Dateibearbeitung im Dashboard verhindern

Viele WordPress-Sites haben mehrere Benutzer und Administratoren, was die Sicherheit von WordPress komplizierter machen kann. Eine sehr schlechte Praxis ist es, Autoren oder Mitwirkenden Administratorzugriff zu gewähren, aber leider geschieht dies immer wieder. Es ist wichtig, den Benutzern die richtigen Rollen und Berechtigungen zu geben, damit sie nichts kaputt machen. Und Administratorenrechte dürfen nur die absolut vertrauenswürdigen Mitbearbeiter haben, am besten aber nur du.

Falls du verhindern möchtest, dass Benutzer oder Kunden installierte Themes und Plugins direkt über den Administrationsbereich bearbeiten, kannst du den Editor deaktivieren. Dazu setzt du die Konstante DISALLOW_FILE_EDIT auf den Wert true. So kannst du unterbinden, dass die Webseite aufgrund unsachgemäßer Änderungen außer Betrieb gesetzt wird. Es reicht bereits ein Zeichen an der falschen Stelle, um die gesamte Webseite lahm zu legen. Die Abschaltung des Editors sorgt außerdem für einen zusätzlichen Schutz, falls ein Hacker Zugriff auf ein Benutzerkonto mit den entsprechenden Rechten erlangt haben sollte. Die Manipulation von Theme- und Plugin-Dateien über den internen Editor ist nicht mehr möglich.

Du warst vielleicht schon einmal an diesem oder jenem Punkt dort. Du willst schnell etwas im Appearance Editor bearbeiten und plötzlich stehst du vor einem weißen Bildschirm des Todes. Es ist viel besser, die Datei lokal zu bearbeiten und per FTP hochzuladen. Und natürlich solltest du solche Dinge in der Best Practice zuerst auf einer Entwicklungsseite testen.

Wenn deine WordPress-Seite gehackt wird, ist das allererste, was sie versuchen könnten, eine PHP-Datei oder ein Design über den Appearance Editor zu bearbeiten. Dies ist ein schneller Weg für sie, um bösartigen Code auf deiner Website auszuführen. Wenn sie keinen Zugriff darauf über das Dashboard haben, kann dies zunächst dazu beitragen, Angriffe zu verhindern.

Falls du den internen Editor deaktivieren möchtest, öffne die Datei wp-config.php, welche im Stammverzeichnis deiner WordPress Installation liegt und füge folgende Zeile ein:

/**
* Theme- und Plugin-Editor deaktivieren
* https://wp-bibel.de/snippet/theme-und-plugin-editor-deaktivieren/
*/

define( ‚DISALLOW_FILE_EDIT‘, true );

Der Datei-Editor wird dann nicht mehr angezeigt. (s. Bild 1 und 2)

Beachte dabei, dass die Deaktivierung des Editors die Funktionalität einiger Themes und Plugins beinträchtigen kann. Manche Autoren versuchen die Rechte eines Benutzers daran zu erkennen, ob der Editor verwendet werfen darf oder nicht (current_user_can(‚edit_plugins‘)). Stattdessen sollte besser überprüft werden, ob der Benutzer Zugriff auf die Einstellungen der Webseite hat (current_user_can(‚manage_options‘)).