Czy wiesz, że WordPress posiada wbudowany edytor motywów i wtyczek? Ten prosty edytor kodu pozwala na edycję plików motywu i wtyczek bezpośrednio z panelu WordPress.
Chociaż może to brzmieć bardzo pomocnie, widzieliśmy, jak otwarcie możliwości bezpośredniej edycji plików w ten sposób może prowadzić do problemów, takich jak zepsucie strony. Może nawet wprowadzić potencjalne problemy z bezpieczeństwem w połączeniu z innymi lukami.
W tym artykule pokażemy, jak wyłączyć edytory motywów i wtyczek z obszaru administracyjnego WordPress i wyjaśnimy, dlaczego jest to mądry pomysł.
Dlaczego wyłączać edytory motywów i wtyczek w WordPressie?
WordPress posiada wbudowany edytor kodu, który pozwala na bezpośrednią edycję plików motywów i wtyczek WordPress z obszaru administracyjnego.
Edytor motywów znajduje się na stronie Wygląd » Edytor plików motywu. Domyślnie wyświetla pliki Twojego aktualnie aktywnego motywu.
Podobnie edytor wtyczek można znaleźć na stronie Wtyczki » Edytor plików wtyczek. Domyślnie wyświetli jedną z zainstalowanych wtyczek z Twojej witryny, która pojawia się pierwsza w kolejności alfabetycznej.
Jeśli odwiedzasz stronę edytora motywu lub wtyczki po raz pierwszy, WordPress ostrzeże Cię, że korzystanie z edytora może zepsuć Twoją witrynę.
W WordPressie 4.9 edytory motywów i wtyczek zostały ulepszone, aby chronić użytkowników przed przypadkowym uszkodzeniem ich strony internetowej. W większości przypadków edytor wykryje krytyczny błąd i wycofa zmiany.
Jednak nie ma to gwarancji i niektóre błędy mogą nadal się pojawić, a ty możesz stracić dostęp do obszaru administracyjnego WordPressa.
Największym problemem wbudowanego edytora plików jest to, że daje pełny dostęp do dodawania dowolnego rodzaju kodu do Twojej witryny.
Jeśli haker włamał się do Twojego obszaru administracyjnego WordPress, może użyć wbudowanego edytora, aby uzyskać dostęp do wszystkich Twoich danych WordPress.
Hakerzy mogą również wykorzystać go do dystrybucji złośliwego oprogramowania lub przeprowadzania ataków DDOS z Twojej strony WordPress.
Aby poprawić bezpieczeństwo WordPress, zalecamy całkowite usunięcie wbudowanych edytorów plików.
Biorąc to pod uwagę, zobaczmy, jak łatwo wyłączyć edytory motywów i wtyczek w WordPressie.
Jak wyłączyć edytory motywów i wtyczek w WordPress
Wyłączenie edytorów motywów i wtyczek w WordPress jest dość łatwe. Wymaga to jednak dodania kodu w WordPress. Jeśli jeszcze tego nie zrobiłeś, zapoznaj się z naszym przewodnikiem na temat wklejania fragmentów z sieci do WordPress.
Będziesz musiał dodać tę linię kodu do pliku functions.php swojego motywu, wtyczki specyficznej dla strony lub za pomocą wtyczki fragmentów kodu.
define( 'DISALLOW_FILE_EDIT', true );
Zalecamy użycie wtyczki WPCode, ponieważ jest darmowa, łatwa w użyciu i nie zepsuje Twojej witryny, jeśli coś pójdzie nie tak.
Uwaga: Istnieje również wersja premium WPCode, która oferuje zaawansowane funkcje, takie jak wersje kodu, automatyczne konwersje pikseli, zaplanowane fragmenty i inne.
Najpierw musisz zainstalować i aktywować darmowy plugin WPCode. Szczegółowe instrukcje znajdziesz w naszym przewodniku jak zainstalować plugin WordPress.
Po aktywacji wtyczki przejdź do Fragmenty kodu » Dodaj fragment z panelu administracyjnego WordPressa.
Następnie najedź kursorem myszy na opcję „Dodaj swój niestandardowy kod (nowy fragment)” i kliknij przycisk „+ Dodaj niestandardowy fragment”.
Następnie zostaniesz poproszony o wybranie typu kodu dla swojego fragmentu. Wybierz opcję „Fragment PHP”.
Następnie możesz dodać tytuł dla swojego snippetu i wkleić powyższy kod do pola „Podgląd kodu”.
