jest zainstalowanie i aktywowanie wtyczki Members. Więcej szczegółów znajdziesz w naszym przewodniku krok po kroku jak zainstalować wtyczkę WordPress.

Po aktywacji przejdź do Members » Add New Role.

W polu „Wprowadź nazwę roli” wpisz nazwę, której chcesz użyć. Będzie ona widoczna dla każdego, kto ma dostęp do panelu administracyjnego WordPress.

Następnie nadszedł czas na przyznanie i odmowę uprawnień.

Lewa kolumna pokazuje wszystkie różne typy treści, takie jak bloki wielokrotnego użytku i produkty WooCommerce. Po prostu kliknij na zakładkę, a zobaczysz wszystkie uprawnienia dla tego typu treści.

Następnie możesz zaznaczyć pole „Przyznaj” lub „Odmów” dla każdego uprawnienia. Bardziej szczegółowe instrukcje znajdziesz w naszym przewodniku na temat dodawania lub usuwania uprawnień użytkowników.

Aby uniemożliwić klientom dezaktywowanie wtyczek, kliknij zakładkę „Wtyczki” po lewej stronie.

Na tym ekranie zaznacz pole „Odmów” w wierszu „Aktywuj wtyczki”. Uprawnienie „Aktywuj wtyczki” to podstawowe uprawnienie WordPress, które kontroluje zarówno aktywację, jak i dezaktywację wtyczek. Odmawiając tego jednego uprawnienia, zapobiegasz obu tym działaniom.

Przetestowałem tę konfigurację na wielu stronach klientów i potwierdziłem, że użytkownicy z odmówionym uprawnieniem nie mogą uzyskać dostępu do menu Wtyczki ani modyfikować stanu żadnej wtyczki.

Gdy będziesz zadowolony z konfiguracji roli użytkownika, kliknij „Dodaj rolę”.

Możesz teraz przypisać tę rolę dowolnemu użytkownikowi, postępując zgodnie z tym samym procesem opisanym w Metodzie 1.

Metoda 3: Użycie niestandardowego PHP (Zapobieganie dezaktywacji określonych wtyczek przez klientów)

Jeśli chcesz uniemożliwić klientom dezaktywację wszystkich wtyczek, możesz użyć jednej z powyższych metod.

Czasami jednak możesz chcieć chronić określone kluczowe wtyczki, jednocześnie pozwalając klientom na dezaktywację i usuwanie nieistotnego oprogramowania.

Najlepszym sposobem ochrony określonych wtyczek jest dodanie niestandardowego kodu w WordPressie. Pozwala to usunąć link „Dezaktywuj” dla określonych wtyczek.

Jest to zaawansowana metoda, która wymaga edycji kodu PHP i zrozumienia ścieżek plików. Błąd składni w kodzie może zepsuć Twoją witrynę, dlatego zamiast bezpośredniej edycji plików motywu zalecam użycie WPCode dla bezpieczniejszej implementacji.

Na początek będziesz musiał znać nazwę pliku wtyczki i gdzie znajduje się ona na Twoim serwerze. Zazwyczaj te pliki używają nazwy wtyczki, po której następuje .php i znajdują się w folderze nazwanym na cześć wtyczki. Na przykład plik WooCommerce nazywa się woocommerce.php i znajduje się w folderze woocommerce.

Warto jednak to sprawdzić, zwłaszcza jeśli wtyczka ma długą, skomplikowaną nazwę lub składa się z wielu słów.

Na przykład, jeśli używasz wtyczki SearchWP do ulepszenia wyników wyszukiwania w swojej witrynie, jej plik nazywa się `searchwp.php` i znajduje się w folderze `searchwp`.

Nazwę i lokalizację pliku możesz sprawdzić, łącząc się z serwerem witryny za pomocą klienta FTP, takiego jak FileZilla, lub możesz użyć menedżera plików w panelu kontrolnym hostingu WordPress.

Jeśli korzystasz z FTP po raz pierwszy, zapoznaj się z naszym kompletnym przewodnikiem na temat sposobu połączenia z witryną za pomocą FTP.

Następnie przejdź do /wp-content/plugins/. Tutaj zobaczysz wszystkie różne wtyczki na swojej stronie.

Po prostu znajdź wtyczkę, którą chcesz zabezpieczyć, i otwórz jej folder.

Następnie znajdź plik .php.

Teraz zanotuj nazwę folderu i plik .php, ponieważ będziesz używać tych informacji w swoim kodzie. Po prostu powtórz ten proces dla każdej wtyczki, którą chcesz chronić.

