当前位置:首页>WordPress建站>后台定制>禁止安装、升级或编辑WordPress主题和插件

禁止安装、升级或编辑WordPress主题和插件

WordPress 主题 CoreNext

WordPress后台安全真的不容忽视,有些闲得慌的朋友看上了某些站点的主题或插件,于是乎想尽各种办法登录别人的后台,企图盗走主题或插件。昨天在群里就有朋友在议论这个事,据说倡萌的网站也被不法登录,郁闷的很。

一般破解后台管理员登录以后,默认情况下,他们是可以直接看到和编辑你的WordPress主题或插件的某些源代码的,甚至他们可以安装某些插件(比如文件夹打包插件、备份插件等)来打包你网站的文件。

那么,我们如何禁止所有用户(包括最高权限的管理员)安装、升级或编辑主题和插件呢?

禁用WordPress主题和插件的在线编辑器

在网站根目录下的 wp-config.php 文件添加下面代码即可:

//禁止在线编辑主题和插件
define( 'DISALLOW_FILE_EDIT', true );

禁止升级/安装/编辑WordPress主题和插件

同样在网站根目录下的 wp-config.php 文件添加下面代码即可:

//禁止安装/升级/编辑主题和插件
define('DISALLOW_FILE_MODS',true);

倡萌提示:

1.添加后面第二种代码以后,就连主题的设置选项都不能修改,所以请先设置好主题的选项后再添加代码。

2.如果添加了第二种代码,就没必要添加第一种了。

3.如果你安装了某些可以备份网站文件的插件,请自己想办法隐藏那些插件,不让所有用户(包括最高权限的管理员)进行操作,否则,别人还是可以通过这类插件获取你网站的文件的。

4.此类方法只能一定程度上增加WordPress的安全性,但是如果人家连 wp-config.php 都可以访问到,那上面的一切都是枉然!

声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。

给TA打赏
共{{data.count}}人
人已打赏
欢迎关注WordPress大学公众号 WPDAXUE
后台定制

修改/禁用WordPress登录错误的提示信息

2013-5-27 8:09:22

后台定制

在WordPress后台文章编辑器的上方或下方添加提示内容

2013-5-30 8:02:44

4 条回复 A文章作者 M管理员
  1. 8090安全门户

    真是帮了我大忙。。今天差点就被拿shell,还好对方脑子不灵光 不知道从插件编辑插入一句话拿shell。我没有给编辑主题给写入的权限,他就没拿了

  2. 王小建

    define( ‘DISALLOW_FILE_EDIT’, true );添加这个以后,发表文章异常,文章发布时会跳转到提示打不开页面,返回查看,文章未发布,删除此条后恢复正常

  3. 上有政策下有对策,其实昨天我也参加那个讨论了

个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索