禁用文件编辑器

WordPress 附带的文件编辑器存在安全风险。如果攻击者获得对你的 WordPress 网站的管理员访问权限，他们将能够轻松地将恶意代码插入主题和插件文件中。对于不知道自己在做什么的客户来说，这也是一种风险。一旦错误放置文件编辑器中的冒号可能会破坏网站并使其无法从浏览器访问。

在 WordPress wp-config.php 文件中，通过添加以下代码行来禁用文件编辑器。

define( 'DISALLOW_FILE_EDIT', true );

当添加到主题的 functions.php 文件中时，该行将具有所需的效果，但最好添加到 wp-config.php。

如果你使用 WordPress CLI 安装 WordPress，则可以使用以下命令创建禁用文件编辑的 wp-config.php 文件。

/* declare variables beforehand or substitute strings in */
wp core config --dbname="$MYSQL_DBNAME" --dbuser="$MYSQL_USERNAME" --dbpass="$MYSQL_PASS" --dbprefix="$WP_DBPREFIX"_ --locale=en_AU --extra-php <<PHP
define( 'DISALLOW_FILE_EDIT', true );
PHP

如果使用脚本安装 WordPress，则此方法很有用。