Na koniec po prostu przełącz przełącznik z „Nieaktywny” na „Aktywny” i kliknij przycisk „Zapisz fragment”.
To wszystko, edytory wtyczek i motywów znikną teraz z menu motywów i wtyczek w obszarze administracyjnym WordPress.
Alternatywnie, możesz również edytować swój plik wp-config.php i wkleić powyższy kod tuż przed linią, która mówi „To wszystko, przestań edytować! Miłego publikowania”:
Następnie zapisz zmiany i prześlij plik z powrotem na swoją stronę internetową.
Jeśli nie chcesz edytować plików bezpośrednio, możesz zainstalować wtyczkę Sucuri WordPress, która oferuje funkcję utwardzania jednym kliknięciem.
Właściwy sposób edycji plików motywów i wtyczek WordPress
Wielu użytkowników faktycznie korzysta z edytorów motywów i wtyczek WordPress, aby przeglądać kod, dodawać niestandardowe CSS lub edytować kod w swoich motywach potomnych.
Jeśli chcesz dodać niestandardowy kod CSS do swojego motywu, możesz to zrobić za pomocą narzędzia do dostosowywania motywu znajdującego się w sekcji Wygląd » Dostosuj.
Więcej szczegółów znajdziesz w naszym przewodniku na temat jak dodać niestandardowy CSS w WordPress bez psucia witryny.
Jeśli chcesz wyszukać kod w wtyczce, możesz to zrobić korzystając z klienta FTP.
Aby lepiej zarządzać plikami i podświetlać składnię, możesz użyć jednego z tych edytorów kodu do edycji plików WordPress na swoim komputerze.
Na koniec, ale nie mniej ważne, możesz również stworzyć niestandardowy motyw WordPress bez pisania kodu.
Mamy nadzieję, że ten artykuł pomógł Ci dowiedzieć się, jak łatwo wyłączyć edytory motywów i wtyczek z panelu administracyjnego WordPress. Możesz również zapoznać się z naszym ostatecznym przewodnikiem po poprawie wydajności i szybkości WordPress lub naszymi ekskluzywnymi wyborami najlepszego oprogramowania do projektowania stron internetowych.
Jeśli podobał Ci się ten artykuł, zasubskrybuj nasz kanał YouTube po samouczki wideo WordPress. Możesz nas również znaleźć na Twitterze i Facebooku.
Moinuddin Waheed
Ze względów bezpieczeństwa i aby zapewnić prawidłowe działanie wtyczek i motywów, jest to niezbędna modyfikacja.
większość moich klientów nie ma technicznego zaplecza i nie robi takich rzeczy, ale niepozwalanie na wprowadzanie takich zmian od samego początku jest mądrym pomysłem.
Dziękuję bardzo za ten prosty przewodnik krok po kroku.
Jiří Vaněk
Dziękuję za tutorial. Użyłem pliku wp-config.php i działa świetnie. Szczególnie w przypadku stron klientów ta opcja wydaje mi się bardzo dobra, aby nie modyfikowali kodu strony, a także pod względem bezpieczeństwa.
Ostatecznie wybrałem plik wp-config głównie po to, aby tej funkcji nie można było po prostu wyłączyć z poziomu administracji, co nie miało dla mnie sensu.
Wsparcie WPBeginner
Makes sense
Admin
Bob Putnak
To niczego nie osiągnie w dzisiejszych czasach.
1) Używając rozwiązania CODE SNIPPETS, jeśli haker ma dostęp do panelu administracyjnego, po prostu przejdzie do panelu CODE SNIPPETS i WYŁĄCZY fragment kodu.
2) Podobnie, jeśli dodałeś go do pliku wp-config, nie widzę powodu, dla którego ktoś z dostępem do panelu administratora nie mógłby po prostu ZAINSTALOWAĆ wtyczki CODE SNIPPETS, aktywować jej, a następnie ustawić regułę dla:
define( ‘DISALLOW_FILE_EDIT’, true );
Wydaje mi się, że jeśli haker ma dostęp do panelu administracyjnego, nie ma absolutnie żadnego rozwiązania tego problemu.
Jeśli się nie zgadzasz, proszę wyjaśnij dlaczego. Moje logowanie wydaje się w 100% poprawne.
