禁用檔案編輯器

WordPress 附帶的檔案編輯器存在安全風險。如果攻擊者獲得對你的 WordPress 網站的管理員訪問許可權，他們將能夠輕鬆地將惡意程式碼插入主題和外掛檔案中。對於不知道自己在做什麼的客戶來說，這也是一種風險。一旦錯誤放置檔案編輯器中的冒號可能會破壞網站並使其無法從瀏覽器訪問。

在 WordPress wp-config.php 檔案中，通過新增以下程式碼行來禁用檔案編輯器。

define( 'DISALLOW_FILE_EDIT', true );

當新增到主題的 functions.php 檔案中時，該行將具有所需的效果，但最好新增到 wp-config.php。

如果你使用 WordPress CLI 安裝 WordPress，則可以使用以下命令建立禁用檔案編輯的 wp-config.php 檔案。

/* declare variables beforehand or substitute strings in */
wp core config --dbname="$MYSQL_DBNAME" --dbuser="$MYSQL_USERNAME" --dbpass="$MYSQL_PASS" --dbprefix="$WP_DBPREFIX"_ --locale=en_AU --extra-php <<PHP
define( 'DISALLOW_FILE_EDIT', true );
PHP

如果使用指令碼安裝 WordPress，則此方法很有用。