WordPress後臺安全真的不容忽視,有些閑得慌的朋友看上瞭某些站點的主題或外掛,於是乎想盡各種辦法登錄別人的後臺,企圖盜走主題或外掛。昨天在群裡就有朋友在議論這個事,據說的網站也被不法登錄,鬱悶的很。
一般破解後臺管理員登錄以後,默認情況下,他們是可以直接看到和編輯你的WordPress主題或外掛的某些源代碼的,甚至他們可以安裝某些外掛(比如文件夾打包外掛、備份外掛等)來打包你網站的文件。
那麼,我們如何禁止所有用戶(包括最高權限的管理員)安裝、升級或編輯主題和外掛呢?
禁用WordPress主題和外掛的線上編輯器
在網站根目錄下的 wp-config.php 文件添加下面代碼即可:
1 2 |
//禁止線上編輯主題和外掛 define( 'DISALLOW_FILE_EDIT', true ); |
//禁止線上編輯主題和外掛
define( ‘DISALLOW_FILE_EDIT’, true );
禁止升級/安裝/編輯WordPress主題和外掛
同樣在網站根目錄下的 wp-config.php 文件添加下面代碼即可:
1 2 |
//禁止安裝/升級/編輯主題和外掛 define('DISALLOW_FILE_MODS',true); |
//禁止安裝/升級/編輯主題和外掛
define(‘DISALLOW_FILE_MODS’,true);
提示:
1.添加後面第二種代碼以後,就連主題的設置選項都不能修改,所以請先設置好主題的選項後再添加代碼。
2.如果添加瞭第二種代碼,就沒必要添加第一種瞭。
3.如果你安裝瞭某些可以備份網站文件的外掛,請自己想辦法隱藏那些外掛,不讓所有用戶(包括最高權限的管理員)進行操作,否則,別人還是可以通過這類外掛獲取你網站的文件的。
4.此類方法隻能一定程度上增加WordPress的安全性,但是如果人傢連 wp-config.php 都可以訪問到,那上面的一切都是枉然!