Wsparcie WPBeginner
Jeśli ktoś ma dostęp na poziomie administratora do Twojej witryny, może dodać wtyczkę, aby ominąć problem. Istnieją inne role użytkowników, które mają dostęp do tych sekcji Twojej witryny, ale nie możliwość dodawania wtyczek, co może pomóc Ci chronić się przed osobą niebędącą administratorem, która ma taki poziom dostępu, przed dostaniem się do Twoich plików.
Admin
Robin Hood
Dziękuję za udostępnienie tego posta. Pomocny i informacyjny.
Wsparcie WPBeginner
You’re welcome, glad our content could be helpful
Admin
isabella
Witaj! Mam odwrotny problem, muszę dodać kod CSS w edytorze, ALE edytor zniknął.
Czy masz jakieś sugestie?
Dziękuję bardzo
Pozdrawiam
Mike Sawyer
Dziękuję za wszystkie wskazówki i pomocne rady. To jest moje miejsce, do którego się zwracam, gdy utknę. Dzięki.
Raj
Niestety, to mi nie działa, zaktualizowałem plik wp-config.php, ale opcja edytora nadal jest widoczna w moim panelu administracyjnym WordPressa, czy możesz coś zasugerować?
Dave
Cześć Raj,
Miałem ten sam problem, ale udało mi się go rozwiązać. Nie jestem pewien, czy to ten sam problem, ale zdałem sobie sprawę, że podczas kopiowania i wklejania z posta internetowego, czasami pojedyncze/podwójne cudzysłowy (' ') lub (" ") mogą być cudzysłowami zakręconymi zamiast prostymi. Spróbuj usunąć pojedyncze cudzysłowy i wpisać je ponownie.
Mam nadzieję, że to pomoże!
-Dave
William Marques
Czy jest możliwe wyłączenie opcji zapisywania dla wszystkich? Chcę pokazać panel kontrolny moim klientom, ale nie chcę, aby zapisywali zmiany.
Bella
Tysiąc podziękowań!!
Ten maleńki fragment kodu wywrócił moje życie do góry nogami!
Jak ja wcześniej na ciebie nie trafiłam??
Uśmiechaj się – Bella
Jimit Shah
Cześć
Chcę wyłączyć polecenie wklejania (myszką i ctrl+v) w moim pliku php w edytorze motywu. Tak, abym mógł pisać kod, a nie kopiować żaden kod z zewnątrz. Chcę umożliwić ręczne pisanie kodu. Proszę o pomoc.
Raja Dileep Kumar
define(‘DISALLOW_FILE_EDIT’, true); ta funkcja zadziała w themes/functions.php, jeśli wkleję kod w WordPress
Pramod Kumar
Działa, dzięki.
John McNamara
Cześć, zastanawiam się tylko, czy ktoś znalazł sposób, aby to obejść bez dostępu, ponieważ zapłaciliśmy 1800 dolarów za kogoś, kto skonfigurował stronę internetową, która jest tylko motywem bez żadnych zmian i chce otrzymać więcej pieniędzy, aby odblokować edytor dla nas.
Proszę o pomoc!!
Wsparcie WPBeginner
Jeśli masz dostęp FTP lub dostęp do panelu sterowania hostingu, możesz łatwo edytować plik wp-config.php i usunąć kod:
1-click Use in WordPress
Admin
Graham Peckham
Cześć, zostałem wczoraj zhakowany przez kogoś, kto zainstalował wtyczkę MonsterInsights na mojej stronie internetowej, ALE linia kodu, którą sugerujesz, była już zainstalowana w pliku wp-config.
Czy masz jakieś sugestie, jak temu zapobiec?
Pozdrawiam
Wsparcie WPBeginner
Cześć Graham,
Jeśli podejrzewasz, że Twoja witryna mogła zostać zhakowana, zapoznaj się z naszym przewodnikiem jak odzyskać zhakowaną witrynę WordPress. Możesz również zapoznać się z naszym kompletnym przewodnikiem po bezpieczeństwie WordPress, aby chronić swoją witrynę w przyszłości.
Prasath
define( ‘DISALLOW_FILE_EDIT’, true );
Ten wyłącza edytor dla kompletnych stron. Muszę wyłączyć tylko dla strony głównej i dla konkretnego użytkownika (np. Edytora). Ponieważ używam page buildera. Moi klienci nie są tym zainteresowani..
Czy ktoś może mi pomóc….
Mark Corder
Mogę również potwierdzić, że działa to, gdy linia zostanie dodana do wtyczki specyficznej dla witryny – przepis na którą znajdziesz również tutaj na WPBeginner...
