WordPress’in yerleşik bir tema ve eklenti düzenleyicisi ile birlikte geldiğini biliyor muydunuz? Bu düz kod editörü, tema ve eklenti dosyalarınızı doğrudan WordPress kontrol panelinden düzenlemenize olanak tanır.
Bu kulağa gerçekten yararlı gelse de, dosyaları bu şekilde doğrudan düzenleyebilmenin sitenizi bozmak gibi sorunlara yol açabileceğini gördük. Hatta diğer güvenlik açıklarıyla birleştiğinde potansiyel güvenlik sorunlarını da beraberinde getirebilir.
Bu makalede, WordPress yönetici alanından tema ve eklenti editörlerini nasıl devre dışı bırakacağınızı gösterecek ve bunun neden akıllıca bir fikir olduğunu açıklayacağız.
WordPress’te Tema ve Eklenti Düzenleyicileri Neden Devre Dışı Bırakılmalı?
WordPress, WordPress tema ve eklenti dosyalarını doğrudan yönetici alanından düzenlemenize olanak tanıyan yerleşik bir kod düzenleyiciyle birlikte gelir.
Tema düzenleyici Görünüm ” Tema Dosyası Düzenleyici sayfasında bulunur. Varsayılan olarak, o anda etkin olan temanızın dosyalarını gösterecektir.
Benzer şekilde, eklenti düzenleyicisi de Eklentiler ” Eklenti Dosyası Düzen leyicisi sayfasında görülebilir. Varsayılan olarak, sitenizdeki yüklü eklentilerden birini alfabetik sırada ilk sırada gösterecektir.
Tema veya eklenti düzenleyici sayfasını ilk kez ziyaret ediyorsanız WordPress, düzenleyiciyi kullanmanın web sitenizi bozabileceği konusunda sizi uyaracaktır.
WordPress 4.9‘da tema ve eklenti editörleri, kullanıcıların yanlışlıkla web sitelerini bozmalarını önlemek için yükseltildi. Çoğu durumda, editör ölümcül bir hata yakalayacak ve değişiklikleri geri alacaktır.
Ancak bu garanti değildir ve bazı kodlar yine de gözden kaçabilir ve WordPress yönetici alanına erişiminizi kaybedebilirsiniz.
Yerleşik dosya düzenleyicinin en büyük sorunu, web sitenize her türlü kodu eklemek için tam erişim sağlamasıdır.
Bir bilgisayar korsanı WordPress yönetici alanınıza girerse, tüm WordPress verilerinize erişmek için yerleşik düzenleyiciyi kullanabilir.
Bilgisayar korsanları bunu kötü amaçlı yazılım dağıtmak veya WordPress web sitenizden DDOS saldırıları başlatmak için de kullanabilir.
WordPress güvenliğini artırmak için yerleşik dosya düzenleyicilerini tamamen kaldırmanızı öneririz.
Bununla birlikte, WordPress’te tema ve eklenti editörlerinin nasıl kolayca devre dışı bırakılacağını görelim.
WordPress’te Tema ve Eklenti Düzenleyicileri Nasıl Devre Dışı Bırakılır
WordPress’te tema ve eklenti editörlerini devre dışı bırakmak oldukça kolaydır. Ancak, WordPress’e kod eklemeyi gerektirir. Bunu daha önce yapmadıysanız, web’den WordPress’e kod parçacıkları yapıştırma kılavuzumuza bakın.
Bu kod satırını temanızın functions.php dosyasına, siteye özel bir eklentiye veya bir kod parçacıkları eklentisi kullanarak eklemeniz gerekir.
define( 'DISALLOW_FILE_EDIT', true );
WPCode eklentisini kullanmanızı öneririz çünkü ücretsizdir, kullanımı kolaydır ve bir şeyler ters giderse web sitenizi bozmaz.
Not: WPCode ‘un kod revizyonları, otomatik dönüşüm pikselleri, zamanlanmış parçacıklar ve daha fazlası gibi gelişmiş özelliklerle birlikte gelen premium bir sürümü de vardır.
Öncelikle, ücretsiz WPCode eklentisini yüklemeniz ve etkinleştirmeniz gerekir. Ayrıntılı talimatlar için WordPress eklentisi yükleme kılavuzumuza bakın.
Eklenti etkinleştirildikten sonra, WordPress panonuzdan Code Snippets “ Add Snippet seçeneğine gidin. Ardından, farenizi ‘Özel Kodunuzu Ekleyin (Yeni Snippet)’ seçeneğinin üzerine getirin ve ‘Snippet kullan’ düğmesine tıklayın.
Ardından, snippet’iniz için kod türünü seçmeniz istenecektir. ‘PHP Snippet’ seçeneğini seçin.