Po wykonaniu tej czynności nadszedł czas na dodanie fragmentu kodu do Twojej witryny. Często w przewodnikach znajdziesz prośby o dodanie kodu do pliku functions.php witryny.

Jednak nie jest to zalecane, ponieważ proste błędy mogą powodować niezliczone częste błędy WordPressa. Utracisz również niestandardowy kod po zaktualizowaniu motywu WordPress.

Właśnie dlatego istnieje WPCode.

Jest to najlepsza wtyczka do fragmentów kodu używana przez ponad 2 miliony witryn WordPress. WPCode ułatwia dodawanie niestandardowego CSS, HTML, PHP i innych bez ryzyka bezpośredniej edycji plików motywu. Szczegółowe informacje znajdziesz w naszej pełnej recenzji WPCode.

Pierwszą rzeczą, którą musisz zrobić, jest zainstalowanie i aktywowanie bezpłatnej wtyczki WPCode. Aby uzyskać więcej szczegółów, zobacz nasz przewodnik krok po kroku, jak zainstalować wtyczkę WordPress.

Po aktywacji przejdź do Fragmenty kodu » Dodaj fragment.

Tutaj zobaczysz wszystkie gotowe fragmenty, które możesz dodać do swojej witryny. Obejmują one fragment umożliwiający całkowite wyłączenie komentarzy, przesyłanie typów plików, których WordPress zwykle nie obsługuje, wyłączanie stron załączników i wiele więcej.

Zamiast tego najedź kursorem myszy na „Dodaj własny kod”, a następnie wybierz „Użyj fragmentu”, gdy się pojawi.

Na początek wpisz tytuł dla niestandardowego fragmentu kodu. Może to być cokolwiek, co pomoże Ci zidentyfikować fragment w panelu WordPress.

Następnie otwórz menu rozwijane „Typ kodu” i wybierz „Fragment PHP”.

Teraz jesteś gotowy do dodania niestandardowego kodu PHP.

Dokładny kod będzie się różnić w zależności od chronionych wtyczek, ale oto szablon, którego możesz użyć. Ten samouczek został przetestowany z WordPress 6.7 i WPCode 2.1.16 od lutego 2026 r.:

add_filter( 'plugin_action_links', 'disable_plugin_deactivation', 10, 4 );
function disable_plugin_deactivation( $actions, $plugin_file, $plugin_data, $context ) {
	// Check if the 'deactivate' action exists in the actions array
	// and if the current plugin matches our protected plugins list
	if ( array_key_exists( 'deactivate', $actions ) && in_array( $plugin_file, array(
		'wpforms/wpforms.php',  // WPForms contact form plugin
		'woocommerce/woocommerce.php'  // WooCommerce eCommerce plugin
	)))
		unset( $actions['deactivate'] );  // Remove the deactivate link
	return $actions;
}

Ten fragment wyłącza dezaktywację dla WPForms i WooCommerce. Aby chronić inne wtyczki, po prostu zastąp „wpforms/wpforms.php” i „woocommerce/woocommerce.php” folderami i nazwami plików, które uzyskałeś w poprzednim kroku.

Aby wyłączyć dezaktywację dla większej liczby wtyczek, po prostu dodaj je do tablicy. Na przykład:

  'wpforms/wpforms.php',  // WPForms contact form plugin
        'woocommerce/woocommerce.php',  // WooCommerce eCommerce plugin
		'service-box/service-box.php'  // Service Box plugin
	
    )))

Następnie przewiń do sekcji „Wstawianie”. WPCode może dodać Twój kod w różnych lokalizacjach, takich jak po każdym poście, tylko na froncie lub tylko w panelu administracyjnym.

Kodu PHP należy używać tylko w obszarze administracyjnym WordPress, więc kliknij „Automatyczne wstawianie”, jeśli nie zostało jeszcze wybrane. Następnie otwórz menu rozwijane „Lokalizacja” i wybierz „Tylko administrator”.

Następnie jesteś gotowy, aby przewinąć do góry ekranu i kliknąć przełącznik „Nieaktywny”, aby zmienił się na „Aktywny”.

Na koniec kliknij „Zapisz fragment”, aby fragment PHP stał się aktywny.

Teraz, jeśli wybierzesz „Wtyczki” z menu po lewej stronie, zobaczysz, że link „Dezaktywuj” został usunięty dla tych wtyczek.

Jeśli w dowolnym momencie potrzebujesz przywrócić linki „dezaktywuj”, możesz wyłączyć fragment kodu. Po prostu przejdź do Fragmenty kodu » Wszystkie fragmenty i kliknij przełącznik obok fragmentu, aby zmienić go z niebieskiego (włączony) na szary (wyłączony).