... więc dzięki wam za wszystko!
Melissa
Cześć! Mój sprytny deweloper zrobił mi to i potrzebuję dostępu… czy jest sposób, aby „cofnąć” ten sprytny trik bez dostępu FTP?
Jestem również programistą i mogę edytować pliki bez żadnych problemów, ale mój kontraktowy programista chce ode mnie zapłaty za dostęp do kodu… więc mam nadzieję, że uda mi się jakoś wkroczyć!
Mel
Al Klein
Czy zawarłeś umowę na „wszystkie rezultaty”? Jeśli tak, niech dostarczy hasło do FTP – to jest rezultat. (To jest umowa, więc może być egzekwowana przez sąd. Możesz nie być w stanie pozwać o konkretne działanie, ale możesz pozwać o koszty, jakie poniesiesz, aby inny programista stworzył nową stronę identyczną jak stara [co prawdopodobnie zrujnuje twojego obecnego programistę – więc sprawi, że będzie skłonny przekazać ci wszystko].)
Jeśli nie miałeś uwzględnionych „wszystkich rezultatów” w umowie, lub nie masz podpisanej umowy, potraktuj to jako tanią lekcję prawną. (Szkoła prawnicza kosztuje znacznie więcej.)
Bill
Świetna wskazówka.
Czy jest sposób, aby wyłączyć konkretny edytor (na przykład Elementor) dla konkretnego typu posta (strony), jednocześnie zezwalając na dostęp do klasycznego edytora?
Mam nadzieję, że można to zrobić w pliku functions pliku potomnego.
Suresh Khanal
czytając ten post zastanawiałem się, dlaczego ktoś potrzebowałby ukrywać link do edytora w panelu administracyjnym WordPressa, ponieważ tylko administratorzy mają dostęp do tych linków, a jeśli nie mają uprawnień do wykonywania wymaganych czynności, to jaki jest sens? w każdym razie zdaję sobie sprawę, że jest to pomocne przy konfigurowaniu blogów dla klientów. Dzięki za dobre wskazówki.
Mark Corder
To doskonała wskazówka – i zadziałała dobrze, gdy dodałem linię do pliku functions.php w folderze mojego motywu potomnego twentytwelve. Nadal widzę opcje dostosowywania motywu (nagłówek, tło itp.) – ale linki „edytora” zniknęły. (Musiałem nacisnąć CTRL-R, aby wymusić przeładowanie strony, aby zniknęły.)
Zawsze staram się usuwać z zaplecza wszystko, z czym klient naprawdę nie powinien się bawić, a edytory wtyczek i motywów po prostu zapraszają do katastrofy! Wspaniale jest móc je usunąć jedną linią kodu...
Naprawdę doceniam te wskazówki, które edytują funkcje i pliki motywu potomnego, aby coś osiągnąć, zamiast tylko polecać kolejną wtyczkę – chociaż zdaję sobie sprawę, że to trochę odbiega od „początkujących” tematów.
A jeśli nie otrzymaliście tego żądania już tysiąc razy, chciałbym zobaczyć, jak otworzycie stronę „WPAdvanced” dla nas, hardkorowych użytkowników!
Personel redakcyjny
Dziękuję za opinię Mark. Tak, otrzymaliśmy prośbę o WPAdvanced w przeszłości. Na razie skupiamy się na dalszym ulepszaniu WPBeginner (jeszcze tam nie dotarliśmy).
-Syed
Admin
Gray Ayer
Problem napotkany z tą techniką polega na tym, że uniemożliwia ona również aktualizację przestarzałych wtyczek. Czy masz jakieś pomysły na to, oprócz wyłączenia dodawania do pliku wp-config, aktualizacji, a następnie przywrócenia wzmocnionego bezpieczeństwa?
Personel redakcyjny
To ciekawe. Mamy ten kod działający na naszej stronie i możemy aktualizować jednym kliknięciem.
Admin
joanpique
Cześć, dzięki za wskazówkę, tak, działa w pliku functions.php.
Ale ten kod wyłączył mi stronę opcji motywu :(… czy jest jakiś inny kod, który tylko ukrywa edytory lub coś, co można umieścić na stronie opcji, aby uniknąć ukrywania?
Renan Santos
Wszystko, co musisz zrobić, to otworzyć plik wp-config.php i wkleić kod!
Devin Walker
99% moich klientów to osoby nietechniczne