在 WordPress 后台直接编辑插件或主题文件是一个高风险操作,可能导致网站出现意外错误或安全漏洞。因此,从安全和管理角度出发,建议禁止在后台编辑主题和插件。
WordPress 的安全至关重要。禁止编辑主题和插件可以防止管理员误操作删除关键文件,同时也能阻止通过非法手段进入后台的攻击者窃取或篡改网站的核心代码。
如何禁止编辑主题和插件
WordPress 提供了两个核心配置常量来实现此功能。您需要编辑网站根目录下的 wp-config.php 文件。
方法一:仅禁止文件编辑
此方法仅禁用后台的主题和插件编辑器,但允许安装和更新操作。
// 禁止在线编辑主题和插件
define( 'DISALLOW_FILE_EDIT', true );方法二:禁止所有文件修改
此方法更为严格,除了禁止编辑外,还会禁止安装、更新和删除主题与插件。通常用于高度锁定的生产环境。
// 禁止安装、升级、编辑主题和插件
define( 'DISALLOW_FILE_MODS', true );操作步骤
- 通过 FTP 或服务器文件管理器,找到您 WordPress 安装根目录下的
wp-config.php文件。 - 在文本编辑器中打开此文件。
- 找到类似
define( 'DB_NAME', 'database_name_here' );的数据库配置区域。 - 在数据库配置下方、
/* That's all, stop editing! Happy publishing. */这行注释之前,添加上面任一段代码。 - 保存文件并上传回服务器。
注意:添加代码后,WordPress 后台的“外观”->“主题编辑器”和“插件”->“插件编辑器”菜单将会消失或无法访问。如果您选择了方法二(DISALLOW_FILE_MODS),则“安装插件/主题”的功能也会被禁用,所有更新和安装操作必须通过 FTP 或命令行完成。
总结
对于大多数网站,建议至少启用 DISALLOW_FILE_EDIT 来关闭后台编辑器,这是提升 WordPress 安全性的一个简单而有效的措施。对于需要严格控制的生产环境,可以考虑使用 DISALLOW_FILE_MODS。请根据您的具体管理需求和安全策略进行选择。