WordPress предлага лесен начин за редактиране на файлове на теми и плъгини директно през административния панел. Това обаче може да бъде както удобство, така и сериозен риск за сигурността. Един прост, но ефективен начин да се защитите, е като изключите вградения файлов редактор чрез DISALLOW_FILE_EDIT.
В тази статия ще разгледаме какво представлява тази функция, защо е важно да я активирате и как да го направите само с един ред код.
Какво е DISALLOW_FILE_EDIT?
DISALLOW_FILE_EDIT е php константа, която WordPress ползва за да прецени дали да забрани достъпа до редактора на теми и плъгини от административния панел. След като я активирате, ще забележите, че опциите WP-Admin > Appearance > Theme Editor и WP-Admin > Plugins > Plugin Editor изчезват.
Когато редакторът е забранен и някой намери начин да влезе в сайта, няма да може да сложи зловреден код в сайта или поне ще е доста по-трудно.
Как да активираме DISALLOW_FILE_EDIT?
Отворете файла wp-config.php, който се намира в основната директория на вашия WordPress сайт. След това добавете следния ред код, преди коментара "That's all, stop editing! Happy publishing.":
define('DISALLOW_FILE_EDIT', true);Запазете файла и обновете административния панел. Вградените редактори вече няма да са достъпни.
Ползи от активирането на DISALLOW_FILE_EDIT настройката
- Повишена сигурност
Ако някой успее да получи достъп до вашия административен панел, няма да може да редактира файловете и да инжектира злонамерен код. - Предотвратяване на човешки грешки
Администратори или редактори с достъп могат по погрешка да направят промени, които сриват сайта. Тази константа елиминира този риск. - Насърчаване на добри практики
Вместо директни промени в кодовете онлайн, се насърчава използването на локална среда за разработка, версия контрол и качване чрез FTP или Git. - Без нужда от плъгин
Не е нужно да инсталирате допълнителни разширения – това решение е вградено и леко.
Заключение
Едно просто действие – добавяне на един ред код – може значително да повиши сигурността на вашия WordPress сайт. DISALLOW_FILE_EDIT е задължителен инструмент в арсенала на всеки, който управлява жив сайт, особено ако има повече от един потребител с административен достъп.
Не подценявайте малките мерки за сигурност – те често предотвратяват големи проблеми.