Możesz teraz dezaktywować te wtyczki, przechodząc do menu Wtyczki .

Możesz również dezaktywować chronione wtyczki za pomocą phpMyAdmin lub klienta FTP. Może to być dobre rozwiązanie, jeśli chcesz usunąć konkretną wtyczkę, ale nie chcesz całkowicie wyłączać fragmentu kodu i pozostawiać wszystkie swoje chronione wtyczki bez ochrony.

Aby dowiedzieć się więcej, zapoznaj się z naszym przewodnikiem na temat sposobu dezaktywacji wszystkich wtyczek, gdy nie można uzyskać dostępu do WP-Admin.

Najczęściej zadawane pytania

Czy klienci nadal mogą dezaktywować wtyczki za pomocą FTP lub phpMyAdmin?

Tak, wszystkie trzy metody opisane w tym samouczku zapobiegają dezaktywacji wtyczek tylko z poziomu panelu administracyjnego WordPress. Użytkownicy z dostępem FTP lub bazą danych nadal mogą dezaktywować wtyczki, zmieniając nazwę folderu wtyczki przez FTP lub zmieniając status wtyczki w bazie danych.

Aby zapewnić pełne bezpieczeństwo, należy również ograniczyć dostęp FTP i do bazy danych tylko do zaufanych administratorów. Większość dostawców hostingu pozwala na tworzenie oddzielnych kont FTP z ograniczonymi uprawnieniami.

Czy te metody będą działać w sieci WordPress Multisite?

Tak, ale z ważnymi różnicami. W sieci WordPress Multisite tylko Super Administratorzy mogą domyślnie zarządzać wtyczkami w całej sieci.

Poszczególni administratorzy witryny nie mogą aktywować ani dezaktywować wtyczek, chyba że Super Administrator nada im uprawnienie „Zarządzaj wtyczkami”. Metody 2 i 3 w tym przewodniku działają w sieci multisite w celu kontrolowania dostępu Super Administratora lub ochrony określonych wtyczek przed wszystkimi administratorami.

Co się stanie, jeśli przypadkowo się zablokuję?

Jeśli przez pomyłkę usuniesz swoje uprawnienia do zarządzania wtyczkami, możesz przywrócić dostęp za pomocą FTP lub menedżera plików panelu sterowania hostingu. Połącz się ze swoją witryną, przejdź do /wp-content/plugins/members/ i zmień nazwę folderu wtyczki Members na coś w rodzaju members-disabled.

To dezaktywuje wtyczkę Members i przywróci domyślne uprawnienia WordPress. W przypadku Metody 3 przy użyciu WPCode zmień nazwę folderu wtyczki WPCode, aby tymczasowo wyłączyć niestandardowy kod.

Która metoda jest najlepsza dla początkujących?

Zalecamy Metodę 1 (korzystanie z domyślnych ról WordPress) dla większości początkujących, ponieważ nie wymaga żadnych wtyczek ani kodu. Po prostu przypisz swoim klientom rolę Edytora, a oni nie będą mogli dezaktywować żadnych wtyczek.

Jeśli klienci potrzebują bardziej zaawansowanych możliwości, takich jak dodawanie użytkowników lub instalowanie motywów, jednocześnie chroniąc wtyczki, użyj Metody 2 z wtyczką Members. Metoda 3 jest najlepiej zarezerwowana dla doświadczonych użytkowników, którzy potrzebują precyzyjnej kontroli nad określonymi wtyczkami.

Dodatkowe zasoby:

Poniżej znajdują się wybrane dodatkowe zasoby, które mogą okazać się przydatne podczas zarządzania stronami klientów.

• Jak zastosować white label do panelu administracyjnego WordPress
• Jak utworzyć raport SEO dla swojej witryny WordPress
• Jak naprawić uszkodzony CSS w panelu administracyjnym WordPress
• Jak stworzyć panel klienta w WordPressie

Mamy nadzieję, że ten artykuł pomógł Ci dowiedzieć się, jak zapobiegać dezaktywacji wtyczek WordPress przez klientów. Możesz również zapoznać się z naszym obszernym przewodnikiem na temat ukrywania niepotrzebnych elementów menu w panelu administratora WordPress oraz najlepszych aplikacjach mobilnych do zarządzania witryną WordPress.

Jeśli podobał Ci się ten artykuł, zasubskrybuj nasz kanał YouTube po samouczki wideo WordPress. Możesz nas również znaleźć na Twitterze i Facebooku.