很多 WordPress 開發者在開發 WordPress 站點時出於安全考慮一般都會停用 WordPress 後臺的主題編輯器和外掛的程式碼編輯器。因為開放了 WordPress 主題或外掛的程式碼編輯器一旦網站管理員帳號被駭客破解就等於伺服器淪陷了,駭客可以直接透過 WordPress 主題和外掛的程式碼編輯器來修改網站的程式程式碼,植入 webshell 。而且在為不懂技術的客戶開發專案時,如果不停用 WordPress 主題和外掛程式碼編輯器,客戶一不留神,亂點兩下那整個網站都得癱瘓。所以停用 WordPress 主題和外掛的程式碼編輯器還是非常有必要的。
網上流傳的方法都是在 functions.php 檔案中加入如下程式碼:
function remove_editor_menu() {
remove_action('admin_menu', '_add_themes_utility_last', 101);
}
add_action('_admin_menu', 'remove_editor_menu', 1);
這個方法也只能在不懂技術的客戶那用用,這種方法只是讓程式碼編輯器不在網站後臺顯示而已,如果是直接訪問編輯器的連結依然可以正常使用程式碼編輯器的其實有個方法可以完全停用 WordPress 的主題和外掛的程式碼編輯器:
開啟 wp-config.php 加入以下程式碼:
define('DISALLOW_FILE_EDIT', true);
define('DISALLOW_FILE_MODS',true);
這樣就可以完全停用 WordPress 的主題編輯器了。