Bundan sonra, snippet’iniz için bir başlık ekleyebilir ve yukarıdaki kodu ‘Kod Önizleme’ kutusuna yapıştırabilirsiniz.
Son olarak, anahtarı ‘Etkin Değil’den ‘Etkin’e getirin ve ‘Snippet’i Kaydet’ düğmesine tıklayın.
Hepsi bu kadar, eklenti ve tema editörleri artık WordPress yönetici alanındaki temalar ve eklentiler menülerinden kaybolacak.
Alternatif olarak, wp-config.php dosyanızı düzenleyebilir ve yukarıdaki kodu ‘Hepsi bu kadar, düzenlemeyi durdurun ‘ yazan satırdan hemen önce yapıştırabilirsiniz. Mutlu yayınlar’:
Ardından, değişikliklerinizi kaydedin ve dosyayı web sitenize geri yükleyin.
Dosyaları doğrudan düzenlemek istemiyorsanız, tek tıklamayla sertleştirme özelliği sunan Sucuri WordPress eklentisini yükleyebilirsiniz.
WordPress Tema ve Eklenti Dosyalarını Düzenlemenin Doğru Yolu
Birçok kullanıcı aslında kodu aramak, özel CSS eklemek veya alt temalarındaki kodu düzenlemek için WordPress tema ve eklenti editörlerini kullanır.
Temanıza yalnızca özel CSS eklemek istiyorsanız, bunu Görünüm ” Özelleştir altında bulunan tema özelleştiriciyi kullanarak yapabilirsiniz.
Daha fazla ayrıntı için sitenizi bozmadan WordPress’te özel CSS ekleme hakkındaki kılavuzumuza bakın.
Bir eklentideki kodu aramak istiyorsanız, bunu bir FTP istemcisi kullanarak yapabilirsiniz.
Daha iyi dosya yönetimi ve sözdizimi vurgulama için, bilgisayarınızdaki WordPress dosyalarını düzenlemek üzere bu kod düzenleyicilerden birini kullanabilirsiniz.
Son olarak, herhangi bir kod yazmadan da özel bir WordPress teması oluşturabilirsiniz.
Umarız bu makale WordPress yönetici panelinden tema ve eklenti düzenleyicilerini nasıl kolayca devre dışı bırakacağınızı öğrenmenize yardımcı olmuştur. WordPress performansını ve hızını artırmaya yönelik nihai kılavuzumuzu veya en iyi web tasarım yazılımı uzman seçimlerimizi de görmek isteyebilirsiniz.
If you liked this article, then please subscribe to our YouTube Channel for WordPress video tutorials. You can also find us on Twitter and Facebook.
Jiří Vaněk
Thanks for the tutorial. I used the wp-config.php file and it works great. Especially for customer sites, this option seems very good to me, so that they don’t modify the codes of the site and also in terms of security.
In the end, I chose the wp-config file mainly so that this function could not be simply turned off from the administration, where it didn’t make any sense to me.
WPBeginner Support
Makes sense
Yönetici
Bob Putnak
This wont accomplish anything these days.
1) Using the CODE SNIPPETS solution, if the hacker has access to the admin panel, they will simply go to the CODE SNIPPETS panel and DISABLE the snippet.
2) Likewise, if you added it to the wp-config file, I cant see any reason why someone with access to the Admin panel could not simply INSTALL the CODE SNIPPETS plugin, activate it, then set a rule for:
define( ‘DISALLOW_FILE_EDIT’, true );
Seems to me that if the hacker has access to the admin panel, there is absolutely no solution to this problem.
If you disagree, please explain why. My login seems 100% sound.
WPBeginner Support
If someone has admin level access to your site then they could look to add a plugin to bypass the issue. There are other user roles that have access to these sections of your site but not the ability to add plugins and this can help protect you from a non-admin who has this level of access from getting into your files.
Yönetici
Robin Hood
Thanks for sharing this post. Helpful and Informative.
WPBeginner Support
You’re welcome, glad our content could be helpful
Yönetici
isabella
Hello there! I have the opposite problem I need to add a CSS code in the editor BUT the editor disappeared.
Do you have any suggestions?
thanks a lot
cheers
Mike Sawyer
Thank you for all the tips and helpful advice. This is the go to for me in case I get stuck. Thanks.
Raj
Unfortunately this isn’t working for me, I have updated the wp-config.php file but the editor option is still there in my wp dashboard, can you suggest me something?
Dave
Hi Raj,
I had the same issue, but was able to fix it. Not sure if this is your same issue, but I realized that when copy/pasting from an internet post, sometimes the single/double quotation marks (‘ ‘) or (” “) may be a curly quote vs. a straight quote. Try deleting the single quotes, and retyping them.
Hope this helps!
-Dave
William Marques
Is it possible disable save option for all? I want show control panel for my clients, but I do not want that they save the changes.
Bella
A trillion thank you’s!!
This tiny piece of code has rocked my world!
How have I not come across you in the past??
Keep smiling – Bella
Jimit Shah
hi
I want to disable paste command ( through mouse and ctr+v)in my php file in theme editor. So that i can write code not copy any code from outside.I want to give access manual code writing . please help me
Raja Dileep Kumar
define(‘DISALLOW_FILE_EDIT’, true); this function will work on themes/functions.php if i paste the code in wordpress
Pramod Kumar
It works, Thanks.
John McNamara
Hi there just wondering if anyone found a way to get around this without access as we have paid $1800 for some to set up a Website that is just a theme with out any changes made to it and wants to be paid more to unlock the editor for us
Please help!!
WPBeginner Support
If you have FTP access, or access to the hosting control panel, then you can easily edit the wp-config.php file and remove the code:
1-click Use in WordPress
Yönetici
Graham Peckham
Hi, well I was hacked yesterday by someone who installed MonsterInsights plugin to my web site, BUT, the line of code you suggest was already installed on wp-config.
So any suggestions for stopping these
Cheers
WPBeginner Support
Hi Graham,
If you suspect that your website may be hacked, then please see our guide on recovering a hacked WordPress site. You may also want to follow our complete WordPress security guide to protect your website in the future.
Prasath
define( ‘DISALLOW_FILE_EDIT’, true );
This one disable the editor for complete pages. I need to disable only for home page and for particular user(for Ex: Editor) . Coz I used page builder. My clients are not intrested to look over that..
Can any one help me ….
Mark Corder
I can also confirm that this works when the line is added to a Site-Specific Plugin – which you’ll also find the recipe for here on WPBeginner…
… so Thanks to you folks for all of it!
Melissa
Hey there! My cheeky developer has done this to me and I need access… is there a way to “undo” this clever trick without having FTP access?
I am also a developer and able to edit the files without any issues, but my contracted developer wants to charge me to access the code… so I am hoping I can jump in somehow!
Mel
Al Klein
Did you contract for ‘all deliverables’? If so, have him deliver the FTP password – it’s a deliverable. (It’s a contract, so it can be enforced by a court. You may not be able to sue for specific action, but you can sue for whatever it will cost to have another developer create a new site that’s exactly like the old one [which will probably bankrupt your existing developer – so it will make him prone to turn everything over to you].)
If you didn’t have ‘all deliverables’ included in the contract, or don’t have a signed contract, consider it a cheap legal lesson. (Law school costs a lot more.)
Bill
Great tip.
Is there a way to disable a specific editor (for example Elementor) for a specific post (page) type while still allowing access to the classic editor?
I hope this can be done in the child functions file.
Suresh Khanal
while reading this post I was wondering why would anyone need to hide the editor link in the WordPress Admin because it is only the administrators who gain access to those links and if they do not get permission to do the things the required, what’s the use? anywhere realize that is good with it helpful when you are setting up blogs for you clients. Thanks for the good tips.
Mark Corder
This is an excellent tip – and it worked fine for me adding the line to the functions.php file in my twentytwelve-child-theme’s folder. I still see options for customizing the theme (header, background, etc.) – but the “editor” links are now gone. (I had to press CTRL-R to force a page reload to make them disappear.)
I always try to remove everything from the backend that a client really shouldn’t be messing with, and those plugin & theme editors are just inviting disaster! It’s wonderful to be able to remove them with a single line of code…
I really appreciate these tips that edit child-theme functions and files to accomplish something rather than just recommending another plugin – though I realize this departs a bit from the “beginner” stuff.
And if you haven’t had this request a thousand times already, I’d love to see you folks open a “WPAdvanced” site for us hard-core folks!
Editorial Staff
Thanks for the feedback Mark. Yes, we have gotten the request for WPAdvanced in the past. For now our focus is to continue to improve WPBeginner (we’re still not there yet).
-Syed
Yönetici
Gray Ayer
A problem encountered with this technique is that it also prevents anyone from upgrading the outdated plugins. Any ideas on that, besides disabling the addition to the wp-config file, upgrading, then restoring the hardened security?
Editorial Staff
That’s interesting. We have this code running on our site, and we can do 1-click upgrades.
Yönetici
joanpique
Hi, thanks for the tip, yes, it works on functions.php file.
But this code turn me off my theme options page :(…, is there any other code that only hide editors or something to put in the options page for avoid hidding?
Renan Santos
All you have to do is open your wp-config.php file and paste the code!
Devin Walker
99% of my clients are non-technical